Office文件編輯過程痕跡提取研究

徐國天 中國刑事警察學院

一、前言

Office軟件的主要版本包括：2000、2003、2007和2010，當前大部分基于windows操作系統的計算機安裝了Office軟件。政府機關、企事業單位、金融機構及個人用戶普遍使用Office軟件編輯word文檔、制作excel數據表、編制ppt匯報，尤其是很多財務報表使用excel制作。在這些Office文檔內保存了大量對案件辦理有價值的數據信息。為了逃避法律的制裁，迷惑辦案人員，犯罪分子可能不是刪除整個Office文件，而只是刪除或修改了Office文檔中的部分內容，如幾段文字、幾張圖片或幾個數據表，恢復這些被刪除和修改的數據內容，提取出修改的時間和修改人使用的用戶名，對公安機關的調查、取證工作有重要的意義，但是目前這部分被刪除或修改的數據信息無法有效提取。

當前公安機關遇到此類檢驗需求時，主要是使用通用數據恢復軟件來完成（如Final Data、Easy Recovery）。但是現有數據恢復軟件只能恢復出被刪除的Office文檔，而不能很好地完成文件中間編輯過程的痕跡提取，進而不能滿足公安機關逐漸增多的Office文件編輯過程痕跡提取和破損Office文件修復類的檢驗需求。

針對這種要求，本文開發了一款Office文件編輯過程痕跡自動提取軟件系統，該系統可以準確地對NTFS格式磁盤內殘留的Office痕跡碎片進行提取，具有很好的實戰價值。

二、文件編輯過程痕跡提取

以圖1為例解釋Office文件編輯過程痕跡提取效果。在硬盤存儲空間中，陰影區域代表已被其它文件使用的存儲空間，即已占用空間。白色區域代表空閑的、可以使用的存儲區域?！?br>