的加密邮件HTML源码深处,发现的异常注释字符。阿九不仅定位了它,还进行了深度解码和模式匹配。她发现,这串字符的编码方式(一种非标准的Base64变体)、在HTML结构树中的特定嵌套位置(藏在一个无关紧要的样式标签内,且该标签的CSS属性被设置为display:none; visibility: hidden;),以及注释内容本身看似随机但符合某种特定伪随机数生成算法开头的特征,这三者组合起来,形成了一种独特的“签名”。阿九将其标记为“指纹A”。
2. 附件的“时间疤痕”: 在同一封邮件的附件——一张作为“文物照片”的JPEG图片中,阿九在EXIF(可交换图像文件格式)元数据中发现了异常。这张照片的EXIF信息显示,它是由一台特定型号的数码相机在特定时间拍摄的,但阿九通过分析图片的二进制结构,发现其“文件修改时间”与“元数据创建时间”存在极其微小的、不自然的错位(仅相差37毫秒)。更关键的是,在文件末尾的“注释”字段(通常为空),阿九用特殊工具还原出了一段被覆盖删除的数据残留,其中包含一个经过加密的时间戳,经过解密,指向的时间点,与“幽灵信使”日志中某个与“星环”公司通信记录的时间高度吻合。阿九标记此为“指纹B”,并指出,这种在图片文件中隐藏加密时间戳的手法,与三年前某起涉及商业机密窃取、怀疑是“隐门”手笔的旧案中,发现的伪造文件技术特征高度相似。
3. PDF的“字体幽灵”: 在几份指控陆沉舟商业间谍罪的所谓“机密合同”PDF文件中,阿九发现了更精妙的伪造痕迹。这些PDF文件声称是由不同公司、使用不同版本的办公软件生成的。但阿九分析了文件中嵌入的字体子集,发现其中两份关键合同所使用的、某种特定商业字体(“华韵细黑”)的嵌入子集,其内部的字形轮廓数据、Hinting指令(用于屏幕显示优化的指令)的排列顺序、甚至某些非打印字符的编码残留,与另外几份
本章未完,请点击"下一页"继续阅读! 第2页 / 共7页