안녕하세요. 도깬리 포렌식스 입니다.
오늘도 Zip 파일 복구에 대하여 알아 보겠습니다. 모두 화이팅 하세요.
MS 워드 문서와 관련된 어플리케이션
MS Office 2007 이후로 오피스 문서는 데이터를 압축된 XML 스트림 형식으로 저장하는 방식으로 바뀌었습니다.
워드 문서를 ZIP 파일로 이름을 바꾸고, WinRAR에서 열어 보면 압축된 XML의 구조를 확인할 수 있습니다.
.docx 파일의 주요 body 부분은 word/document.xml 스트림에 저장됩니다.
임베디드된 이미지들은 word/media 스트림에 저장됩니다.
위 둘은 word/_rels/document.xml.rels 스트림을 사용하여 상호 참조하게 됩니다.
압축된 ZIP 파일을 대상으로 하는 키워드 검색은 효과가 없습니다.
그러나 ZIP Index Entry Finder를 사용하여 경로 또는 이름으로 압축된 XML Word 스트림을 찾아 낼 수 있습니다.
word/document.xml 과 word/media/아래의 이미지 파일을 조사하면 유의미한 정보를 얻을 수 있습니다.
document.xml.rels 파일은 word/media 폴더에 포함된 이미지 파일을 word/document.xml 파일에 참조되는 파일과 연결해 주는 식별자를 포함합니다.
복구된 ZIP 아카이브에서 모든 내용을 추출하여, 각각의 내용을 폴더 구조에 맞게 통합하여 복원합니다.
복구된 내용을 삽입할 skeleton 역할을 할 새로운 임의의 Word 문서를 하나 만들고, 확장자를 ZIP으로 바꾸어 WinRAR로 불러 들이는 방법으로 폴더 구조에 맞추어 통합시키고, 다시 Word 문서로 바꾸어 열어 보면, 이미지가 삽입된 원래의 문서파일을 복원할 수 있게 됩니다.(저는 일부만 성공했어요.ㅠ)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] 윈도우 검색 흔적(Windows Search) 분석 (2) (0) | 2022.08.09 |
|---|---|
| [EnCase] 윈도우 검색 흔적(Windows Search) 분석 (1) (0) | 2022.08.07 |
| [EnCase] Zip 파일 복구 (1) (0) | 2022.08.03 |
| [EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (3) (0) | 2022.07.31 |
| [EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (2) (0) | 2022.07.29 |