在一次大型电诈案件的侦破中,专案组成员通过数据恢复工具恢复了所需文档文件。但令人意想不到的是,出现了部分Office文件无法打开或者打开乱码的情况,案件一时陷入了僵局。
凌晨1点,办案人员联系到了经验丰富的效哥,委托他对这些重要文件进行紧急修复。效哥发现,这些文件都是DOC或XLS,是Microsoft Office 2007及之前的版本使用的文件格式,属于复合文档。于是,他脑海中立刻浮现了复合文档的两种修复方案。
★复合文档修复方案★
1
HEADER扇区受损
根据HEADER扇区的固定结构,对HEADER扇区中缺失或错误的字段内容进行修改处理,确保HEADER扇区的内容能够与文档的配置表信息、文档属性描述信息、文档扇区大小等信息正确对应。
2
内部控制流扇区受损
内部控制流扇区受损一般指的是文档的配置表扇区内容被破坏,包括SAT、SSAT、MSAT这三类配置表扇区内包含的SID值与文档的实际情况不能一一对应起来,则需要结合HEADER扇区和文档实际扇区内容的情况,对文档中所有的扇区进行解析,判断每个扇区内数据结构,然后对内部控制流扇区进行修改处理,从而重新生成修复完成后的复合文档。
3
用户数据流扇区受损
用户数据流扇区受损一般指的是在生成文件时,因用户对文档的增删改等操作而改变的文档中存储的数据流扇区被破坏,需要对这部分扇区内容进行修复处理。对于这部分数据,首先要结合DOC文档的存储结构,来确定文档中存储这些结构的扇区位置;然后判断是其中的哪些结构错误或缺失造成文件被破坏,再结合其中存储的固定信息内容,针对被破坏结构进行修复处理。
对于基于流数据的修复方案,针对的是复合文档中基本的扇区结构已经被完全破坏,不能通过文档的扇区配置表以及目录数据流,对文档的内容按照DOC文档存储结构进行判断处理的情况。
因为复合文档中存储的内容可能有文字、图片、视频、声音等类型的数据,而这些数据存储在文档中并没有进行再压缩操作,所以基于流数据的修复方案,就是利用这一点,针对文档中可能存在的不同类型的数据,按照这些类型的数据本身具备的数据结构特点,对文档进行逐字节解析判断。
图片、视频、声音这类的数据因其数据格式都有其固定的结构和标识,在对文档内容进行解析判断时,可结合这类型数据的结构特点进行分析判断。若满足这类数据的结构特点,则提取出来结合这类数据的结构重新保存生成新的文件;若不是,则判断这部分数据是否为文档的内部控制流数据或目录数据流;若都不是,则这部分数据为复合文档的文字数据,并将其提取出来保存为文本文件。
通过基于流数据修复方案修复完成的文档,会将修复出来的数据内容,按照其存储内容的数据类型进行分类保存。
通过对比分析损坏文档的文件头,效哥发现是复合文件头结构损坏导致了文件无法打开,也就是上文中「HEADER扇区受损」这一原因,于是他通过手动重建复合文件头,成功修复了所有损坏文件。
如前文所示,对损坏文件进行手动修复,需要针对各类情况采取不同的修复方案,掌握起来比较困难,也十分耗时费力。如果遇见由office或wps创建的doc、docx、xls、xlsx、ppt、pptx、pdf文档损坏的情况,不妨试试这个快速修复的方法,即在FRM5200星火文件修复大师(简称:「星火」)中操作以下步骤:
步骤一
修复
☆ 启动「星火」,选择文档修复模式,添加需要修复的文档,开始修复。
步骤二
解密
☆ 若文档被加密,程序会进行提示,输入密码后点击“确定”按钮将继续修复。
步骤三
预览
☆ 修复完成后,即可对文档内容进行预览。
步骤四
导出
☆ 在目录树中勾选需要导出的文档,点击“导出文件”按钮,选择路径后进行导出。
更重要的是,「星火」是一款文件修复六边形战士,可同时对文档、图片、视频、音频、压缩文件等不同类型的文件进行批量修复,能为电子数据取证与数据恢复工作提供强有力的技术支撑。