MetaInfo

Сообщение VPZ » 23 сен 2007, 08:29

andre_m писал(а):"Средства ОС" - это когда вы щелкаете правой кнопкой мыши по файлу. То что они врут...насчет основных свойств (автор/последний автор/Производитель(Компания) не уверен, что врут. Насчет дат напишу ниже.

Вот про даты как раз и врут

andre_m писал(а):А у Вас есть официальное описание форматов Microsoft Compound Document и Microsoft Excel File Format (про проекты энтузиастов OpenOffice.org мне известно). Насколько мне известно, все более-менее расшифровано только до версии Word97. Я опирался на MSDN, где есть примеры извлечения метаданных. На них я и опирался.

Это закрытые форматы, Microsoft их не документирует.

andre_m писал(а):
VPZ писал(а):А зачем тогда вообще формировать такой отчет? Зачем писать эти столбцы, если они бессмысленны (по Вашему мнению)? Файл загромождается, распечатать его на A4 становится практически нереально.

Удалить парочку колонок - на это эксперт не способен? Или дело в том, что эксперт не может вносить изменений в результаты работы программы? Процессуально это может и правильно, но даже в отчеты EnCase можно вносить изменения.

Дело не в процессуальности. Все же рискну повторить вопрос: "А зачем тогда вообще формировать такой отчет?", если эксперт потом все равно ДОЛЖЕН БУДЕТ выкинуть несколько столбцов, поскольку они содержат данные, не соответствующие действительности? К тому же эксперта перед использованием программы надо явно предупреждать о том, что содержание таких-то столбцов не отражает реального положения вещей.

andre_m писал(а):Попробуйте в Excel XP открыть файл,

Это "работает" и на более ранних версиях.

andre_m писал(а):затем открыть его в предварительном просмотре (но не печатайте!). А затем проверьте его метаданное "Дата последней печати". Вот "средства ОС" "прекрасно" там рисуют текущее на момент предварительного просмотра значение. Но файл ведь не распечатывался! А что покажет Ваша программа? Неужели там все будет правильно?

Если файл не сохранять, после описанных Вами манипуляций, то естественно все будет показано правильно.

Возвращаясь к ранее сказанному:
andre_m писал(а):сообщение появляется, если файлы не имеют метаданных (существуют даже бинарные файлы, спокойно открываемые Excel, не имеющие соответствующей сигнатуры. Есть где-то у меня пример формирования такого файла).
Также собщение появится если данный файл у вас открыт в Word'e (попробуйте открыть документ и одновременно посмотреть его свойства средствами ОС).
Иные случаи мне пока не известны.

Нашел "иной" случай. Файл doc, метаданные в наличии, при обработке файла программа пишет "ошибка..."
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Marat » 23 сен 2007, 15:51

andre_m,
широко известный пример :)
_http://www.computerbytesman.com/privacy/blair.doc
попробовал на нем,но может из-за того что у меня на ПК какие-то проблемы(у интерфейса знаки ? вместо букв) может делаю что не так-
вообщем отчет-весьма скудноват.
Можешь выложить результат работы программы на примере blair.doc?
Возможно ли сделать вывод отчета просто в текстовый файл?
Возможно ли добавить использование из ком. строки?
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение andre_m » 23 сен 2007, 22:25

Marat писал(а):широко известный пример :)
http://www.computerbytesman.com/privacy/blair.doc


У меня все свойства извлекаются. Обнаружил, что, действительно, с определением метаданных времени есть ньюансы, о которых писал VPZ.
Сравнил три результата:

1. "Metainfo"
2. "Средства ОС"
3. "Structured Storage Viewer 2.1.0.0" MiTeC (http://www.mitec.cz/Downloads/SSView.zip)

Даты, определенные в случаях 1 и 2 совпадают. В случае 3 - даты отстают на 3 часа.
Собака зарыта в том, что ОС и Metainfo приводят даты в соответствии с часовым поясом Беларуси (+ летнее время), а программа SS Viewer показывает его в формате GMT.
И как тогда правильно? И откуда знать, в каком часовом поясе подготовлен файл? В Беларуси с такой проблемой не сталкивался, т.к. часовой пояс на местных компьютерах вряд ли будет "чужой".
(А ведь есть еще "дробные" чаcовые пояса)

Marat писал(а):вообщем отчет-весьма скудноват.


А какие метаданные еще Вас интересуют?
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение andre_m » 23 сен 2007, 22:40

VPZ писал(а):Нашел "иной" случай. Файл doc, метаданные в наличии, при обработке файла программа пишет "ошибка..."


Очень хочу увидеть Ваш файл.

VPZ писал(а):Если файл не сохранять, после описанных Вами манипуляций, то естественно все будет показано правильно.


Я как раз имел в виду случай "после сохранения" иное меня не интересует.
Т.е. Ваша и моя программа покажут, что таблица XLS распечатывалась, а это может быть и не так. Надо писать в экспертизе, что колонка "Дата последней печати" для файлов XLS вообще содержит недостоверные данные.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Marat » 23 сен 2007, 23:06

andre_m,
У меня все свойства извлекаются
,
Видимо,я что-то делаю не так.Поэтому и прошу чтобы Вы выложили файл отчета.
И как тогда правильно? И откуда знать, в каком часовом поясе подготовлен файл? В Беларуси с такой проблемой не сталкивался, т.к. часовой пояс на местных компьютерах вряд ли будет "чужой".

Думаю,правильно привязываться ко времени ПК на котором данный файл обнаружен ;)
А какие метаданные еще Вас интересуют?

Все которые можно вытащить включая ОС.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 24 сен 2007, 19:24

По просьбе andre_m выложено:
http://computer-forensics-lab.org/lib/d ... Output.txt

Это, я так понимаю, отчет программы MetaInfo по файлу blair.doc
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6979
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение andre_m » 24 сен 2007, 20:33

Marat писал(а):Все которые можно вытащить включая ОС.


Извините, про такие метаданные я не знаю. :(
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Marat » 24 сен 2007, 20:49

andre_m,
приблизительно так выглядит отчет для blair.doc нескольких известных мне программ.Теперь можно сравнить с вашим.
Statistics
--------------------
File = blair.doc
Size = 65024 bytes
Magic = 0xa5ec (Word 8.0)
Version = 193
LangID = English (US)


Document was created on Windows.

Magic Created : MS Word 97
Magic Revised : MS Word 97

--------------------
Last Author(s) Info
--------------------
1 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
2 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
3 : cic22 : C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
4 : JPratt : C:\TEMP\Iraq - security.doc
5 : JPratt : A:\Iraq - security.doc
6 : ablackshaw : C:\ABlackshaw\Iraq - security.doc
7 : ablackshaw : C:\ABlackshaw\A;Iraq - security.doc
8 : ablackshaw : A:\Iraq - security.doc
9 : MKhan : C:\TEMP\Iraq - security.doc
10 : MKhan : C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc

--------------------
Summary Information
--------------------
Title : Iraq- ITS INFRASTRUCTURE OF CONCEALMENT, DECEPTION AND INTIMIDATION
Subject :
Authress : default
LastAuth : MKhan
RevNum : 4
AppName : Microsoft Word 8.0
Created : 03.02.2003, 09:31:00
Last Saved : 03.02.2003, 11:18:00
Last Printed : 30.01.2003, 21:33:00

--------------------
Document Summary Information
--------------------
Organization : default

Включая ОС-есть пакет офиса для OS X,и эти данные(Windows или OS X) хотелось чтобы отображались.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение andre_m » 25 сен 2007, 15:47

Круто, нечего сказать.
Про ОС...
Уверен, что файлы набранные в Open Office Word или в MacOS будут иметь отличия от Microsoft Word. Конкретную версию ОС я не вижу.
Т.е. толку от этого свойства нет никакого.
Метаданные типа Last Authors интересны (хотя я думаю что цепочку можно проследить если только включено быстрое сохранение, которое по-умолчанию выкл.).
Да и про имеющиеся картинки в файле не мешало бы мне добавить в Metainfo.
Последний раз редактировалось andre_m 25 сен 2007, 17:45, всего редактировалось 1 раз.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Marat » 25 сен 2007, 17:35

andre_m,
Уверен, что файлы набранные в Open Office Word будут иметь отличия от Microsoft Word. Конкретную версию ОС я не вижу

А причем здесь Open Office Word?Есть Microsoft Office for Mac ;)
Т.е. толку от этого свойства нет никакого.

Мнение интересное-спорить не буду.
Только как объяснять если файл девки.doc выявлен на ПК с установленной ОС Win,а метаданные покажут что создан он в OS X?
Опять же,я никому не навязываю какие данные получать,а просто высказал мнение -что хочется получить максимум.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение andre_m » 25 сен 2007, 19:56

Короче вопросов появилось много.
Marat
plz может скините ссылку на утилитку, описанную вами, а то обыскал весь и-нет - нашел только в виде скрипта perl. В windows perl не компилится, а полноценного линукса как назло под рукой нет.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Igor Mikhaylov » 25 сен 2007, 20:35

andre_m писал(а):обыскал весь и-нет - нашел только в виде скрипта perl.

Скрипт от господина Harlan ? :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6979
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение andre_m » 25 сен 2007, 21:13

Точно!
Вопрос не по теме: А его книга Windows Incident Response Вам не попадалась?
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Marat » 25 сен 2007, 21:37

andre_m,
нашел только в виде скрипта perl. В windows perl не компилится

именно этим скриптом и сделан данный отчет,и именно в среде windows :)
WordLeaker идет с исходниками
_http://elligre.tk/madelman/index.php/programas
отчет
WordLeaker v.0.1
by Madelman (http://elligre.tk/madelman/)

File: blair.doc
Product version: 113
Language: U.S. English
Created by: Word 97 (Build 8/21/98)
Revised by: Word 97 (Build 8/21/98)

Summary:
--------

Title: Iraq- ITS INFRASTRUCTURE OF CONCEALMENT, DECEPTION AND INTIMIDATION
Subject:
Author: default
Keywords:
Comments:
Template: Normal.dot
Last Saved By: MKhan
Revision Number: 4
Creating Application: Microsoft Word 8.0
Total Editing Time: Wed Apr 22 11:27:48 2009
Last Printed: Thu Jan 30 13:33:00 2003
Create Time/Date: Mon Feb 03 01:31:00 2003
Last Saved Time/Date: Mon Feb 03 03:18:00 2003
Number of Pages: 1
Number of Words: 3875
Number of Characters: 22090
Security: 0

Revision:
---------

Rev #0: Author "cic22" worked on file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd"
Rev #1: Author "cic22" worked on file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd"
Rev #2: Author "cic22" worked on file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd"
Rev #3: Author "JPratt" worked on file "C:\TEMP\Iraq - security.doc"
Rev #4: Author "JPratt" worked on file "A:\Iraq - security.doc"
Rev #5: Author "ablackshaw" worked on file "C:\ABlackshaw\Iraq - security.doc"
Rev #6: Author "ablackshaw" worked on file "C:\ABlackshaw\A;Iraq - security.doc"
Rev #7: Author "ablackshaw" worked on file "A:\Iraq - security.doc"
Rev #8: Author "MKhan" worked on file "C:\TEMP\Iraq - security.doc"
Rev #9: Author "MKhan" worked on file "C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc"


Могу сделать отчет прогой WordDumper он по информативности где-то такой же.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 01 окт 2007, 00:54

andre_m писал(а):Уверен, что файлы набранные в Open Office Word или в MacOS будут иметь отличия от Microsoft Word. Конкретную версию ОС я не вижу.
Т.е. толку от этого свойства нет никакого.

Информация об ОС, под которой создан документ, хранится в некоторых файлах, создаваемых офисом. Но это характерно не для всех OLE2-файлов, да и вообще к метаданным отношения не имеет.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Пред.След.

Вернуться в Тестирование

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0