sábado, julio 27, 2013

Metadatos perdidos en archivos de MS Office perdidos

Las aplicaciones de Microsoft Office tienen una opción muy útil de generar una copia autoguardada del fichero con el que se está trabajando por si acaso se produce un error de la aplicación, poder recuperarse. Estos ficheros de autoguardado han ido cambiando con el tiempo, pero todos tienen dos características curiosas: Son en formato binario y conservan todos los metadatos.

Figura 1: Presentaciones PowerPoint en ficheros de autoguardado TMP

Los ficheros originales eran todos con extensión TMP, así que es muy habitual encontrar ficheros con extensión TMP que realmente sean reconocidos como documentos PPT, XLS o DOC. Cuando se busca con Google para hacer Hacking con buscadores, hay que tener en cuenta que con filetype:PPT no van a aparecer, así que hay que buscar esos documentos con extensión TMP.

Figura 2: Archivos EXCEL autoguardados en formato XAR

En el caso de Microsoft Excel, además de los archivos .TMP antiguos, está también el formato XAR. De nuevo se trata de un formato binario, y también conserva todos sus metadatos, información oculta y datos perdidos.

Figura 3: Archivos DOC autoguardados con formato ASD

En el caso de Microsoft Word, dependiendo de la versión que usemos vamos a encontrar ficheros con extensión .ASD o .WBK. No importa si estamos trabajando en Microsoft Office 2007 o superior con ficheros OOXML, en este caso los archivos son binarios también.

Figura 4: Archivos DOC autoguardados en formato WBK

Por supuesto, si bajamos uno de esos archivos y los subimos a la la FOCA Online, podremos ver cómo está lleno de sus metadatos, por lo que si estuviéramos haciendo una auditoría podrían venir de maravilla. Si queremos ver el documento, le cambiamos la extensión a .DOC (formato binario), para ver qué metadatos hay en él.

Figura 5: Análisis con FOCA Online de los metadatos de un archivo autoguardado

En definitiva, que si vas a buscar los metadatos, o hacer un análisis forense digital de los archivos de un sistema, acuérdate no solo de buscar las extensiones más comunes, y dale un vistazo a los TMP, XAR, ASD y WBK que puede que te den algún dato clave en la resolución del caso.

Saludos Malignos!

2 comentarios:

Anónimo dijo...

Realmente interesante. Gracias

Anónimo dijo...

saludos chema quisiera saber q es el DNS de google y saber si es conveniente?

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares