Я считаю, что в системе Windows 10 есть документы MS Word, но их расширения были изменены, чтобы скрыть их. Как я могу выполнить поиск в файловой системе, обращаясь к содержимому файла, а не к расширениям, чтобы найти немеченые документы Word?
Документы могут быть .doc или .docx и могут быть защищены паролем.
Похоже, grep это ответ. Двоичные файлы .doc содержат строку Word.Документ 8:
Слово "GnuWin32\bin\grep.exe" -a -r ".Document.8 "c:\Users\alice"
Определите подпись файла/ магический номер для версии документа Word, которую вы ищете. Как только вы определите, сколько байтов получит первые n-байты из каждого файла, используя head -c <number of bytes in signature> <filename>|hexdump сравните вывод с искомой сигнатурой.
Обратите внимание, что это будет работать в системе Linux, вы можете загрузить систему, используя Live-образ Kali или BackTrack, и воспользоваться некоторыми встроенными там инструментами судебной экспертизы, или просто использовать Debian. Это позволит вам использовать другие инструменты для просмотра времени изменения файла и т.д., Чтобы увидеть, были ли большие партии файлов изменены или переименованы. Если вы думаете, что файлы были добавлены / изменены злонамеренно, то лучше посмотреть на файловую систему с помощью каких-либо инструментов судебной экспертизы, прежде чем снова разрешить ей подключаться к сети.
