【摘要】基于最廣泛使用的 Word文件結(jié)構(gòu)格式分析,集中關(guān)注編輯過程還原主題,立足.xml與core.xml文件內(nèi)容,挖掘OOXML格式中獨特的RI值變化規(guī)則,進(jìn)而完成文件來源的取證分析,并通過自主研發(fā)的軟件使得分析工作智能化工具化。電子數(shù)據(jù)取證實踐證明,所述方法準(zhǔn)確高效。【關(guān)鍵詞】 Word、溯源分析、.xml、core.xml、 【中圖分類號】 引言隨著以計算機為代表的新型信息技術(shù)的發(fā)展,原有以紙張、模型等形式保存的核心技術(shù)轉(zhuǎn)化為使用電子文檔進(jìn)行說明描述。雖然電子文檔具有方便管理、易于存儲等特點,但同時也存在能修改、易復(fù)制的缺陷。一旦遭遇篡改或濫用,需要綜合分析計算機操作系統(tǒng)環(huán)境,才可能尋找到有力的證據(jù)或線索。電子數(shù)據(jù)取證實踐也由此越來越多地遇到涉知識產(chǎn)權(quán)方面的鑒定需求,送檢人往往要求針對文件的來源進(jìn)行判定,或是尋找源文件與目標(biāo)文件間的復(fù)雜聯(lián)系。傳統(tǒng)的針對電子文檔是否涉及知識產(chǎn)權(quán)糾紛的分析,集中關(guān)注于文件內(nèi)容,偏重使用內(nèi)容相似性檢查技術(shù)。由于嫌疑人在通過非法手段收集到含有核心技術(shù)的電子文檔后,出于掩蓋罪行及再次使用等目的,會對其進(jìn)行增、刪、改等操作或是對文件內(nèi)容進(jìn)行轉(zhuǎn)義編輯處理,傳統(tǒng)分析方法往往無法取得理想效果。
針對上述情況,課題組成員將研究重點轉(zhuǎn)移至文件格式方面怎么把word文件壓縮到最小,曾經(jīng)基于微軟復(fù)合文檔結(jié)構(gòu)格式(應(yīng)用于 XP環(huán)境)的挖掘,嘗試恢復(fù)出了 2003演示文稿中被刪除的幻燈片信息。然而隨著 XP正式停止支持服務(wù),以及 2010(廣泛應(yīng)用于 7之后的操作系統(tǒng)中)的逐步普及,針對 2003文檔的操作行為挖掘研究已不具現(xiàn)實意義。 系列文件在2007、2010版本之后,采用了OOXML( Open XML)格式,該格式通過可配置的方式描述文件組件,并提供用戶訪問文件結(jié)構(gòu)的通道,目前已成為國際文檔格式標(biāo)準(zhǔn)。因此,針對該新型文件格式的深入分析,可以挖掘出文件自身包含的更深層次信息,為電子文檔的溯源研究提供了可能。2 Word 2010文檔溯源分析2.1 Word 2010整體架構(gòu) Word是系列文件中使用最廣泛的文件類型,其整體采用ZIP集成壓縮格式。解壓后,其根目錄下會出現(xiàn)“_rels”、“word”、“”三個文件夾和“[].xml”文件(如圖1所示)。
其中,[].xml文件以字典形式存放該集成包中內(nèi)置的內(nèi)容類型;擴(kuò)展名為“.rels”的文件總是存放在“_rels”文件夾中,根目錄與“word”文件夾下均含有“_rels”文件夾,其內(nèi)包含的“.rels”文件用于描述文檔組件之間的關(guān)聯(lián),以此來減輕用戶程序遍歷尋找特定內(nèi)容的負(fù)擔(dān);“word”文件夾中最重要的就是.xml文件,存儲著文檔中的文字內(nèi)容;“”文件夾負(fù)責(zé)保存時間屬性、文件所有者等屬性信息。除上述說明的主要文件(夾)外,集成包中還含有用于描述字體、字號、顏色、腳注等配置信息的文件,如.xml、.xml、.xml、.xml等。
圖 Word 2010集成包整體架構(gòu)
2.2 .xml文件分析.xml使用名為“body”的子元素存放文本信息。body元素中包含兩種內(nèi)容組別,一種叫做“block-level”,負(fù)責(zé)描述內(nèi)容的整體結(jié)構(gòu),如段或表;另一種被稱為“ ”,即為文本或圖片信息,包含于block-level內(nèi)容中。.xml使用“w:p”、“w:r”、“w:t”等標(biāo)識對內(nèi)容進(jìn)行標(biāo)簽。其中,w:p用于定義一個段落;段落被分割為若干運行w:r,運行(run)是能夠擁有格式的最小基本單位;w:r元素又被分割為若干w:t元素,w:t元素不可以擁有格式,只能是文本內(nèi)容(如圖2所示)。因此,可依據(jù)下述流程定位具體的文本信息:段落元素(...)->運行元素(...)->文本元素(...)。
圖2 .xml文件內(nèi)容
從圖2還可以看出,.xml包含有被稱為RI( )的各種碼值,如w:rsidR、w: 、w:等。雖然,RI碼的生成算法尚未被破解,但研究發(fā)現(xiàn),新建文件后輸入內(nèi)容、編輯現(xiàn)有文字格式、在文件中鍵入新內(nèi)容等操作會促使.xml更新RI碼值。鑒于每篇電子文檔在最終成稿前都不可避免的需要經(jīng)歷反復(fù)多次修改,因此對于 2007、2010及其之后的Word版本,可以依據(jù)RI值挖掘曾經(jīng)有過的文檔增、刪、改操作,實現(xiàn)文檔溯源的目的。實驗證明,如果A文檔由B文檔通過復(fù)制操作生成,只要編輯后的A文檔還存留有B文檔中的字符(任意數(shù)量),.xml文件中就會保留有維持不變的RI值(.xml中也會留存原有的RI)。由于RI碼通常由8個十六進(jìn)制數(shù)組成,完全相同的概率為2的32次方分之一,即4 294 分之一。因此,A文檔如果含有與B相同的RI值,即可說明A與B同源。實驗還發(fā)現(xiàn),文件.xml的末尾通常會出現(xiàn)名為“w: w:rsidR”的標(biāo)記,同一臺計算機在一段時間內(nèi)創(chuàng)建的文件會含有相同的“w: w:rsidR”碼值。這一規(guī)則可以用來判斷文件是否來源于同一臺計算機。若存在相同的w: w:rsidR碼,可判定是由同一計算機所創(chuàng)建;但若不同,卻不能由此推斷文件來至不同計算機,因為如果相隔時間過久,同一計算機上創(chuàng)建的w: w:rsidR碼值也會不同。
圖3 “1.docx”與“1的副本.docx”對應(yīng)的.xml文件內(nèi)容
圖3所示為“1.docx”與“1的副本.docx”對應(yīng)的.xml文件內(nèi)容,其中“1的副本.docx”由“1.docx”復(fù)制而來,并對內(nèi)容做了適當(dāng)修改。圖3中兩文件除擁有相同的w: w:rsidR碼值()外,w:rsidR碼值也相同()。因此可以得出結(jié)論,兩文件來源于同一計算機,并且其中一個文件是由另一文件復(fù)制而來的。2.3 core.xml文件分析依據(jù).xml文件內(nèi)容可以判斷文件是否同源,但若要進(jìn)而實現(xiàn)“誰復(fù)制于誰”的分析,則可結(jié)合core.xml文件內(nèi)容完成。core.xml位于文件夾中,其內(nèi)存放著創(chuàng)建者、最后修改者、創(chuàng)建時間、修改時間等重要文件屬性(如圖4所示)。可依據(jù)上述內(nèi)容輔助判定文件的最早版本。需要指出的,core.xml文件中與時間相關(guān)的信息采用格林威治時間進(jìn)行存儲,實踐中需要將其轉(zhuǎn)換為北京時間。
圖4 core.xml文件內(nèi)容
3 智能溯源工具實現(xiàn)基于第2節(jié)所述原理,課題組使用VB.NET語言實現(xiàn)了 Word 2010溯源分析工具。首先將需要比對的文檔進(jìn)行集成包分解處理,之后重點針對word文件夾中.xml里面的元素進(jìn)行抽取,基于w: w:rsidR實現(xiàn)受檢文檔是否產(chǎn)生至同一計算機的判斷,再通過w:、w:rsidP、w:、w:rsidR、w:等碼值的循環(huán)比對,確定文檔來源是否相同。基本程序流程如圖5所示。為提升溯源判斷的可信程度,本軟件工具還將core.xml文件納入考察范疇,展示其含有的創(chuàng)建時間、修改時間、創(chuàng)建者、最后修改者、修改次數(shù)等關(guān)鍵元素,幫助取證人員進(jìn)行輔助分析。對于core.xml文件中的時間問題,智能工具已默認(rèn)將其轉(zhuǎn)換為北京時間(+8hour)予以顯示。
圖5 智能溯源分析工具基本處理流程4 案例分析2013年11月,趙某應(yīng)聘到重慶一家生產(chǎn)電控設(shè)備的高科技企業(yè)A公司工作,期間趙某有機會接觸到A公司的核心機密技術(shù)文件。2014年底,趙某申請離職,聲稱要回鄉(xiāng)創(chuàng)業(yè)。此后怎么把word文件壓縮到最小,趙某投身于B公司,B公司與A公司屬競爭對手關(guān)系,都在研發(fā)生產(chǎn)同類型的電控設(shè)備。趙某加入后,B公司生產(chǎn)的設(shè)備在性能上有了極大地提升,其產(chǎn)品在規(guī)格上也與A公司極其類似。A公司遂起訴趙某擅自將本公司核心技術(shù)泄露于B公司。取證人員從趙某筆記本電腦中提取到一份名為《汽車電控機密技術(shù)》的文檔,發(fā)現(xiàn)該文檔與A公司的技術(shù)文檔《電控設(shè)備核心技術(shù)》內(nèi)容上極其相似。但當(dāng)對趙某展開訊問時,其咬定該文檔為自己原創(chuàng),并非盜取A公司成果。取證人員使用智能分析工具針對兩份文檔內(nèi)嵌的RI值進(jìn)行比對分析,從中碰撞出了相同的RI碼值(如圖6所示);并結(jié)合文件屬性中的時間與創(chuàng)建者等關(guān)鍵要素的綜合挖掘,形成證據(jù)鏈條,判定《汽車電控機密技術(shù)》確實由《電控設(shè)備核心技術(shù)》復(fù)制轉(zhuǎn)義而形成,從而認(rèn)定了趙某的犯罪行為。
圖6 利用軟件工具處理知識產(chǎn)權(quán)案件5 結(jié)束語本文重點依托.xml中RI碼值完成word文檔同源性判斷,同時輔以core.xml呈現(xiàn)的時間序列先后性,提升結(jié)論的可信度。未來計劃繼續(xù)梳理挖掘RI值的生成原理與變化規(guī)則,特別是復(fù)雜編輯行為對其產(chǎn)生的影響,同時關(guān)聯(lián)OOXML結(jié)構(gòu)中的其他配置說明文件,力爭全景再現(xiàn)文檔編輯過程,為電子文檔的取證分析開辟新的思路與方法。
【參考文獻(xiàn)】
[1]羅文華.復(fù)合文檔結(jié)構(gòu)電子數(shù)據(jù)取證分析[J].信息網(wǎng)絡(luò)安全,2013(3):9-11.[2]劉惠萍,羅文華.從知識產(chǎn)權(quán)侵害案件看 演示文稿鑒定實踐[J].中國司法鑒定,2013(3):62-65.[3]羅文華.演示文稿參與編輯信息調(diào)查方法研究[J].中國刑警學(xué)院學(xué)報,2013(4):32-35.[4]Rice Frank. (2007) open xml file [OL].[2012.11.07].[5]劉洋洋,盧睿.網(wǎng)絡(luò)行為軌跡分析在現(xiàn)代偵查機制中的應(yīng)用研究[J].警察技術(shù),2014(5):46-48.【作者介紹】
羅文華(1977—),男,教授,研究方向為電子數(shù)據(jù)取證
孫道寧(1987—),女,助教,研究方向為涉計算機犯罪偵查
1.Word And File
2.