Bueno como es costumbre en mi probe el programa y la verdad me lleve varias sorpresas :D
Aqui les dejo mis memorias xD , aunque lo tome como un minilab
PD: estos primeros pasos estan en la guia de la pagina oficial ademas es para principiantes osea que no sepan manejar linux xD
1. descargamos el paquete
http://img232.imageshack.us/img232/4...paquetedf1.png
2.descomprimimos el paquete
http://img105.imageshack.us/img105/2...rimimoslr1.png
3. cambiamos permisos
http://img187.imageshack.us/img187/6...ermisosde0.png
4.lo ejecutamos
http://img291.imageshack.us/img291/6...cutamosff3.png
5.seleccionamos documento(source) mas direccion y nombre del resultado o archivo de salida(destino)
http://img113.imageshack.us/img113/3...osdatoszq5.png
en nuestro caso de estudio seleccionamos:
source : laboratorio de extraccion de metadatos.doc
NOTA: este archivo fue creado bajo word 2007 y con extension docx , el programa no reconoce ese tipo de extension pero si la cambiamos manual mente la reconoce y actua de igual manera en el analisis
destino: le decimos que nos guarde el resultado como lab.txt en la misma carpeta
6. miramos resultados dentro del txt
http://img240.imageshack.us/img240/7...sultadotv9.png
nos dice que miremos el archivo root/laboratorio , el cual equivale a nuestro archivo word
7.observamos que cambio de icono el documento que utilizamos para el estudio , y al parecer se convierto en directorio :O
http://img520.imageshack.us/img520/8...leccionin0.png
8.entramos al directorio
http://img213.imageshack.us/img213/3...eccion2wp9.png
9.a simple vista podemos apreciar dos directorios importantes:
word: la contenedora de nuestro archivo word original , el cual se llama document.xml
http://img242.imageshack.us/img242/6...eccion3iu9.png
docprops: contiene la informacion que andamos buscando, esta carpeta tiene 2 subcarpetas y cada una contiene diferentes datos:
http://img299.imageshack.us/img299/1...eccion4ak7.png
app: donde se encuentra el nombre del programa(obvio) que creo el documento
http://img297.imageshack.us/img297/8...eccion5bt0.png
NOTA: no estoy totalmente convencido si este programa es capaz de sacar la version de creacion , al parecer no pudo pero puede ser por ser creado con la version del office 2007 recordemos que solo es "compatible" con el oficce 2003
core: Aqui encontramos el nombre se usuario que creo el documento y la fecha exacta mas hora de la creacion del mismo
http://img258.imageshack.us/img258/4...eccion6dq7.png
CONCLUSION:
Bueno al parecer podemos encontrar datos muy importantes con respecto a una investigacion porque podemos determinar que usuario lo creo y fuera de eso el an'o, fecha y hora; estos datos pueden llegar a ser definitivos para una investigacion dentro de una misma organizacion investigando la maquina sospechosa y comparando usuarios y fechas
saludos y espero les haya gustado este laboratorio(mini) aunque poco productivo
Suscribirse a:
Enviar comentarios (Atom)
Entradas
No hay comentarios:
Publicar un comentario