Finden Sie MS Word-Dokumente nach Inhalt und nicht nach Erweiterung

400
BulletCatcher

Ich glaube, dass es auf einem Windows 10-System MS Word-Dokumente gibt, deren Erweiterungen jedoch geändert wurden, um sie auszublenden. Wie kann ich das Dateisystem suchen, mit Blick auf Datei Inhalt, keine Erweiterungen, alle unmarkierten Word - Dokumente zu identifizieren?

Dokumente können .doc oder .docx sein und sind durch ein Passwort geschützt.

-2

2 Antworten auf die Frage

0
BulletCatcher

Sieht aus wie Grep die Antwort ist. Binäre DOC-Dateien enthalten die Zeichenfolge Word.Document.8 :

"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice

0
Matt

Finden Sie die Dateisignatur / die magische Nummer der gewünschten Version des Word-Dokuments heraus. Wenn Sie herausgefunden haben, wie viele Bytes die ersten N-Bytes aus jeder Datei verwenden, head -c <number of bytes in signature> <filename>|hexdumpvergleichen Sie die Ausgabe mit der Signatur, nach der Sie suchen.

Beachten Sie, dass dies auf einem Linux-System funktionieren würde. Sie könnten das System mit einem Live-Image von Kali oder BackTrack starten und einige der dort integrierten Forensics-Tools nutzen oder einfach Debian verwenden . Auf diese Weise können Sie die anderen Tools verwenden, um die Änderungszeiten von Dateien usw. anzuzeigen und festzustellen, ob große Stapel von Dateien geändert oder umbenannt wurden. Wenn Sie der Meinung sind, dass die Dateien böswillig hinzugefügt / geändert wurden, kann es eine gute Idee sein, das Dateisystem mit forensischen Tools genauer zu betrachten, bevor Sie es wieder herstellen, um wieder eine Verbindung zum Netzwerk herzustellen.