Word dokumentumokkal mindenki találkozott már. Ilyen formátumban rengeteg anyag készül, és ennek megfelelően számos incidens kivizsgálásakor szemügyre veszünk ilyen dokumentumokat is.
A Word (és úgy alapvetően a gyakran használt Office-formátumok) fájlformátuma konténer, OLE streameket tartalmaz. Fájlszignatúra szintjén megegyezik az xls, doc stb. formátum:
root@jester:/root# file doksi.doc
doksi.doc: Microsoft Office Document
root@jester:/root#
Zárójelben megjegyezzük, hogy létezik eszköz arra, hogy összeházasítsunk Word dokumentumos és XLS-es streameket: ha az így készült állományt Worddel nyitjuk meg, word dokumentumként viselkedik, ha viszont Excellel, akkor annak rendje-módja szerint számolótábla köszön vissza ránk.
Metainformációk tekintetében több mód is használható.
Véleményezés eszköztár
Gyakori eset, amikor "bennefelejtik" a dokumentumban a véleményezési folyamat során összegyűlt kommenteket. Erről többet nem is mondanánk.
NTFS szintű adatok
A dokumentumok, ha windowsos munkaállomásokon vagy fájleszervereken találkozunk velük, NTFS partíciókon találhatóak - ebből következően az NTFS fájlrendszer által nyújtott szolgáltatásokat (timestampek, ACL-ek stb.) mindenképpen megvizsgáljuk. Természetesen lehet matatni is az időpecséteket.
Metaadatok
Ez már érdekesebb. Egy Word dokumentumhoz több szinten is találhatunk metaadatokat,ezek egy része ADS-ként tárolódik a fájl mögött, másik része magában a doksiban található.
A legnagyobb ilyen, metaadatos fiaskó Tony Blair brit miniszterelnökkel történt, amikor publikálta egy jelentést az iraki helyzettel kapcsolatban - igen ám, csak a jelentés jelentős részét lopták egy már korábbi anyagból. Elkövették azt a hibát, hogy word dokumentum formátumban publikálták az anyagot: a megfelelő eszközzel megvizsgálva a dokumentumot, meglepő metaadatokra bukkanhatunk. Például a Blair-féle dokumentum esetében:
root@jester:/root# perl wmd.pl blair.doc
--------------------
Statistics
--------------------
File = /root/blair.doc
Size = 65024 bytes
Magic = 0xa5ec (Word 8.0)
Version = 193
LangID = English (US)
Document was created on Windows.
Magic Created : MS Word 97
Magic Revised : MS Word 97
--------------------
Last Author(s) Info
--------------------
1 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
2 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
3 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
4 : JPratt : C:\TEMP\Iraq - security.doc
5 : JPratt : A:\Iraq - security.doc
6 : ablackshaw : C:\ABlackshaw\Iraq - security.doc
7 : ablackshaw : C:\ABlackshaw\A;Iraq - security.doc
8 : ablackshaw : A:\Iraq - security.doc
9 : MKhan : C:\TEMP\Iraq - security.doc
10 : MKhan : C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc
--------------------
Summary Information
--------------------
Title : Iraq- ITS INFRASTRUCTURE OF CONCEALMENT, DECEPTION AND INTIMIDATION
Subject :
Authress : default
LastAuth : MKhan
RevNum : 4
AppName : Microsoft Word 8.0
Created : 03.02.2003, 09:31:00
Last Saved : 03.02.2003, 11:18:00
Last Printed : 30.01.2003, 21:33:00
--------------------
Document Summary Information
--------------------
Organization : default
Jó vadászatot!
"pleisztocénkori glaciális utáni dátum"
VálaszTörlésModorosblog, szevasz! ;-)
Sziasztok, valaki esetleg lefordította már exe-be?
VálaszTörlés