알 수없는 제 3 자에 의해 수정 된 XLSX 파일 (Microsoft Excel)이 있습니다. 트랙 변경을 사용할 수 없습니다. 에 관한 몇 가지 법의학 정보를 추출 할 수있는 가능성이 있습니다변경 사항에 대한 XLSX 법의학 분석
나는 는를 ZIP 할 파일을 이름을 변경 한 은 내용물을 추출 하였다.. 일부 유망 세부 사항을있을 수 있습니다 것처럼 다음 파일에 관해서 같습니다 :
그러나 제 경우에는 유용한 것을 찾을 수 없었습니다.
내 경우에 매우 유용한 흥미로운 것을 찾을 수있었습니다.
워크 시트의 하나 이상의 셀에 사용 된 모든 문자열을 포함하는 sharedStrings.xml이라는 파일이 있습니다. 워크 시트 자체는 리소스를 절약하기 위해이 파일을 참조합니다.
공유 문자열 파일의 문자열은 순차적으로 문서화됩니다. 특정 악의적 인 사건 (예 : 누군가 셀 내용을 쓰거나 덮어 쓴 경우)을 전후로 모든 활동을 확인할 수 있습니다.
예 콘텐츠 sharedStrings.xml 의 :
First inputSecond input<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
Third input셀 내용이 바뀌면이 파일의 전체 항목도 바뀝니다 (감사 기능이 없음). 셀 내용이 삭제 된 경우에도 마찬가지입니다. 전체 항목도 삭제됩니다.
필자의 경우 악의적 인 이벤트 전후에 어떤 사용자가 셀 내용을 처리했는지를 결정할 수있었습니다. 이것은 특정 용의자로 이어지지는 않지만 가능한 용의자의 목록을 좁혔습니다.