2009. október 16., péntek

Forensic vizsgálatok 8.- Word dokumentumok vizsgálata

A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.

Word dokumentumokkal mindenki találkozott már. Ilyen formátumban rengeteg anyag készül, és ennek megfelelően számos incidens kivizsgálásakor szemügyre veszünk ilyen dokumentumokat is.

A Word (és úgy alapvetően a gyakran használt Office-formátumok) fájlformátuma konténer, OLE streameket tartalmaz. Fájlszignatúra szintjén megegyezik az xls, doc stb. formátum:
root@jester:/root# file doksi.doc
doksi.doc: Microsoft Office Document
root@jester:/root#

Zárójelben megjegyezzük, hogy létezik eszköz arra, hogy összeházasítsunk Word dokumentumos és XLS-es streameket: ha az így készült állományt Worddel nyitjuk meg, word dokumentumként viselkedik, ha viszont Excellel, akkor annak rendje-módja szerint számolótábla köszön vissza ránk.

Metainformációk tekintetében több mód is használható.

Véleményezés eszköztár
Gyakori eset, amikor "bennefelejtik" a dokumentumban a véleményezési folyamat során összegyűlt kommenteket. Erről többet nem is mondanánk.

NTFS szintű adatok
A dokumentumok, ha windowsos munkaállomásokon vagy fájleszervereken találkozunk velük, NTFS partíciókon találhatóak - ebből következően az NTFS fájlrendszer által nyújtott szolgáltatásokat (timestampek, ACL-ek stb.) mindenképpen megvizsgáljuk. Természetesen lehet matatni is az időpecséteket.

Metaadatok
Ez már érdekesebb. Egy Word dokumentumhoz több szinten is találhatunk metaadatokat,ezek egy része ADS-ként tárolódik a fájl mögött, másik része magában a doksiban található.

A legnagyobb ilyen, metaadatos fiaskó Tony Blair brit miniszterelnökkel történt, amikor publikálta egy jelentést az iraki helyzettel kapcsolatban - igen ám, csak a jelentés jelentős részét lopták egy már korábbi anyagból. Elkövették azt a hibát, hogy word dokumentum formátumban publikálták az anyagot: a megfelelő eszközzel megvizsgálva a dokumentumot, meglepő metaadatokra bukkanhatunk. Például a Blair-féle dokumentum esetében:

root@jester:/root# perl wmd.pl blair.doc
--------------------
Statistics
--------------------
File = /root/blair.doc
Size = 65024 bytes
Magic = 0xa5ec (Word 8.0)
Version = 193
LangID = English (US)


Document was created on Windows.

Magic Created : MS Word 97
Magic Revised : MS Word 97

--------------------
Last Author(s) Info
--------------------
1 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
2 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
3 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
4 : JPratt : C:\TEMP\Iraq - security.doc
5 : JPratt : A:\Iraq - security.doc
6 : ablackshaw : C:\ABlackshaw\Iraq - security.doc
7 : ablackshaw : C:\ABlackshaw\A;Iraq - security.doc
8 : ablackshaw : A:\Iraq - security.doc
9 : MKhan : C:\TEMP\Iraq - security.doc
10 : MKhan : C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc

--------------------
Summary Information
--------------------
Title : Iraq- ITS INFRASTRUCTURE OF CONCEALMENT, DECEPTION AND INTIMIDATION
Subject :
Authress : default
LastAuth : MKhan
RevNum : 4
AppName : Microsoft Word 8.0
Created : 03.02.2003, 09:31:00
Last Saved : 03.02.2003, 11:18:00
Last Printed : 30.01.2003, 21:33:00

--------------------
Document Summary Information
--------------------
Organization : default

Jó vadászatot!

2 megjegyzés:

  1. "pleisztocénkori glaciális utáni dátum"

    Modorosblog, szevasz! ;-)

    VálaszTörlés
  2. Sziasztok, valaki esetleg lefordította már exe-be?

    VálaszTörlés

Kommentek