Comments 18
Обнаруженные сведения подвели меня к мысли, что метаданные файла редактировались не известным мне способом.
Немного не понял. А если бы пользователь штатным способом нажал ссылку "Удаление свойств и личной информации", которая у Вас на скриншоте даже видна, результат был бы каким-то другим?
Меня это в каком контексте интересует. Понятно, что если мы диск исследуем, то там много чего можно накопать. Но заголовок статьи навёл на мысль, что именно внутри docx нашлись какие-то метаданные, которые штатным способом не вычищаются. А это уже риск даже если файл был куда-то переслан - и вот про это хотелось бы поподробнее.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Я уже потом сообразил, что Вас в Вашем кейсе интересовали дата/время измененения, которые действительно не вычищаются штатно. Но меня больше волнуют данные, которые могут помочь восстановить авторство документа/правок. В этой части в core.xml после кнопочки "Удалить..." всё чисто, в app.xml Штирлица выдаёт разве что ссылка на шаблон, если использован не стандартный Normal.dotm. В settings.xml вызывает подозрение docId, который выглядит как рандомный, но вот действительно ли он рандомный и нельзя ли чего-то из него вытянуть - вопрос, требующий отдельного изучения.
Ясно, в следующий раз будем менять дату на компе и с чистого листа набивать нужный файл.
Событие смены даты попадает в системный журнал. Очистка системного журнала является подозрительным действием.
На другом компьютере, стало быть, надо. И лучше через блокнот :)
И лучше через блокнот
FAR. Только FAR!
Последний FAR логирует (filename+timestamp) факты редактирования текстовых файлов в своей внутренней SQLite базе. Так что, только блокнот.
2.0 ничего не логирует.
2.0 в реестр логирует, не в SQLite
HKEY_CURRENT_USER\Software\Far2\SavedViewHistory
Я в курсе. Там только факт открытия (имя файла), а не дата/время, и Shift-Del (или Ctrl-Del) в списке эту историю замечательно чистит, средствами его самого же.
А ничего, что у каждого ключа/значения реестра есть даты создания и модификации. Если через API не достать, то криминалист вытащит из бинарника. Как и в NTFS, есть дата изменения файла, есть внутренний таймстамп изменения каждой ноды. Мамкины хакеры, переустанавливающие время модификации, не подозревают, что создают себе отягчающие.
А ничего, что у каждого ключа/значения реестра есть даты создания и модификации.
Ничего, потому что FAR (как минимум некоторые) ключи держит как блоб и переписывает их целиком, то есть абсолютно любое изменение (даже не относящееся к сабжевому файлу) обновит таймстемп. Потом можно после этого сделать сжатие файлов реестра и заполировать это сверху занулением пустых секторов на диске.
А можно действовать радикальным образом.
Событие смены даты попадает в системный журнал.
ВНЕЗАПНО, файл можно перенести на другой компьютер, провести там необходимые манипуляции, и перенести обратно (а на том компьютере диск забить нулями и поставить систему по новой, для надёжности).
Точно на пенсии в жулики подамся — коли тут такие специализды...
Гораздо проще: отсортировать файлы по значениям LSN или USN. Они возрастают вне зависимости от показаний системных часов.
я — Андрей Кравцов, специалист по реагированию на инциденты и цифровой криминалистике компании F6,
В той же спецификации указывалось, что документ, основанный на стандарте Office Open XML, является обычным ZIP‑архивом.
Ну точно классный тамада специалист и конкурсы идеи интересные.
Кто туда этого шлемазла на работу принял, если он «выяснил, что DOCX — это ZIP‑архив» только уже в процессе работы??? Это же, йоктель, базовые знания!
Это же, йоктель, базовые знания!
Это же, йоктель, базовое когнитивное искажение, когда человек что-то знает и ему кажется, что это базовое знание.
Прикиньте, я ни разу не «специалист по реагированию на инциденты и цифровой криминалистике» — однако даже я это знаю.
Это всё равно как работать хирургом, но при этом не знать, где у человека аппендикс. Хотя был один такой...
Тайны офиса: поиск скрытых метаданных в файлах DOCX, исправленных задним числом