Найти документы MS Word по содержанию, а не по расширению

285
BulletCatcher

Я считаю, что в системе Windows 10 есть документы MS Word, но их расширения были изменены, чтобы скрыть их. Как я могу выполнить поиск в файловой системе, обращаясь к содержимому файла, а не к расширениям, чтобы найти немеченые документы Word?

Документы могут быть .doc или .docx и могут быть защищены паролем.

-2

2 ответа на вопрос

0
BulletCatcher

Похоже, grep это ответ. Двоичные файлы .doc содержат строку Word.Document.8 :

"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice

0
Matt

Определите подпись файла / магический номер для версии документа Word, которую вы ищете. Как только вы определите, сколько байтов получит первые n-байтов из каждого файла, head -c <number of bytes in signature> <filename>|hexdumpсравните выходные данные с искомой сигнатурой.

Обратите внимание, что это будет работать в системе Linux, вы можете загрузить систему, используя Live-образ Kali или BackTrack, и воспользоваться некоторыми встроенными там инструментами судебной экспертизы, или просто использовать Debian . Это позволит вам использовать другие инструменты для просмотра времени изменения файла и т. Д., Чтобы увидеть, были ли большие партии файлов изменены или переименованы. Если вы думаете, что файлы были добавлены / изменены злонамеренно, то лучше посмотреть на файловую систему с помощью каких-либо инструментов судебной экспертизы, прежде чем снова разрешить ей подключаться к сети.

Похожие вопросы