我有一个 XLSX文件(Microsoft Excel),由未知的第三方修改。 跟踪更改未启用。有没有可能提取一些有关的法医信息:
我已将重命名为ZIP 并提取内容。对于以下文件,看起来可能会有一些有希望的细节:
但在我的情况下,我找不到任何有用的东西。
答案 0 :(得分:0)
我能够找到一些有趣的东西,这在我的案例中非常有用。
有一个名为 sharedStrings.xml 的文件,其中包含工作表中一个或多个单元格中使用的所有字符串。工作表本身确实引用此文件来节省资源。
共享字符串文件中的字符串按顺序记录。如果您有特定的恶意事件(例如某人编写或覆盖了单元格内容),您可以确定之前和之后的所有活动。
sharedStrings.xml 的示例内容:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
引导这一系列行动:
First input Second input Third input 如果替换了单元格的内容,则此文件中的整个条目也会被替换(没有可审计性)。如果删除单元格的内容也是如此。整个条目也将被删除。
在我的情况下,可以确定哪个用户可能已经处理了恶意事件之前和之后的单元格内容。这不会导致特定的嫌疑人,但它缩小了可能的嫌疑人名单。