Похоже, grep это ответ. Двоичные файлы .doc содержат строку Word.Document.8 :
"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice
Я считаю, что в системе Windows 10 есть документы MS Word, но их расширения были изменены, чтобы скрыть их. Как я могу выполнить поиск в файловой системе, обращаясь к содержимому файла, а не к расширениям, чтобы найти немеченые документы Word?
Документы могут быть .doc или .docx и могут быть защищены паролем.
Похоже, grep это ответ. Двоичные файлы .doc содержат строку Word.Document.8 :
"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice
Определите подпись файла / магический номер для версии документа Word, которую вы ищете. Как только вы определите, сколько байтов получит первые n-байтов из каждого файла, head -c <number of bytes in signature> <filename>|hexdump
сравните выходные данные с искомой сигнатурой.
Обратите внимание, что это будет работать в системе Linux, вы можете загрузить систему, используя Live-образ Kali или BackTrack, и воспользоваться некоторыми встроенными там инструментами судебной экспертизы, или просто использовать Debian . Это позволит вам использовать другие инструменты для просмотра времени изменения файла и т. Д., Чтобы увидеть, были ли большие партии файлов изменены или переименованы. Если вы думаете, что файлы были добавлены / изменены злонамеренно, то лучше посмотреть на файловую систему с помощью каких-либо инструментов судебной экспертизы, прежде чем снова разрешить ей подключаться к сети.