Confermo, mi è capitato di trovare una cosa del genere su una CTF di HackTheBox. Alcuni malware di qualche anno fa usavano questa tecnica per nascondere dati e informazioni:Questa cosa del byte è molto interessante. Leggevo qualche tempo fa, se non ricordo male, che attraverso le ADS (Alternate data streams) è possibile scrivere informazioni nascoste in un file e che tramite la Powershell di Windows è possibile non solo visualizzarle, ma anche scriverne di nuove.
Codice:
C:\Users\Administrator\Desktop>dir hm.txt
dir hm.txt
Volume in drive C has no label.
Volume Serial Number is BE50-B1C9
Directory of C:\Users\Administrator\Desktop
12/24/2017 03:51 AM 36 hm.txt
1 File(s) 36 bytes
0 Dir(s) 7,415,410,688 bytes free
C:\Users\Administrator\Desktop>type hm.txt
type hm.txt
The flag is elsewhere. Look deeper.
C:\Users\Administrator\Desktop>dir /R
dir /R
Volume in drive C has no label.
Volume Serial Number is BE50-B1C9
Directory of C:\Users\Administrator\Desktop
11/08/2017 10:05 AM <DIR> .
11/08/2017 10:05 AM <DIR> ..
12/24/2017 03:51 AM 36 hm.txt
34 hm.txt:root.txt:$DATA
11/08/2017 10:05 AM 797 Windows 10 Update Assistant.lnk
2 File(s) 833 bytes
2 Dir(s) 7,415,410,688 bytes free
C:\Users\Administrator\Desktop>type hm.txt:root.txt:$DATA
type hm.txt:root.txt:$DATA
The filename, directory name, or volume label syntax is incorrect.
C:\Users\Administrator\Desktop>more < hm.txt:root.txt:$DATA
more < hm.txt:root.txt:$DATA
afbc5bd4b<redacted by author>