2017-09-13 12 views
1

알 수없는 제 3 자에 의해 수정 된 XLSX 파일 (Microsoft Excel)이 있습니다. 트랙 변경을 사용할 수 없습니다. 에 관한 몇 가지 법의학 정보를 추출 할 수있는 가능성이 있습니다변경 사항에 대한 XLSX 법의학 분석

  • 이벤트 (동작 시간)
  • 사용자가 (사용자 이름, 호스트 이름, IP 주소)

나는 를 ZIP 할 파일을 이름을 변경 한 은 내용물을 추출 하였다.. 일부 유망 세부 사항을있을 수 있습니다 것처럼 다음 파일에 관해서 같습니다 :

  • comments1.xml
  • styles.xml
  • sharedStrings.xml
  • printerSettings ([0-9] +) .bin

그러나 제 경우에는 유용한 것을 찾을 수 없었습니다.

답변

0

내 경우에 매우 유용한 흥미로운 것을 찾을 수있었습니다.

워크 시트의 하나 이상의 셀에 사용 된 모든 문자열을 포함하는 sharedStrings.xml이라는 파일이 있습니다. 워크 시트 자체는 리소스를 절약하기 위해이 파일을 참조합니다.

공유 문자열 파일의 문자열은 순차적으로 문서화됩니다. 특정 악의적 인 사건 (예 : 누군가 셀 내용을 쓰거나 덮어 쓴 경우)을 전후로 모든 활동을 확인할 수 있습니다.

예 콘텐츠 sharedStrings.xml 의 :

  1. 추가 된 새로운 셀 내용 First input
  2. 추가 된 새로운 셀 내용 Second input
  3. 추가 :
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?> 
    <sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst> 
    

    이 작업이 순서에 리드 새 셀 내용 Third input

셀 내용이 바뀌면이 파일의 전체 항목도 바뀝니다 (감사 기능이 없음). 셀 내용이 삭제 된 경우에도 마찬가지입니다. 전체 항목도 삭제됩니다.

필자의 경우 악의적 인 이벤트 전후에 어떤 사용자가 셀 내용을 처리했는지를 결정할 수있었습니다. 이것은 특정 용의자로 이어지지는 않지만 가능한 용의자의 목록을 좁혔습니다.