इस सवाल का पहले से ही यहाँ एक जवाब है:
मेरा मानना है कि विंडोज 10 सिस्टम पर एमएस वर्ड डॉक्स हैं, लेकिन उन्हें छिपाने के लिए उनके एक्सटेंशन बदल दिए गए हैं। किसी अनलिस्टेड वर्ड डॉक्स की पहचान करने के लिए, मैं फाइल सिस्टम को कैसे खोज सकता हूं, फाइल कंटेंट को नहीं, एक्सटेंशन को देखकर ?
डॉक्स .doc या .docx हो सकते हैं, और पासवर्ड से सुरक्षित हो सकते हैं।
जवाबों:
लगता है कि grep जवाब है। बाइनरी .doc फ़ाइलों में स्ट्रिंग होते हैं Word.Document.8 :
"GnuWin32 \ bin \ grep.exe" -a -r "Word.Document.8" c: \ Users \ alice
आप जिस वर्ड डॉक्यूमेंट की तलाश कर रहे हैं, उसके वर्जन के लिए फाइल सिग्नेचर / मैजिक नंबर का पता लगाएँ । एक बार जब आप यह पता लगा लेते हैं कि कितने बाइट्स हैं, जिनका उपयोग करके हर फ़ाइल से पहला एन-बाइट्स प्राप्त होता है,
head -c <number of bytes in signature> <filename>|hexdumpतो आउटपुट की तुलना उस हस्ताक्षर से करें जिसकी आप तलाश कर रहे हैं।
ध्यान दें कि यह लिनक्स सिस्टम पर काम करेगा, आप काली या बैकट्रैक की लाइव इमेज का उपयोग कर सिस्टम को बूट कर सकते हैं और वहां बने फोरेंसिक टूल्स में से कुछ का लाभ उठा सकते हैं, या सिर्फ डेबियन का उपयोग कर सकते हैं । यह आपको फ़ाइल संशोधन समय देखने के लिए अन्य उपकरणों का उपयोग करने की अनुमति देगा, यह देखने के लिए कि क्या फ़ाइलों के बड़े बैचों को संशोधित या नाम बदला गया था। अगर आपको लगता है कि फ़ाइलों को जोड़ा गया है / दुर्भावनापूर्ण तरीके से फाइल सिस्टम पर एक अच्छी नज़र डालते हुए फॉरेंसिक टूल्स का उपयोग करते हुए किसी तरह का फिर से नेटवर्क से कनेक्ट करने की अनुमति देने से पहले यह एक अच्छा विचार हो सकता है।