Diese Frage hat hier bereits eine Antwort:
Ich glaube, es gibt MS Word-Dokumente auf einem Windows 10-System, aber die Erweiterungen wurden geändert, um sie auszublenden. Wie kann ich das Dateisystem durchsuchen und nach Dateien suchen? Inhalt , keine Erweiterungen, um unbeschriftete Word-Dokumente zu identifizieren?
Dokumente können DOC- oder DOCX-Dateien sein und sind möglicherweise kennwortgeschützt.
Antworten:
Sieht aus wie grep die Antwort ist. Binäre DOC-Dateien enthalten die Zeichenfolge Word.Document.8 :
"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice
Finde heraus, die Datei Signatur / magic Nummer für die gesuchte Version des Word-Dokuments. Sobald Sie herausgefunden haben, wie viele Bytes das sind, erhalten Sie die ersten n-Bytes von jeder Datei, die verwendet wird head -c <number of bytes in signature> <filename>|hexdump Vergleichen Sie dann die Ausgabe mit der gesuchten Signatur.
Beachten Sie, dass dies auf einem Linux-System funktionieren würde. Sie könnten das System mit einem Live-Image von booten Kali oder BackTrack und nutzen Sie einige der dort integrierten Forensik-Tools oder verwenden Sie sie einfach Debian . Auf diese Weise können Sie mit den anderen Tools die Änderungszeiten von Dateien usw. überprüfen, um festzustellen, ob große Stapel von Dateien geändert oder umbenannt wurden. Wenn Sie der Meinung sind, dass die Dateien in böswilliger Absicht hinzugefügt / geändert wurden, ist es möglicherweise eine gute Idee, das Dateisystem mit Hilfe von Forensik-Tools zu untersuchen, bevor es erneut mit dem Netzwerk verbunden werden kann.