Hace ya un tiempo, Andrés Tarasco Acuña, escribió un artículo titulado “Extracción de estructuras OLE (Reversing structured storage serialized)” en el que analizaba las estructuras de datos utilizadas por los objetos OLE. Dentro de esa estructura, dos bytes, los llamados OSH y OSL de los streams SummaryInformation y DocumentSummaryInformation guardan la información del sistema operativo. Estos dos valores son actualizados por la API OLE cada vez que se hace uso de ella.
En la web de Spectra es posible encontrar una tabla de valores de OSH y OSL para las últimas versiones de los sistemas operativos Windows. Sin embargo, la prueba con muchos documentos nos llevó a descubrir algunos valores más. Alguros han sido encontrados en ficheros Office con objetos OLE creados con MAC, con OpenOffice y con sistemas más antiguos. La tabla resultante que ha quedado es la siguiente
Tabla de valores de OSH y OSL identificando sistema operativo
Como se puede ver, es posible saber si un fichero ha sido creado con OpenOffice o desde un MAC, ayudando a la FOCA, a pesar de que se hayan limpiado los metadatos y la información oculta con RHD o con la herramienta de inspección de MS Office 2007, a descubrir el sistema operativo de un fichero.
Información original del fichero
Se limpia con Office 2007 desde un Windows Vista
La FOCA detecta el nuevo sistema operativo
La nueva versión de la FOCA estará disponible muy pronto, y vendrá con alguna novedad más que os contaré… también muy pronto…
Saludos Malignos!
En la web de Spectra es posible encontrar una tabla de valores de OSH y OSL para las últimas versiones de los sistemas operativos Windows. Sin embargo, la prueba con muchos documentos nos llevó a descubrir algunos valores más. Alguros han sido encontrados en ficheros Office con objetos OLE creados con MAC, con OpenOffice y con sistemas más antiguos. La tabla resultante que ha quedado es la siguiente
Tabla de valores de OSH y OSL identificando sistema operativo
Como se puede ver, es posible saber si un fichero ha sido creado con OpenOffice o desde un MAC, ayudando a la FOCA, a pesar de que se hayan limpiado los metadatos y la información oculta con RHD o con la herramienta de inspección de MS Office 2007, a descubrir el sistema operativo de un fichero.
Información original del fichero
Se limpia con Office 2007 desde un Windows Vista
La FOCA detecta el nuevo sistema operativo
La nueva versión de la FOCA estará disponible muy pronto, y vendrá con alguna novedad más que os contaré… también muy pronto…
Saludos Malignos!