office系列文件的加密检测

最新推荐文章于 2025-03-04 19:42:29 发布
最新推荐文章于 2025-03-04 19:42:29 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: linux

来自:   http://blog.csdn.net/liangjingbo/article/details/2992858

                                            知识概要  

    金山的wps系列的dps wps et的二进制格式是和微软的office系列的ppt word excel相对应的,OpenOffice应该也是一样兼容微软的二进制格式的。这里的原因大家都应该知道还不是因为人家微软是老大啊,不过有反垄断法的保护,微软还是要公开它的二进制格式给其他厂商的。闲话少说,开始正题.

       要进行二进制检测前,必须知道以下知识。

       1.仓库(这里有个很重要的 根仓库 root storage)

       2.标准流

       3.短流和短流存放流

       4.扇区

       5.短扇区

       6.主扇区配置表,扇区配置表,短扇区配置表

      

       简单的关系整理如下:

       1. 仓库中包含流(可能是标准流,也可能是短流),就像D盘中有文件一样

       2. 仓库中可以包含仓库  就像D盘中可以包含文件夹一样

       3. 存储的最小单位为扇区。流是一些扇区的组合,而扇区配置表指定了这些组合的关系

       4. 短流是小于标准流大小的流,而短流同样是一些扇区的组合,但是这些扇区又可以划分到短扇区单元

       5. 主扇区配置表,指定那些用于存储扇区配置表的扇区

       6. 扇区配置表和短扇区配置表,都是用来指定一个流所对应的扇区链

  

       如果如上关系搞不清楚,可参看 http://blog.csdn.net/liangjingbo/archive/2008/09/03/2874959.aspx,这篇文章。

 

                                                         加密检测

 

       复合文档的前512个字节都是很有格式规律的,在这里我们可以找到扇区大小,根仓库的入口地址,主扇区配置表等。

       进入分析之前,我们首先要找到根仓库的入口地址(即目录的入口地址)

       每个目录大小为128个字节,开头用64个字节描述该目录的名字

 

       1.word文件

        首先在目录中找到 “WordDocument”目录,对应的二进制为:

  1.   u_bits_8 word[23]={0x57,0x00,0x6F,0x00,0x72,0x00,0x64,0x00,0x44,0x00,0x6F,0x00,0x63,0x00,0x75,0x00,0x6D,0x00,0x65,0x00,0x6E,0x00,0x74}

注意:这里的大小端问题

然后查看该目录的流的入口sector,注意如果是该流的大小大于等于标准流的大小,则在  扇区配置表中(SAT)中查询扇区链,如果 小于标准流的大小,则在 短扇区配置表中(SSAT)中查询扇区链。定位到指定的扇区后,进行一定的偏移,进行判断。简易的代码示意如下:

  1. //judge whether .doc file is encrypted or not.
  2. int is_encrypted_doc(char* file_path)
  3. {
  4.   ifstream ifs(file_path,ios_base::binary);     
  5.   
  6.   if (ifs)
  7.   {
  8.       unsigned int stream_address;
  9.       sid_32 stream_sector;
  10.       int stream_length;
  11.       bits_8 tmp[20];
  12.       Header header(ifs); //read msat and sat chain
  13.       DirectoryEntry d_entry(&header);
  14.       if (!d_entry.get_stream_address("WordDocument",stream_address,stream_sector,stream_length))
  15.       {
  16.           ifs.close();
  17.           return FILE_ERROR;
  18.       }
  19.       ifs.seekg(stream_address);
  20.       ifs.read(&tmp[0],20);   
  21.       ifs.close();
  22.       if(tmp[11]&0x01) return FILE_ENCRYPTED ;
  23.       return FILE_COMMON;
  24.   }
  25.   else
  26.       return FILE_NO_FOUND;
  27. }

       2.excel文件

         excel文件和word文件的原理基本一致,它是寻找“workbook”目录。excel的配置是采用“配置名称 长度 内容”这种格式的,所以如果要找到加密的字段,必须从前面一直向后读,只读到加密的配置字段,简易代码如下:

 

  1. //judge whether .xls file is encrypted or not.
  2. int is_encrypted_xls(char* file_path)
  3. {
  4.   ifstream ifs(file_path,ios_base::binary);     
  5.   if (ifs)
  6.   {
  7.       unsigned int stream_address;
  8.       sid_32 stream_sector;
  9.       int stream_length;
  10.       bits_8 tmp[64];
  11.       Header header(ifs); //read msat and sat chain
  12.       DirectoryEntry d_entry(&header);
  13.       if (!d_entry.get_stream_address("WorkBook",stream_address,stream_sector,stream_length))
  14.       {
  15.           ifs.close();
  16.           return FILE_ERROR;
  17.       }
  18.       ifs.seekg(stream_address);
  19.       ifs.read(tmp,64);
  20.       unsigned int count = 0;
  21.       while (count+4< 64)
  22.       {
  23.            bits_16 flag = convert_chars_to_bits(tmp[count],tmp[count+1]);
  24.            if (flag!=FILEPASS)
  25.            {
  26.                flag =  convert_chars_to_bits(tmp[count+2],tmp[count+3]);
  27.                count+=flag+4;
  28.            }
  29.            else
  30.                return FILE_ENCRYPTED;
  31.       }
  32.       return FILE_COMMON;
  33.   }
  34.   else
  35.       return FILE_NO_FOUND;
  36. }

       3.ppt文件

        ppt文件的设置比较让人烦,在powerpoint2003中它的加密字段值为0xF3D1C4DF表示加密,可是powerpoint2002,这个值又表示不加密。这就郁闷了,后来发现了一个变通的方法,那就是加密的文档中的字段(0x0FF50000 -->RT_UserEditAtom. )的值不同,主要是加密文档多出了一些加密的信息,我们就是通过检测这个字段来完成加密检测的,由于该字段名字占了四个字节,所以就直接搜索二进制文件的内容就可以了,搜索到后,检测后面的一个字节,如果是0x1C 则为common ,为 0x20 则为encrypted。

注:版权所有,如有转帖请注明出处。


doc.xls,ppt,docx,xlsx,pptx文件加密判断
qq_39268442的博客
10-12 3619
officewps采用的都是复合文档格式,至于什么是复合文档可以参考:http://club.excelhome.net/thread-227502-1-1.html。 虽然两者都是复合文档格式,而且流名称相同,但是流的位置稍有偏差(位置计算方式相同)。具体的文档结构可以通过工具查看。工具地址:https://download.csdn.net/download/qq_39268442/118...
关于如何在VC中操作Word,以判断文档是否加密
02-28 3681
问题:怎样判断word是否加密?是WORD软件中设置的加密 。这个问题涉及到如何通过VC调用office的组件库,进而实现操作Word的问题。其实如果是在VB或者VBA里面进行调用,会比较的容易,使用VC相对的麻烦些。这ADO是一样的,在VB里面调用很容易,结构清晰,在VC里面调用就复杂好多。具体的解决分下面几步:1、在VC中引入office组件库,把下面的代码放入到stdafx.
如何用OpenXml判断一个Office文档是否用密码加密
红泥屋
11-24 1751
实际上我们是不能用OpenXml SDK去判断一个Office文档是否用密码加密过的。我们可以试着把文档的扩展名改为"zip"然后解压缩它。你会发现解压缩出来的内容与一个正常文档解压缩出来的内容大相径庭。或许这也是我们判断文档是否加密的最好依据。
doc, xls, ppt, docx, xlsx, pptx文件格式分析工具(office2003openxml)
11-11
支持word2003的文件格式分析(doc, xls, ppt),也支持(docx, xlsx, pptx)文件格式分析,全图形化界面工具; 本人也在从事pdf, word2003, openxml文件格式相关开发
Java文件类型识别与加密检测
最新发布
qq_43388295的博客
03-04 384
通过本文的代码示例,我们可以快速实现以下功能:根据Content-Type精准识别常见文件类型。利用Apache POI检测Office文档的加密状态。防御ZIP炸弹攻击,提升系统安全性。
恶意Office文档检测——OfficeMalScanner
04-01
"Cadt.dll"可能是一个辅助组件,用于处理Office文档的特定格式或加密。 "DisView.exe"可能是一个内存调试或反汇编器,用于查看分析可疑代码的运行过程,这对于理解恶意软件的行为至关重要。此外,"Excel 找回丢失...
MS Office文档的加密转换与自动销毁技术
本文将详细介绍文档加密保护与销毁的关键知识点,并以Unnoo Document Protector为例,探讨如何将MS Office文档转换为加密的UND文档,以及如何设置文档的阅读次数自动销毁时间,确保文档的安全性合规性。...
在.NET中检测Microsoft文档加密方法
首先,了解Office文档加密机制是进行检测的基础。从Microsoft Office 97版本开始,Microsoft引入了文档加密功能,它使用了密码保护用户文档,阻止未授权用户访问文档内容。加密可以应用于单个文档,也可以在组织级别...
如何检测Microsoft文档是否已在.NET中加密
04-07
嗨,我看到了一个看起来很酷的取证工具,它扫描了您的硬盘驱动器,以查找加密的Microsoft Office文档:.doc,.xls,.docx ect。 它花费了一大笔钱,但我认为建造起来可能不会那么困难吗? 事实是,我还没有真正看到...
判断文件是否加密
bruce135lee的专栏
06-30 8155
在你把图片加密的时候,先定义一个文件头比如长度为30个字节,譬如:EPF(就是 加密的图片文件 的意思),然后写入文件的长度。还可以写入一些加密时间或特殊的加密标志等等。在这30个字节后面在写入你加密完成的图片文件。解密的时候,先用文件打开这30个字节,如果你预先设定的若干内容相同,则认为是你的加密图片文件,之后读取这些数据,把这些数据解密就可以了。如果打开的数据文件不包含特定的字符,则是标准的...
判断文件是否加密
奔跑的猪皮
09-23 4020
private static final String ENCRYPT_HEADER = "%TSD-Header-###%"; private static final int BUFFER_SIZE = 20; /** * 校验加密文件 * * @param bytes * @return * @author lc */ private static void checkedFile(byte[] bytes)...
检测WORD文档是否加密
chijie6848的博客
12-11 3480
Maven Dependencies <dependency> <groupId>org.apache.tika</groupId> <artifactId>tika-core...
linux检测文件是否加锁,Linux 文件锁 - mrsuperli的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39573598的博客
05-02 1995
文件锁Linux 支持的文件锁技术主要包括劝告锁(advisory lock)强制锁(mandatory lock)这两种。在 Linux 中,不论进程是在使用劝告锁还是强制锁,它都可以同时使用共享锁排他锁(又称为读锁写锁)劝告锁:内核只提供加锁以及检测文件是否已经加锁的手段,但是内核并不参与锁的控制协调。因此,劝告锁并不能阻止进程对文件的访问,而只能依靠各个进程在访问文件之前检查该文件是...
JAVA使用jacob判断word附件是否加密
qq_22973339的博客
10-29 2383
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
加密文件识别处理常见编码
2201_75626311的博客
07-30 861
CTF竞赛中,可能会遇到一些加密或编码过的文件,需要识别出加密算法或解码方式,并还原文件内容。这些加密文件可以采用各种不同的加密算法编码方式,包括对称加密算法、非对称加密算法、哈希函数等等。文件分析题目类型:文件格式分析、字符频率分析、加密算法特征分析该题目类型是通过分析文件的二进制格式或文件头、文件标签信息,推断出文件的类型可能的加密方式,使用相关技术进行解密,寻找flag值。
读取加密excel文档
desonliu的专栏
11-20 1485
jxcell.jar
曲线救国!Python操控WPS文件自动化
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
01-07 2310
python对wps做自动化的一种思路
dps或者ppt文件判断是否加密
xuyun0565的专栏
07-29 386
同样的方法判断ppt也可以,但是在判断wps保存的dps文件时,提示没有加密文件双击打开时又需要密码,查看ppt格式文档有下面发现。doc文件是否加密可以通过fib来判断,例如。后面再研究doc xls有没有类似的加密标识。查看文件的二进制发现了加密标识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值