唐山私家侦探,唐山私人侦探,唐山婚外情调查取证,唐山寻人查址,唐山定位找人,唐山华鑫商务调查公司

加入收藏 | 设为首页 | 联系我们

行业研究

联系我们

  唐山华鑫私家侦探社
  电话：l53-6950-8649
  传真：0315-8238l53
  地址：唐山西外环马驹桥过街人行天桥北行200米

主页 > 行业资讯 > 行业研究 >

计算机取证中Office文件的调查

Microsoft公司开拓的Office系列软件是今朝最风行的办公软件。占有了办公软件类74.4%的市场份额。Office文件是名目化的二进制数据，之中包括了浩瀚的信息，这些重要的数据怎样正确的提取，一向是数字取证的一个困难。而Microsoft公司为了把持市场，阻止公道竞争，一向对Office名目举办保密。为了可以或许理会Office文件个中的数据，获取证据，有须要相识Office的文档名目。
1     Office文件布局
Office系列中Word97-2007、Excel97-2007,Powerpoing97-2007行使微软的复合文档布局。他们的后缀名别离为doc、xls、ppt,0ffice2007-2010系列又增进了行使XML(ExtensibleMarkupLanguage,可扩展标志语目）技能的docx、xlsx、.pptx名目。0ffir.e97-2007文件行使复合文档布局来存储数据。微软复合文档（CompoundBinaryFile)是微软公司拟定的文件名目，普及应用于Word、Excel、PowerPoint等办公函档中，微软行使“0LE2StorageFileFormat”来成立复合文档。复合文档可以包括文本、图形、声音、视频、电子表格数据等各类信息，这也正是复合的寄义。因为复合文档的海涵性，Windows的Thumbs.dh和腾讯QQ的谈天记录文件都行使了复合文档布局。微软在2008年果真了0ffice2003-2007系列的官方文档,可是个中的重要部门如故保密。可是这种保密，也在某种水平上掩护了个中的要害数据，使得这些数据的可信度极高。
1.1复合文档的布局
复合文档由假造流（VisualStreams)构成，复合文档的物理布局描写的是假造流的分派和存储方法。复合文档由牢靠巨细的扇区（Sector)构成，扇区巨细由文件头中参数指定，默认是512字节。第一个扇区为文件头，扇区编号由0开始。扇区编号与扇区地点的转换公式为：扇区地点=(扇区编号+1)X0x200,这是由于复合文件文件头占用512字节，同时起始扇区号为0，以512字节（0x200)为扇区。
纵然数据在磁盘上以碎片形态存在，可是在逻辑上，照旧以线性的假造流情势来首尾毗连。尽量物理和假造布局上，数据都是以线性方法存放的，扇区和假造流的单元都是512字节，但二者是有区此外：扇区是数据存储的单元，不必要知道数据的内容和指向，只必要按扇区巨细来堆叠数据流。而假造流不单包括了数据流，还包括了属性信息和布局信息，通过这些信息，将漫衍在各个扇区中的数据逻辑组织在一路，使得扇区行使越发机动。普通地说，物理上的扇区是死的，而逻辑上的假造流则是活的。
复合文档雷统一个小型的文件体系，凭证假造流的差异范例,复合文件的布局分为几部门：文件头（Header)、扇区分派表(FAT),主扇区分派表（DIF)、短流扇区分派表（minifat)、目次流（Directory)、数据流。
目次流是复合文件最根基的数据流之一.某些资料称作f储（Slmrage),描写了复合文件的S录布局信息tOffire系列,Office文件的属性都生涯在Summarylnforamlion和DocumitSummarylnformation两个0录流指向的数据流中。这也是分听Office内嵌信息的要害。
2     Office文件在取证上的应用
2.1提取文档信息
Office的文挡信息记录了文忾编辑作者、建设时刻、修改时刻、编辑时长、打印时刻等重要信息.纵然文档被加密，文档信息也如故会以明文方法生涯。相对付生涯在分区中的文件属性信息轻易被滋扰和改动，Offi<'e文档内嵌的信息不为人知，这对取证事变有着重要的实际意义。
微软的复合文档的布局仅仅是一个框架。从目次流开始，个中的目次除了根目次（EntryHoot),其他的都可以自行界说o譬喻，Offire文档信息首要生涯在Summarylnforam丨ion和DocumenlSummarylnformation两个数据流中。
因为SummaryInformationftlDocumentSummaryInformation的首两个字节老是牢靠值OxFFFE(大端暗示)，因此可以在十六进制编辑T.具中查找OxFEFF(小端暗示).隔断为0x40,就可以找到这两个数据流。作者是文档建设者，前次生涯者指的是最后一次修改者的作者名譬喻，北京商务调查公司，A在本身计较机上建设了文档，A将文档给了B，B在本身计较机上修改后生涯。那么作者如故是A,而前次生涯者则是11假如在Office初次运行时没有指定,那么这些字段将是‘计较机名”（生涯在注册表中)。
修订次数是挪用文档生涯呼吁的次数。文档生涯时刻在建设时成立，随后将不会被变动。缩略图（Thumbnail)则是针对剪贴板，提供数据的暂存。安详（Serurhy)标识了文档的安详掩护0：不必要；1:扣问是否只读；4:逼迫只读；8:不表现注释必要留意的是.建设时刻和修改时刻为内嵌时刻，而存取时刻与会见时刻同等，是从磁盘分K表中获取的,同时在每次在Office中打开属性，查察统计，就会对当前的字数举办从头统计，字数和字符数的响应数值城市响应调解。
2.2提取Word文档中图片的JFIF信息
往往行使数码装备拍摄的照片都耍遵循JFIF文件名目，即JPEG文件互换名目（JPEGFileInterchangeFormat)。JFIF名目是内嵌到图片数据中的，许多Word文档中插人的图片包括有JFIF数据，北京婚外情取证，可是这类图片只能另存而不能导出，这就导致图片信息丢失。
Word文档中存放插人图片的目次是Data目次。因此只要获取Dala目次的参数，就"I以得到丨€片数据。
2.3   Office姑且文件
Offire在编辑时，会在靠山发生多少姑且文件。文件名的定名方法是~WLK####.dor,假如文件正常封锁，这个姑且文件将会被删除。假如文件被非正常封锁，这个姑且文件将会被保存在磁盘中。当源文件被删除可能移除后，北京私家侦探公司，可以搜刮响应的姑且文件。姑且文件的名目与源文件同等，可以通过Unicode编码査看
2.4   2007-2010XML布局说明Word/Excel/PowerPoint200-20107的名目回收了XML(可扩展标志说话）布局，同时如故对付传统的WOrd20(B布局举办支持。现实上，尽量Word/Exccl/PowerPoint200-20107的后缀是“docx”、“xlsx”和“pptx”，可是它们是压缩文件包通过解压缩器材譬喻WinRAR,就可以赏识内部的布局.
3竣事语
针对0_ffice文件的调査，持久以来一向齐集于个中的内容搜刮可能规复这类技能今朝已经很是成熟，可是Uffife文件内嵌的诸多信息，却每每被忽略，这些信息由下不行改动性，每每具备很高的证据效力。通过Uffire文件内嵌信息的说明，可以获取诸多不为人留意的重要信息，可以或许为收集案件的侦查提供重要辅佐。 (责任编辑：李晓彤)