我有一个 XLSX 文件(Microsoft Excel),该文件已被未知的第 3 方修改。未启用跟踪更改。是否有可能提取一些有关以下方面的取证信息:
我已将文件重命名为 ZIP 并提取了内容。当涉及到以下文件时,看起来可能有一些有希望的细节:
但就我而言,我找不到任何有用的东西。
最佳答案
我能够找到一些有趣的东西,这对我来说非常有用。
有一个名为 sharedStrings.xml 的文件,其中包含工作表中一个或多个单元格中使用的所有字符串。工作表本身确实引用此文件以节省资源。
共享字符串文件中的字符串按顺序记录。如果您有特定的恶意事件(例如,有人写入或覆盖了单元格内容),您可能能够确定之前和之后的所有事件。
sharedStrings.xml 的示例内容:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
导致这个 Action 序列:
First input
Second input
Third input
如果单元格的内容被替换,则该文件中的整个条目也会被替换(没有可审计性)。如果删除单元格的内容也是如此。整个条目也将被删除。
在我的例子中,可以确定哪个用户可能在恶意事件之前和之后处理了单元格内容。这不会导致特定的嫌疑人,但它缩小了可能的嫌疑人名单。
关于xml - XLSX 对变更的取证分析,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46198532/