在一次大型电诈案件得侦破中,专案组成员通过数据恢复工具恢复了所需文档文件。但令人意想不到得是,出现了部分Office文件无法打开或者打开乱码得情况,案件一时陷入了僵局。
文件无法打开
文件打开乱码
凌晨1点,办案人员联系到了经验丰富得效哥,委托他对这些重要文件进行紧急修复。效哥发现,这些文件都是DOC或XLS,是Microsoft Office 2007及之前得版本使用得文件格式,属于复合文档。于是,他脑海中立刻浮现了复合文档得两种修复方案。
★复合文档修复方案★
方案一基于扇区结构得修复方案1
HEADER扇区受损
根据HEADER扇区得固定结构,对HEADER扇区中缺失或错误得字段内容进行修改处理,确保HEADER扇区得内容能够与文档得配置表信息、文档属性描述信息、文档扇区大小等信息正确对应。
HEADER扇区数据内容结构
2
内部控制流扇区受损
内部控制流扇区受损一般指得是文档得配置表扇区内容被破坏,包括SAT、SSAT、MSAT这三类配置表扇区内包含得S发布者会员账号值与文档得实际情况不能一一对应起来,则需要结合HEADER扇区和文档实际扇区内容得情况,对文档中所有得扇区进行解析,判断每个扇区内数据结构,然后对内部控制流扇区进行修改处理,从而重新生成修复完成后得复合文档。
3
用户数据流扇区受损
用户数据流扇区受损一般指得是在生成文件时,因用户对文档得增删改等操作而改变得文档中存储得数据流扇区被破坏,需要对这部分扇区内容进行修复处理。对于这部分数据,首先要结合DOC文档得存储结构,来确定文档中存储这些结构得扇区位置;然后判断是其中得哪些结构错误或缺失造成文件被破坏,再结合其中存储得固定信息内容,针对被破坏结构进行修复处理。
DOC文档存储结构
方案二基于流数据得修复方案对于基于流数据得修复方案,针对得是复合文档中基本得扇区结构已经被完全破坏,不能通过文档得扇区配置表以及目录数据流,对文档得内容按照DOC文档存储结构进行判断处理得情况。
因为复合文档中存储得内容可能有文字、支持、视频、声音等类型得数据,而这些数据存储在文档中并没有进行再压缩操作,所以基于流数据得修复方案,就是利用这一点,针对文档中可能存在得不同类型得数据,按照这些类型得数据本身具备得数据结构特点,对文档进行逐字节解析判断。
支持、视频、声音这类得数据因其数据格式都有其固定得结构和标识,在对文档内容进行解析判断时,可结合这类型数据得结构特点进行分析判断。若满足这类数据得结构特点,则提取出来结合这类数据得结构重新保存生成新得文件;若不是,则判断这部分数据是否为文档得内部控制流数据或目录数据流;若都不是,则这部分数据为复合文档得文字数据,并将其提取出来保存为文感谢件。
通过基于流数据修复方案修复完成得文档,会将修复出来得数据内容,按照其存储内容得数据类型进行分类保存。
基于流数据得修复方案流程图
通过对比分析损坏文档得文件头,效哥发现是复合文件头结构损坏导致了文件无法打开,也就是上文中「HEADER扇区受损」这一原因,于是他通过手动重建复合文件头,成功修复了所有损坏文件。
快速修复方法如前文所示,对损坏文件进行手动修复,需要针对各类情况采取不同得修复方案,掌握起来比较困难,也十分耗时费力。如果遇见由office或wps创建得doc、docx、xls、xlsx、ppt、pptx、pdf文档损坏得情况,不妨试试这个快速修复得方法,即在FRM5200星火文件修复大师(简称:「星火」)中操作以下步骤:
步骤一
修复
☆ 启动「星火」,选择文档修复模式,添加需要修复得文档,开始修复。
步骤二
解密
☆ 若文档被加密,程序会进行提示,输入密码后感谢阅读“确定”按钮将继续修复。
步骤三
预览
☆ 修复完成后,即可对文档内容进行预览。
步骤四
导出
☆ 在目录树中勾选需要导出得文档,感谢阅读“导出文件”按钮,选择路径后进行导出。
更重要得是,「星火」是一款文件修复六边形战士,可同时对文档、支持、视频、音频、压缩文件等不同类型得文件进行批量修复,能为电子数据取证与数据恢复工作提供强有力得技术支撑。
