【docx文件】可以有防恢复的功能!

640?

来源:信息时代的犯罪侦查

ID:besti_xxsddfzzc


自己删除了docx文件,可又被别人把内容恢复出来了,简直恼火!如何防止出现这种情况,把取证专家搞懵逼,请运用本文介绍的方法。

docx数据格式是个什么鬼?

这么多年以来,大家使用office软件编辑文档逐渐成了一种习惯。从offic97到2000、2003、2007、2010、2013、2016……。您关注到这些文件扩展名的变化了吗?没错,从*.doc已经变成了*.docx。

除了极其隐秘的结构之外,取证圈对doc格式已经搞得比较熟了。那么,docx又是一个什么鬼呢?

其实,docx是微软在office2007之后采取的一种新的复合文件结构,它采取了内容与格式适当分离、并将二者压缩在一起的方法。因此,docx文件本质上是一个压缩文件。你甚至可以把这个扩展名直接改成“.zip”,解压之后,就一目了然了。如下图:

640?wx_fmt=png

文档的具体内容保存在哪里了呢?就在word目录下的document.xml中。

如何让自己的文档更加保密

小编撰此文,不是要详细介绍docx的数据格式,而是要告诉大家一个更为隐秘的技巧,如何让自己的文档更加保密。

大家知道,保证一个文件比较安全的方法,可能会有如下几种方法。针对这些方法,在电子数据取证圈,分别又有不同的方法进行应对。

1、加个密码——密码破解

2、删除——数据恢复

3、有目的的破坏——文件修复

那到底如何保证docx文件更加安全呢?几年前,小编发现了一个技巧,当时只是少数人交流过,今天放出来跟大家分享。

使用二进制工具打开docx文件,向下查找word/document.xml字符串。

640?wx_fmt=png

在蓝色高亮显示区域的后面,从"D5"字节开始,随便找一些字节(一两个字节即可),将其修改,文件就完全无法打开了(您自己要记住修改前的样子哟)。这个范围,小编没有严格测试这个范围的大小,大概是到下一个“XML”之前,均可以。

使用这种方法,市面上几乎全部的取证软件、数据恢复软件都无法恢复、修复文件,也就意味着文件彻底无法打开了。当然,笔者编写了一个专用工具,可以对这段区域进行穷举恢复,但效果也一般。

其实,这种方法也并不难理解,归根结底,应该是破坏了zip的文件结构。

诚邀有兴趣的深入研究,与小编一起交流,把您的发现发到这里,让更多的人参与进来。不胜感激。


640?wx_fmt=png


640?wx_fmt=jpeg

640?wx_fmt=png

阅读更多
换一批

没有更多推荐了,返回首页