關于復合文檔

亚洲图揄拍自拍復合文檔是一種多元化文檔,不僅包含傳統意義上的文本,還包括圖形、電子表格數據、聲音、視頻圖像以及其他信息,它的廣泛應用極大的滿足了現代化辦公需求,同時復合文檔的數據恢復已經成為現在數據恢復領域中一項重要內容,尤其是以文件頭故障最為普遍。

當然,不同版本文件結構不同,本期#技術實戰#源妹從具體實際案例出發,給大家分享有關手動修復損壞復合文檔的其中一種方法,希望對你有一定參考價值!

一.案件詳情

亚洲图揄拍自拍在一次案件偵破中,辦案人員需要恢復嫌疑人計算機中的文檔文件,通過數據恢復工具恢復了所需文檔文件,但是部分office文件無法打開或者打開亂碼,如下圖1、圖2所示:

1.jpg

圖1 文件無法打開

1556504897957076627.jpg

圖2 文件打開亂碼

二.恢復思路

我們首先來對比分析損壞文檔的文件頭,如圖3所示,用winhex打開后將其轉換成扇區進行分析,通過對比初步判斷是復合文件頭結構損壞導致文檔無法打開。

1556504951019008511.jpg

圖3 復合文件頭結構對比

三.恢復方法

亚洲图揄拍自拍確認是由于文件頭結構損壞導致文件無法打開,我們接下來就可以分析復合文檔結構,通過手動重建復合文件頭達到修復損壞復合文件的目的。

修復文件頭的數據只需計算填寫以下幾項:
?扇區分配表(SAT)所占的扇區數;
?目錄流的起始扇區數;
?短流扇區分配表(SSAT)的起始扇區號及占用扇區數;
?主扇區分配表(MSAT)的起始扇區號及占用扇區數;
?扇區分配表的扇區號。

其他內容所有的復合文檔都是一樣,從正常文件拷貝過來即可。

四.具體恢復步驟

1、打開復合文檔
亚洲图揄拍自拍使用winhex工具打開損壞復合文檔以及正常復合文檔;

1556504999988066559.jpg

圖4 打開復合文檔

2、將頁轉換成扇區
winhex打開之后將頁轉換成扇區進行分析;

1556505038426059179.jpg

圖5 將頁轉換成扇區

3、復制文件頭
復制正常復合文檔的文件頭覆蓋掉損壞的文件頭,然后逐一修改相應參數;

1556505074363028823.jpg

圖6 復制文件頭

4、定位目錄流扇區起始扇區
目錄流標志是“root entry”,十六進制搜索“52006F00”,偏移位置512=0,如圖5所示,在41扇區找到目錄流起始扇區,確定了目錄流的起始扇區的參數為41-1=40,用十六進制表示就是28;

1556505118019081910.jpg

圖7 定位目錄流起始扇區

5、短流開始位置及大小
接著我們找短流(SSAT)。根據復合文檔定義,目錄流的第一表項0x74處的4個字節表示的是短流的起始扇區,如圖6中十六進制2B000000值為43,就是短流的開始。

開始扇區為43-1=42,十六進制值為2A,0x78處的4個字節表示的是短流的大小,大小就是十六進制800000,等于128/64=2,只有兩項就是占用一個扇區,大小就是1;

1556505155988023788.jpg

圖8 短流開始位置及大小

6、確定扇區分配表(SAT)
亚洲图揄拍自拍通過十六進制搜索“01000000”,偏移位置為512=0,如圖9所示,在40扇區找到標準扇區配置表,看到扇區中有一個“FDFFFFFF”,就可以確定就是SAT了。

亚洲图揄拍自拍最后一項SAT配置表中會有FDFFFFFF的值,表示這是一個SAT配置表的結束,并且有幾個FDFFFFFF就代表有幾個SAT配置表。本案例中只有一個FDFFFFFF那就只有一項SAT配置表;

1556505193504044389.jpg

圖9 確定扇區分配表

7、確定主扇區分配表(MSAT)的起始扇區號
亚洲图揄拍自拍主扇區分配表(MSAT)中存放的是扇區分配表(SAT)所在的扇區號。

本例中,扇區分配表(SAT)只有一個,根據復合文檔的格式定義,文件頭中可以存放109項SAT值,也就是說,只要文件的扇區分配表不大于109個,就不需要主扇區分配表。(嚴格的說是不需要額外的主扇區分配表,因為文件頭就可以容納下了,主扇區分配表(MSAT)是在SAT多于109項時,剩下的值用指定的扇區來記錄!)

根據定義,無額外主扇區分配表(MSAT)時,主扇區分配表的起始扇區號為-2,十六進制表示為FEFFFFFF,它占用的扇區數為0;

8、修復文件頭
關鍵值都計算出來后總結一下算好的值,然后手動填寫文件頭信息,修復后文件頭如圖10所示,保存文件,此時文檔仍然無法打開;

1556505246191032952.jpg

圖10 修復文件頭

9、修復文件內容
以上參數確定后,最后一步就是修復MSAT的內容了。

在0扇區定位到0X4C處,此處后的每個字節填寫一項SAT扇區編號。本實驗只有一個SAT,位置為39,轉換成十六進制為27000000,剩下的填寫成FFFFFFFF。保存文件,本次復合文檔手動修復工作圓滿完成。

1556505276723010527.jpg

圖11 修復后的文件頭

源妹小貼士

亚洲图揄拍自拍復合文檔頭的大小是512字節,一般在文檔頭的位置,該結構如圖12所示:

12.jpg

圖12 復合文檔頭結構

亚洲图揄拍自拍本文主要介紹了有關手動修復損壞文檔的操作方法,希望對您有一定的參考價值。歡迎點擊【閱讀原文】開始你的實操練習~

如對文中的操作、描述有任何疑問,或者有相關案件需要協助,歡迎撥打熱線電話028-85211099或直接在微信公眾號后臺給我們留言。

 

【擴展閱讀】






 

日前,江蘇無錫警方就成功打掉了一個搭建在暗網里的違法網站。

今年7月份,無錫警方在網絡巡查時發現了一個色情網站。看似普通的網絡論壇,里面充斥著色情信息及淫穢內容。但與一般的網站不同,這個網站不是架設在互聯網里,而是藏于暗網之中。

無錫市公安局網絡安全保衛支隊民警 許菲:暗網的使用者不可被追蹤,網站的訪問者不可被追蹤,所以暗網網站上交易的往往是一些非法的內容和商品。比如公民信息、電腦病毒、淫穢色情信息。

 

由于暗網偵查難度大,警方用了一個多月的時間,通過多種技術手段最終鎖定了犯罪嫌疑人王某,并查獲了服務器等作案工具。目前,王某因涉嫌傳播淫穢物品罪已被檢察機關批準逮捕。

無錫市公安局錫山分局網絡安全保衛大隊副大隊長 朱津津:據王某本人交代,他是從2017年左右開始在暗網上架設淫穢網站的論壇。截至王某到案時,網站已經發展會員6萬多人。

警方表示,根據監測,從2018年開始,國內搜索暗網的人數激增。主要區域集中在廣東、上海等經濟發達地區。近幾年,公安機關通過技術手段,加大了對暗網犯罪的打擊力度。

什么是暗網?

提到暗網,很多人會感到陌生,它其實就像互聯網一樣存在,只不過需要特殊的程序才能進入。由于更具有匿名性及不可追溯性,一些人會利用暗網發布違法信息,交易違法物品。

如果把互聯網比作廣袤大海的話,大多數人所接觸和使用的只是海面上的部分,也就是“表面上的網絡”,而海面之下的“暗網”,則隱藏于大眾視線之外,如要訪問則需要很多特殊的軟件、配置或者授權才能登錄,普通用戶是無法通過常規互聯網手段搜索到的。

近年來,由于“暗網”匿名性的特點,滋生了大量以網絡為勾聯工具的各類違法犯罪,比如買賣各類槍支彈藥、毒品、公民個人信息、提供黑客工具、傳授黑客技術教程,網絡攻擊,制作販賣淫穢物品等等。

值得關注的是,隨著國內訪問“暗網”人數的不斷增加,年輕人群體在不斷擴大,甚至還有未成年人涉及其中。

但是“暗網”并非“法外之地”,近年來,不法分子利用“暗網”實施違法犯罪的情況日益增多,公安機關不斷研究“暗網”相關違法犯罪問題,強化對“暗網”犯罪的打擊力度,成功偵破多起利用“暗網”實施違法犯罪的案件。并敦促有關單位加強網絡安全保護工作,從源頭上堵住安全隱患。

同時,全球警方對各國“暗網”犯罪都進行嚴厲打擊。包括規模較大的“暗網”黑市——“阿爾法灣”、“華爾街市場”等等已經被搗毀,相關犯罪嫌疑人和作案工具已被警方收繳。“暗網”毒瘤,包括中國在內的全球警方正在聯手鏟除。

“暗網”成為滋生犯罪的溫床

在中國裁判文書網輸入關鍵詞“暗網”,共可搜索到21例案件。其中,走私、販賣、運輸、制造毒品罪,以及侵犯公民個人信息罪分別有8例、7例,非法持有宣揚恐怖主義、極端主義物品罪共3例,其他三類犯罪各有1例,分別是綁架罪,破壞計算機信息系統罪,制作、復制、出版、販賣、傳播淫穢物品牟利罪。

2018年9月,江西省萍鄉市安源區人民法院公開宣判了萍鄉首例侵犯公民個人信息案,被告人通過“暗網”購買公民信用卡信息,然后綁定手機支付, 盜刷信用卡獲取非法利益。法院以侵犯公民個人信息罪,判處兩名被告人有期徒刑,并處數十萬元罰金。

今年6月,云南省羅平縣人民法院也公布了一起利用“暗網”侵犯公民個人信息的案例。被告人在境外網站發帖,標明提供個人戶籍、全家戶籍、開房記錄、同住記錄等公民個人信息的服務項目及價格,并在“暗網”市場上以比特幣交易,于2018年4月至11月期間,非法獲取、出售多人個人信息1000余條,獲利1.33315比特幣,并將1.30948比特幣兌換成人民幣41397.35元。

判決書顯示,被告人稱其找工作受騙后,萌生了“通過網上提供個人信息來賺錢”的想法。他出售信息的方式大多是通過中文論壇網、暗貨交易市場發給對方,有一部分是通過社交軟件發給對方。信息主要有人員軌跡、開房記錄、手機開戶信息等,其中,價格最高的是手機定位信息,最低的是戶籍信息。

此外,暗網中的淫穢和暴恐視頻也比較普遍。山東省平邑縣人民法院判決的一起案件顯示,被告人通過“暗網”了解并下載、交換獲取淫穢和暴恐視頻文件,并向3人傳播以牟取利益。

暗網”并非法外之地

公開資料顯示,今年4月30日,最大的“暗網”市場“夢想市場”宣布關閉。同一天,來自歐洲、加拿大和美國的執法機構開展行動并對外宣布,國際執法機構逮捕了61人,關閉了50個用于非法活動的黑暗網絡賬戶,執法部門執行了65份搜查令,查獲了2995公斤毒品、51支槍支以及超過6200萬歐元。

公開資料顯示,今年以來,全國公安機關共立案“暗網”相關案件16起,抓獲從事涉“暗網”違法犯罪活動的犯罪嫌疑人25名,其中已被判處有期徒刑的有兩名,刑事拘留23名。

隨著國內訪問“暗網”人數不斷增加,其中年輕人群體也在不斷擴大。“暗網”已成為國內網絡空間治理的新領域,“暗網”犯罪也給網絡空間治理帶來新挑戰。

江蘇海安市公安局刑警大隊七中隊副中隊長金明表示,當前打擊暗網犯罪存在制度、技術等多方面難度,所以各國打擊成效也參差不齊。由于網絡與物流的相互配合,導致涉毒犯罪形態變得更為專業,且販毒群體年齡層次偏低,具有職業化傾向。網絡無國界,必然要求各國在法律、制度、技術等方面加強國際合作,抓住關鍵環節,將犯罪分子繩之以法,不讓“暗網”成為法外之地。

復旦大學網絡空間戰略研究所倪俊博士撰文指出,中國應在學習借鑒國外“暗網”治理經驗做法的基礎上,進一步研究開展符合中國國情的治理措施。有關政府部門應組織國內重點網絡安全研究院所,展開專項工程攻關研究,盡快擁有適應中國網絡空間治理需求的“暗網”管控技術能力。

江蘇諾法律師事務所樊國民律師指出,“暗網”犯罪取證困難,這給執法部門打擊犯罪增加了難度。建議通過多種技術手段來提升取證能力。另外,國家應與一些涉及網絡安全的企業建立合作,聯合開發技術和工具,讓一些專業技術人員參與到治理“暗網”的具體行動中來。

他還建議,要強化相關法律法規落地,出重拳鏟除制作售賣假身份證、黑電話卡、虛假ID等網絡黑灰產業鏈,公安、網信部門聯合開展專項“暗網”打擊行動,加大對“暗網”和利用“暗網”實施犯罪行為的監控和打擊力度。

 

內容來源:綜合自 央視財經 光明網 央視網 中國青年報

效率源案件協助
隨著互聯網的高速發展,網絡犯罪案件數量爆發式增長,涉案網站勘驗取證工作量急劇上升,這就需要對涉案網站進行快速勘驗固定,提高工作效率節省人力時間。

WFS6910網站勘驗取證系統(簡稱WFS6910)是一款基于windows平臺開發的網站遠勘系統,它可以方便、高效地對所有網站進行遠程固定。WFS6910能對數據量大、內容多、信息更新快的網站進行自動化處理,快速生成網頁快照。勘驗過程同步截屏錄像,勘驗完成后生成哈希校驗與取證報告,符合司法規范。

【產品動態】



 

1543819634037037468.jpg

基礎完結篇

成為一名優秀的電子數據取證人員,應該是每個電子數據取證人員的終極夢想。但是如何成為一名優秀的電子數據取證人員?卻是不少從事電子數據取證工作者的困惑。

      誠然,以源妹初淺的行業認知和積累很難給大家太多可行的、有價值的分享,所以我們整理了一些行業大咖的分享和自己的心得,希望能給在電子數據取證這條路上奮力前行的朋友一些啟迪和思考。

 

1543819765321020024.jpg

為什么會說到效哥的夢想呢?因為最近效哥都在廢寢忘食、刻苦努力的學習電子數據取證知識。
問其緣由,說做一名優秀的電子數據取證人員,也能將犯罪分子繩之以法,也算是以另一種方式來圓了小時候的夢想。

3.jpg

效哥告訴我們說,真正接觸電子數據取證學習后,才知道要成為一名優秀的電子數據取證人員并不是那么容易。

借用,重慶市公安局網安總隊年輕的正高級大咖—田慶宜老師的話就是:

1543819850964059942.jpg

1543819885918068144.jpg

1、首要的是:熱愛

是不是覺得說“熱愛”很老套?

但是可能正是因為熱愛我們才會選擇進入這個行業,并為之不畏艱難,堅持下去。熱愛,是有能量的,能讓我們變得勇敢和堅持。

1543820001624083888.jpg

2、有規劃,有重點的多學習

1543819959123068393.jpg

這可能會是貫穿每個電子數據取證工作者整個工作生涯的事情。

除了龐雜的知識體系需要學習和掌握,還得時時面臨著新的技術難關、新的工作挑戰。怎么學,學什么,在哪學都非常重要。

效哥說,學習也得講究方法,像他開始那樣沒計劃、沒想法的亂學一通是不可取的。

8.jpg

1) 弄清楚需求:

首先要清楚電子數據取證到底需要具備哪些技能、需要哪些知識、這些技能和知識需要達到什么水平,然后根據實際需求有針對性的學習和進修,避免一把抓,浪費時間;

2) 分階段學習:
不要總想著一口吃個胖子,打好基礎,實實在在的積累,才更有利于高階知識的攝取和運用;

3) 不僅限于學習技術:
取證技術并不是學習的全部,技術更好地使用有賴于各種基礎知識的扎實。而且技術只是我們偵破案件的一種手段,多種思維和知識的靈活運用才能事半功倍;

4) 發揮優勢,重點出擊:
如果不能做一個優異全能型的選手,不如集中自身優勢,重點出擊,專攻某一項,或許未來會成為一位密碼破解頂級專家、視頻偵查頂級專家……

5)不斷獲取新東西:
不囿于行業,將其他行業、領域的新思路、新技術、新方法運用結合到電子數據取證中來,助力電子數據取證發展;

效哥學習渠道推薦

〓基礎學科知識,比如計算機基礎、法律、犯罪心理學等可以通過網易公開課、騰訊課堂等視頻課堂學習,也可以購買相關的基礎書籍;

〓行業知識和技能,可以通過行業線上交流群、行業微信公眾號、線下培訓班進修鉆研、國外的一些行業技術論壇等;

〓這里也有一些效哥經常取經學習的優質微信公眾號、網站等,有需求的話您也可以去看看哦:
【微信公眾號】:網安雜談、瘋人雜說、電子物證、丁爸 情報分析師的工具箱、數據安全與取證、信息時代的犯罪偵查、吳胖子講取證、電子數據取證與鑒定、電子取證、騰訊網絡安全與犯罪研究基地、EMLab攻防實驗室、網監研究、看雪學院、FreeBuf、刑事實務、小警之家。

【網站】:安全村、FreeBuf、forensic focus(英文網站可下載翻譯插件查看)、華盟網。

這些公眾號、網站上不乏行業大咖、專家、前輩們的精彩分享,是我們平時學習的寶貴渠道,在這里也把這些心愛之物分享給大家。

PS:肯定還有非常多的優秀公眾號、網站、論壇,我們還沒有關注到,也歡迎大家來補充哦!

3、重實踐,多動手

1543820075798006421.jpg

“讀萬卷書,行萬里路”,學習是為了更好的實踐,通過實際演練才能將學習的知識融會貫通。
只有通過實踐才能知道不同品牌、型號的手機最適合的數據提取方法;為什么這個廠家的監控視頻總是播放不了;拿到一塊不明情況的硬盤怎么避免誤操作導致數據的損壞;能夠從細微的細節判斷出案件中涉及的數據庫、服務器有什么問題、該怎么解決……通過豐富的實踐積累寶貴的經驗,提升技能能力。

1543820111783028468.jpg

1543820112112038799.jpg

1、電子數據取證的修煉之道——從小工到專家

2、瘋人胡話:電子取證中的幾個道道兒——瞎說的別信(上)

瘋人胡話:電子取證中的幾個道道兒——瞎說的別信(下)

效哥說,這幾篇行業大咖的分享讓他醍醐灌頂、受益良多,所以想在這里分享給大家。
雖然每個人對電子數據取證的理解有所不同,希望這些行業前輩的不同理解和認識可以給您一些啟迪和思考的方向。

12.jpg

后記

為什么今天會給大家分享這些內容?

因為,我們經常在微信后臺收到客戶對技術點的咨詢,前幾天晚上11點多還有客戶在后臺留言咨詢某個技術點如何操作。

所以,想要跟大家分享一些行業大咖的經驗和心得,希望給正在電子數據取證學習路上的朋友一些參考。

其實每次只要我們公眾號有好的技術文章分享,知識、技術、行業書籍分享活動時,大家都非常關注和活躍。大家對技術、知識的熱衷和渴望,對行業鉆研的意志和態度,常常讓我們感動。

眾所周知,現在電子數據取證工作越來越繁重,而新的取證技術、趨勢要求等一再的增加電子數據取證工作的難度和挑戰。

在面對越來越繁重、艱巨的電子數據取證工作時,電子數據取證人員迫切的想要豐富自己的取證知識、提升取證技能、開闊取證眼界。雖然我國電子數據取證發展迅速,但是國內電子數據取證全面興起的時間并不長,電子數據取證專業資料、專業書籍、渠道并不是太多、對電子數據取證人員全面系統的培訓相對欠缺、加之取證工作任務繁重,因此對電子數據取證的學習雖然迫切但是還是比較困難,所以我們希望能有更多的學習經驗、渠道和平臺跟大家分享。

如果您正好有好的學習渠道和方法
也希望您能在評論區留言
跟大家分享哦!

ps.今天這篇文章是“趣味學取證基礎篇”的最后一篇分享,下一期的趣味學取證我們會開啟“趣味學取證進階篇”,希望大家繼續關注我們哦!

 

【相關閱讀】