¿Será o no será un .doc?

Muchos han escuchado de editores hexadecimales… aquí se encontrará una forma de cómo te puede servir para identificar que tipo de archivo estas revisando. Actualmente utilizo el programa winhex para visualizar y modificar archivos binarios (en el mercado existen diversos editores).

¿Cómo empecé a usarlo? En un caso de forensics debía revisar los documentos word de una pc pero como la persona investigada era de sistemas cambió la extensión de algunos archivos, por ello se debía encontrar una forma de reconocer los archivos que eran word o excel.
El primer paso es descargarte un editor hexadecimal, en el caso de winhex se deberá arrastrar el archivo y activar la vista “Hex Display Only” para ver el encabezado.

[singlepic=60,320,240,,center]

Si es un archivo Office tendrá el siguiente encabezado: D0 CF 11 E0 A1 B1 1A E1

En el primer ejemplo se abrirá un documento word :

[singlepic=61,320,240,,center]

En el segundo caso es un archivo .xls

[singlepic=62,320,240,,center]

Ahora… que pasa cuando un archivo esta dañado? Pues tendrá el siguiente encabezado…

[singlepic=63,320,240,,center]

En el caso del archivo dañado hay formas para recuperarlo en office, eso se verá en otro momento.

El siguiente ejemplo es el caso de un archivo comprimido (.zip) que inicia como 50 4B

[singlepic=64,320,240,,center]

Es importante señalar que aunque el archivo en office se encuentre grabado con claves, el encabezado será el mismo. Además si se da el caso de un archivo cuya extensión ha sido modificado igual se podrá identificar el encabezado de office en el editor. Esta forma es fácil y rápida dado que en herramientas de forensics más sofisticadas el ejecutar un proceso que identifique estos archivos toma unas cuantas horas.
Espero sea útil…

Saludos

Yk

7 thoughts on “¿Será o no será un .doc?”

  1. Hola Reyner,

    Es muy bueno lo que explicas anteriormente; pero me interesaria conocer como dentro de este editor, puedo localizar la contraseña, de un documento con clave en su apertura, si es posible detectar el comienzo en hexadecimal.

    Saludos,
    Celia

    1. Hola Celia gracias por escribir.. Lamentablemente no he encontrado la ubicación exacta del password. Lo más fácil en este caso es usar tipos de software que mediante fuerza bruta puede abrirlo.

  2. Hola Reyner,

    De nada hombre, encontré tu sitio en una búsqueda sobre Google y me pareció de interés el tema, funciona muy bien, felicidades.
    En cuanto a lo que me comentas, lo he intentado con: Advanced Office XP Password Recovery, installer_word_password_recovery_master_2_0_0_3_Español_Spanish y nada.
    Tienes experiencias en el uso de OllyDBG?.
    Saludos,
    celia

    1. Hola Celia.. La verdad ahora estoy mas metido en temas de Arquitectura Empresarial, SOA, Gerencia de Proyectos, etc.
      y he dejado un poco de lado el tema tecnico puro, que me encanta tambien, .
      OllyDBG ..si no me equivoco es una herramienta para win32 con el que puedes analizar binariamiente documentos…
      la verdad no lo he usado y mi conocimiento sobre el ..solo es lo que te comento.. si tu lo usas me encantara saber más.

      gracias por escribir

  3. Bueno yo estoy en lo mismo, lo que necesitaba encontrar la contraseña de un documento word y me acordé de esa herramienta; pero tampoco he llegado a nada, pues cuando logro que word tenga el control, ya no puedo ver nada desde OllyDBG, hasta tanto no cierro el word, ah que no puedo debuguear la ventana de contraseña; por eso te preguntaba. Solo tengo documentos de la herramienta; pero como no es mi tema, necesito mucho por aprender de todas maneras es muy bueno craking programas. Si logro averiguarlo te comento.
    Saludos,
    Celia

    1. Gracias ..ya sabes como encontrarme.. o si quieres directamente al correo 🙂
      gracias por escribir nuevamnete… tocare unos temas de crack y hack dentro de poco 🙂
      de Cuba verdad?

  4. Bueno ahora yo soy la que te doy las gracias.
    Realmente ese no es mi fuerte, aunque no deja de ser tentador, el trabajo no me da tiempo para esas cosas; solo cacharreo por alguna necesidad, como la que te comenté, de todas maneras logré avanzar con OLLYDBG, pude llegar hasta la dirección de memoria cuando es ejecutado el modulo ntdll, donde se guarda el texto que envía Word cuando no aceptas la contraseña de apertura al documento, veré si puedo encontrar el call donde se hace la comparación de cadena, aunque ya no me interesa el documento word, me motivo y eso basta para comprometerme llegar hasta el final, aunque sea el año que viene, ..lo que con esfuerzo aprendamos jamás olvidamos.
    Pero si no es sobre el tema de crack y hack, puede ser de otro.
    Saludos,
    Celia

Leave a Reply

Your email address will not be published. Required fields are marked *