XLSX取证分析变化
XLSX forensic analysis of changes
我有一个 XLSX 文件 (Microsoft Excel),它被未知的第 3 方修改过。 跟踪更改 未启用。是否有可能提取有关以下方面的一些取证信息:
- 事件(动作、时间)
- 用户(用户名、主机名、IP 地址)
我已将文件重命名为 ZIP 并提取了内容。对于以下文件,看起来可能有一些有希望的细节:
- comments1.xml
- styles.xml
- sharedStrings.xml
- 打印机设置([0-9]+).bin
但就我而言,我找不到任何有用的东西。
我找到了一些有趣的东西,这对我的情况非常有用。
有一个名为 sharedStrings.xml 的文件,其中包含工作表中一个或多个单元格中使用的所有字符串。工作表本身会引用此文件以节省资源。
共享字符串文件中的字符串是按顺序记录的。如果您有特定的恶意事件(例如,有人写入或覆盖单元格内容),您可能能够确定之前和之后的所有活动。
sharedStrings.xml的示例内容:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
导致这一系列操作:
- 添加了新的单元格内容
First input
- 添加了新的单元格内容
Second input
- 添加了新的单元格内容
Third input
如果一个单元格的内容被替换,这个文件中的整个条目也会被替换(没有可审计性)。如果单元格的内容被删除,情况也是如此。整个条目也将被删除。
在我的案例中,可以确定哪个用户可能在恶意事件前后处理了单元格内容。这不会导致具体的嫌疑人,但它缩小了可能的嫌疑人名单。
我有一个 XLSX 文件 (Microsoft Excel),它被未知的第 3 方修改过。 跟踪更改 未启用。是否有可能提取有关以下方面的一些取证信息:
- 事件(动作、时间)
- 用户(用户名、主机名、IP 地址)
我已将文件重命名为 ZIP 并提取了内容。对于以下文件,看起来可能有一些有希望的细节:
- comments1.xml
- styles.xml
- sharedStrings.xml
- 打印机设置([0-9]+).bin
但就我而言,我找不到任何有用的东西。
我找到了一些有趣的东西,这对我的情况非常有用。
有一个名为 sharedStrings.xml 的文件,其中包含工作表中一个或多个单元格中使用的所有字符串。工作表本身会引用此文件以节省资源。
共享字符串文件中的字符串是按顺序记录的。如果您有特定的恶意事件(例如,有人写入或覆盖单元格内容),您可能能够确定之前和之后的所有活动。
sharedStrings.xml的示例内容:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
导致这一系列操作:
- 添加了新的单元格内容
First input - 添加了新的单元格内容
Second input - 添加了新的单元格内容
Third input
如果一个单元格的内容被替换,这个文件中的整个条目也会被替换(没有可审计性)。如果单元格的内容被删除,情况也是如此。整个条目也将被删除。
在我的案例中,可以确定哪个用户可能在恶意事件前后处理了单元格内容。这不会导致具体的嫌疑人,但它缩小了可能的嫌疑人名单。