XLSX取证分析的变化
我有一个由未知的第三方修改的XLSX文件 (Microsoft Excel)。 追踪更改未启用。 是否有可能提取一些法医信息:
- 事件(行动,时间)
- 用户(用户名,主机名,IP地址)
我已经将该文件重命名为ZIP并提取了内容 。 看起来像下面的文件可能会有一些有希望的细节:
- comments1.xml
- styles.xml
- sharedStrings.xml
- printerSettings([0-9] +)。仓
但在我的情况下,我无法find有用的东西。
我能find一些有趣的东西,对我来说非常有用。
有一个名为sharedStrings.xml的文件,其中包含工作表中一个或多个单元格中使用的所有string。 工作表本身也会引用这个文件来节省资源。
共享string文件中的string按顺序logging。 如果您有特定的恶意事件(例如有人写了或覆盖了单元格内容),则可以确定之前和之后的所有活动。
sharedStrings.xml的示例内容:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
导致这一系列的行动:
- 添加新的单元格内容
First input
- 增加新的单元格内容
Second input
- 添加新的单元格内容
Third input
如果一个单元格的内容被replace,这个文件中的整个条目也被replace(没有可审计性)。 如果一个单元格的内容被删除,情况也是如此。 整个条目也将被删除。
在我的情况下,有可能确定哪个用户可能已经处理了恶意事件之前和之后的单元内容。 这不会导致一个具体的嫌疑犯,但它缩小了可能的嫌疑人名单。