徐國天

（中國刑事警察學(xué)院 遼寧網(wǎng)絡(luò)安全執(zhí)法協(xié)同創(chuàng)新中心 沈陽 110854）

·專 題·

殘缺Excel文件數(shù)據(jù)信息恢復(fù)方法研究

徐國天

（中國刑事警察學(xué)院 遼寧網(wǎng)絡(luò)安全執(zhí)法協(xié)同創(chuàng)新中心 沈陽 110854）

目的 針對(duì)殘缺Excel文件研究有效的殘留文本數(shù)據(jù)的定位、提取、恢復(fù)方法。方法 針對(duì)NTFS文件系統(tǒng)上破損較輕的Office2003版本Excel文件設(shè)計(jì)了一種WorkBook流整體替換恢復(fù)方法：準(zhǔn)備一個(gè)較大的Excel文件，將它的WorkBook流數(shù)據(jù)重置為0x00，使用Winhex從殘缺Excel文件中完整提取出WorkBook流數(shù)據(jù)，并將其復(fù)制到目標(biāo)Excel文件的WorkBook流位置。雙擊打開目標(biāo)文件即可看到殘缺Excel文件中的文本信息。針對(duì)破損嚴(yán)重的Excel文件設(shè)計(jì)了一種基于關(guān)鍵數(shù)據(jù)結(jié)構(gòu)重組的文本恢復(fù)方法：準(zhǔn)備一個(gè)較大的Excel文件，將它的WorkBook流數(shù)據(jù)重置為0x00，使用Winhex從破損文件中依次提取出WorkBook header、BoundSheet、語言和地區(qū)設(shè)置、SST共享字符串、Extended SST和每個(gè)Sheet的數(shù)據(jù)內(nèi)容，并逐個(gè)復(fù)制到目標(biāo)文件的WorkBook流位置，補(bǔ)充缺失的數(shù)據(jù)結(jié)構(gòu)，調(diào)整BoundSheet和Extended SST的絕對(duì)地址引用，最后打開目標(biāo)文件即可看到殘缺Excel文件中的文本信息。結(jié)果 使用WorkBook流整體替換恢復(fù)方法得到的目標(biāo)文件可以正常使用，可以恢復(fù)文本、格式設(shè)置、公式?；陉P(guān)鍵數(shù)據(jù)結(jié)構(gòu)重組的恢復(fù)方法得到的目標(biāo)文件在打開時(shí)會(huì)提示出錯(cuò)信息，連續(xù)單擊確定按鈕之后，文本信息可以正常顯示，但格式設(shè)置丟失。結(jié)論 應(yīng)用本文提出的殘缺Excel文件數(shù)據(jù)信息恢復(fù)方法可以有效提取殘缺Excel文件中的文本數(shù)據(jù)。

電子物證；殘缺Excel文件；文本數(shù)據(jù)；WorkBook；恢復(fù)

Excel被廣泛應(yīng)用于財(cái)務(wù)統(tǒng)計(jì)、人員管理等諸多領(lǐng)域各類電子表格的制作。Excel文件中保存了大量有價(jià)值的文字、圖像和表格數(shù)據(jù)。在計(jì)算機(jī)涉案調(diào)查取證中，發(fā)現(xiàn)犯罪分子為了逃避法律的制裁，常常將某些重要的涉案Excel文件刪除。對(duì)于這些被刪除的Excel文件，雖然使用數(shù)據(jù)恢復(fù)軟件（如FinalData）可從中恢復(fù)出大量Excel文件，但是其中很多文件無法正常使用，雙擊打開時(shí)，系統(tǒng)提示這些文件已經(jīng)損壞。進(jìn)一步使用Winhex分析這些殘缺文件，發(fā)現(xiàn)在這些文件中通常殘留了大量文字、圖像和表格數(shù)據(jù)。由于目前現(xiàn)有電子數(shù)據(jù)取證軟件不能有效提取殘缺Excel文件中殘留的數(shù)據(jù)信息，進(jìn)而導(dǎo)致大量重要線索的遺失，甚至影響到案件的辦理。本文對(duì)殘缺Excel文件殘留文本數(shù)據(jù)的提取方法進(jìn)行研究，希望能對(duì)公安機(jī)關(guān)的電子數(shù)據(jù)檢驗(yàn)工作有所幫助。

1 殘缺Excel文件形成原因

1.1 Excel文件在硬盤分區(qū)內(nèi)常處于離散存儲(chǔ)狀態(tài)

當(dāng)用戶在硬盤內(nèi)創(chuàng)建一個(gè)新的Excel文件或者向目標(biāo)分區(qū)復(fù)制一個(gè)Excel文件時(shí)，文件系統(tǒng)會(huì)將這個(gè)新產(chǎn)生的文件存放在一段連續(xù)的存儲(chǔ)空間內(nèi)。用戶對(duì)Excel文件的每次編輯操作都會(huì)產(chǎn)生一個(gè)臨時(shí)文件，臨時(shí)文件有自己的MFT記錄和存儲(chǔ)空間，在編輯結(jié)束時(shí)臨時(shí)文件的MFT記錄更改為原始Excel文件的名稱。通過大量實(shí)驗(yàn)分析，發(fā)現(xiàn)Excel文件在編輯過程中其存儲(chǔ)位置會(huì)不斷變化，且呈現(xiàn)不連續(xù)存放的特征。為了測(cè)試Excel文件離散存儲(chǔ)特征，將一個(gè)3.8 GBU盤格式化為NTFS文件系統(tǒng)，在磁盤根目錄下存放一個(gè)“11.xls”，大小為105，984 字節(jié)，占用空間106，496 字節(jié)。使用Winhex查看“11.xls”文件的MFT記錄如圖1a所示?？梢姵跏紶顟B(tài)“11.xls”從0x05E181簇開始存放，占26個(gè)簇塊。向“11.xls”文件復(fù)制大量數(shù)據(jù)，復(fù)制之后大小變?yōu)?，299，648 字節(jié)。編輯之后“11.xls”文件的MFT記錄如圖1b所示?？梢娬麄€(gè)Excel文件被存儲(chǔ)在兩個(gè)不連續(xù)的數(shù)據(jù)分片中，第1個(gè)分片占8個(gè)簇塊，第2個(gè)分片占1530個(gè)簇塊。由此可見，伴隨著編輯操作，Excel文件的存儲(chǔ)空間會(huì)發(fā)生遷移，并呈現(xiàn)出離散存儲(chǔ)的特征。

1.2 MFT記錄恢復(fù)方式導(dǎo)致殘缺Excel文件

目前個(gè)人用戶使用的計(jì)算機(jī)普遍采用NTFS格式的硬盤［1］，日常使用的U盤、移動(dòng)硬盤也大多采用NTFS格式。NTFS文件系統(tǒng)的MFT元文件為硬盤分區(qū)內(nèi)的每個(gè)文件分配了一條1024字節(jié)大小的MFT記錄。在這條記錄中保存了文件的名稱、大小、建立、修改和訪問時(shí)間，最重要的是保存了文件數(shù)據(jù)在硬盤內(nèi)的存儲(chǔ)位置，根據(jù)這些信息可以準(zhǔn)確定位到磁盤上的文件數(shù)據(jù)。當(dāng)一個(gè)文件被刪除之后，其MFT記錄并沒有消失，只是其狀態(tài)變化為“空閑”狀態(tài)，代表這條記錄可以被其它文件重新使用［2］。在這條MFT記錄被覆蓋之前，可以利用它來恢復(fù)被刪除的文件。知名數(shù)據(jù)恢復(fù)軟件FinalData的快速掃描恢復(fù)功能正是基于這種方法。圖2展示的是MFT記錄恢復(fù)方式導(dǎo)致殘缺Excel文件的整個(gè)過程。硬盤空間中帶陰影的存儲(chǔ)區(qū)域代表正在被其它文件使用的空間，白色區(qū)域代表空閑、可以重新使用的存儲(chǔ)空間。原始Excel文件被劃分為3個(gè)數(shù)據(jù)塊離散存儲(chǔ)在硬盤空間內(nèi)。當(dāng)用戶刪除這個(gè)Excel文件之后，這三塊存儲(chǔ)空間內(nèi)的數(shù)據(jù)并沒有消失，只是其存儲(chǔ)狀態(tài)由“已占用”變化為“空閑”狀態(tài)。隨著計(jì)算機(jī)的使用，第2塊存儲(chǔ)空間被其它文件重新使用，即這塊空間內(nèi)原始Excel文件的數(shù)據(jù)被其它文件的數(shù)據(jù)覆蓋，導(dǎo)致這部分?jǐn)?shù)據(jù)的丟失。但是由于被刪除Excel文件殘留MFT記錄并沒有消失，因此FinalData軟件利用這條記錄準(zhǔn)確定位到原始Excel文件離散存儲(chǔ)的3個(gè)數(shù)據(jù)塊，并將它們提取、組合成一個(gè)Excel文件［3］。通過圖2可以看到，恢復(fù)出的Excel文件中夾雜了一塊其它文件的數(shù)據(jù)，因而這是一個(gè)殘缺的文件，如果關(guān)鍵數(shù)據(jù)遭到破壞，將無法正常打開使用。

圖1 Excel文件離散存儲(chǔ)特征測(cè)試Fig.1 Discrete memory testing of Excel fi le

1.3 特征值恢復(fù)方式導(dǎo)致殘缺Excel文件

由于大多數(shù)文件的頭部或者尾部均有唯一的特征值［4］，例如Excel文件的頭部特征值為0xD0CF11E0，PNG圖片的頭部特征值為0x89504E47。數(shù)據(jù)恢復(fù)軟件掃描磁盤空閑空間，根據(jù)文件頭、尾特征值定位到某個(gè)被刪除文件殘留在硬盤分區(qū)內(nèi)的頭部和尾部數(shù)據(jù)塊，進(jìn)而將頭、尾數(shù)據(jù)塊之間的所有數(shù)據(jù)提取、合并成一個(gè)原始文件。FinaData軟件的完整掃描功能就是利用了這種恢復(fù)方法。但是這種方法比較適合連續(xù)存儲(chǔ)的小容量文件，而對(duì)離散存儲(chǔ)的大容量文件效果不好，極易導(dǎo)致殘缺文件的發(fā)生。圖3顯示的是基于文件頭、尾特征值的恢復(fù)方式導(dǎo)致的殘缺Excel文件的整個(gè)過程。原始Excel文件被刪除之后，其殘留的數(shù)據(jù)被離散存儲(chǔ)在三個(gè)數(shù)據(jù)塊內(nèi)。數(shù)據(jù)恢復(fù)軟件在第一塊數(shù)據(jù)的頭部識(shí)別出一個(gè)Excel文件的頭部特征，在第三塊數(shù)據(jù)的尾部識(shí)別出一個(gè)Excel文件的尾部特征，進(jìn)而將頭尾特征值之間的數(shù)據(jù)提取、合并成一個(gè)Excel文件。從圖3可以看出，雖然原始Excel文件的三塊數(shù)據(jù)都被提取出來，但是其中夾雜了兩塊其它文件的數(shù)據(jù)塊，因而這個(gè)新文件也是一個(gè)殘缺文件，無法正常使用。

圖2 基于MFT記錄的恢復(fù)方式導(dǎo)致的殘缺Excel文件Fig.2 Incomplete Excel fi le based on MFT record

圖3 基于文件簽名的恢復(fù)方式導(dǎo)致的殘缺Excel文件Fig.3 Incomplete Excel fi le based on fi le signature

2 從破損較輕Excel文件提取文本數(shù)據(jù)

2.1 WorkBook流內(nèi)部絕對(duì)偏移地址

Excel文件由一系列512字節(jié)大小的數(shù)據(jù)塊組成，每個(gè)數(shù)據(jù)塊稱為1個(gè)block。若干個(gè)block又組成了Excel文件的5種內(nèi)部數(shù)據(jù)流。表1顯示了一個(gè)Excel文件的組成結(jié)構(gòu)，可見只有WorkBook數(shù)據(jù)流長(zhǎng)度可變，其它數(shù)據(jù)流的長(zhǎng)度固定。

WorkBook數(shù)據(jù)流通常從Excel文件的第2個(gè)block（即偏移地址0x0200處）開始存放，其中存儲(chǔ)了Excel文件的所有文本信息，是數(shù)據(jù)恢復(fù)的重點(diǎn)研究對(duì)象。WorkBook數(shù)據(jù)流內(nèi)部由一系列相互關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)依次連接組成。每個(gè)數(shù)據(jù)結(jié)構(gòu)的構(gòu)造為：“標(biāo)識(shí)（2字節(jié)）+ 長(zhǎng)度（2字節(jié)）+ 數(shù)據(jù)內(nèi)容（變長(zhǎng)）”，如某條數(shù)據(jù)結(jié)構(gòu)顯示為0x0908 0200 0602，那么0x0908代表這條記錄的標(biāo)識(shí)，0x0200代表后面數(shù)據(jù)內(nèi)容的長(zhǎng)度為2字節(jié)，而0x0602為實(shí)際的數(shù)據(jù)內(nèi)容。數(shù)據(jù)結(jié)構(gòu)之間使用絕對(duì)偏移地址進(jìn)行相互引用。圖4顯示的是WorkBook流內(nèi)部數(shù)據(jù)結(jié)構(gòu)絕對(duì)地址引用舉例。圖4a是Sheet指針區(qū)數(shù)據(jù)結(jié)構(gòu)，標(biāo)識(shí)為0x0085，N個(gè)Sheet就有N個(gè)0x0085，這個(gè)數(shù)據(jù)結(jié)構(gòu)包含每個(gè)Sheet的名稱和Sheet數(shù)據(jù)內(nèi)容在xls文件中的偏移位置。由圖4a可知共3個(gè)Sheet，名稱分別為Sheet1、Sheet2、Sheet3。以Sheet1為例，其數(shù)據(jù)相對(duì)于WorkBook流的起始位置偏移為0x0763，因此其在Excel文件的絕對(duì)位置為0x0200 + 0x0763 = 0x0963。使用Winhex跳轉(zhuǎn)到該位置查看到結(jié)果如圖4b所示，發(fā)現(xiàn)跳轉(zhuǎn)到Sheet1的數(shù)據(jù)區(qū)域。用同樣方法可以確定Sheet2的絕對(duì)位置為0x0200 + 0x098E = 0x0B8E， Sheet3的絕對(duì)位置為0x0200 + 0AA2 = 0x0CA2。這兩個(gè)位置的查看結(jié)果如圖4c和圖4d所示。

表1 Excel文件的存儲(chǔ)結(jié)構(gòu)Table 1 Storage structure of Excel fi le

2.2 WorkBook流整體替換恢復(fù)方法

使用FinalData的MFT記錄快速掃描功能可以定位被刪除Excel文件的數(shù)據(jù)簇塊，但是其中某些簇塊可能被覆蓋，例如Excel文件的第1個(gè)簇塊（4096字節(jié)）中包含了文件的header和WorkBook流的前7個(gè)block，如該數(shù)據(jù)塊被破壞將導(dǎo)致文件無法打開。但是用這種方法恢復(fù)的Excel文件，其WorkBook流內(nèi)部殘留數(shù)據(jù)結(jié)構(gòu)的偏移地址不需要進(jìn)行調(diào)整。經(jīng)過大量實(shí)驗(yàn)發(fā)現(xiàn)，WorkBook流內(nèi)部由很多個(gè)數(shù)據(jù)結(jié)構(gòu)依次連接組成，除第一個(gè)數(shù)據(jù)結(jié)構(gòu)之外，中間某個(gè)或某些數(shù)據(jù)結(jié)構(gòu)被破壞不會(huì)對(duì)顯示數(shù)據(jù)造成影響，只會(huì)彈出一些出錯(cuò)對(duì)話框。

針對(duì)使用FinalData的快速掃描功能恢復(fù)出的殘缺Excel文件，設(shè)計(jì)了WorkBook流整體替換恢復(fù)方法：因?yàn)镋xcel文件中只有WorkBook流是長(zhǎng)度可變的，這里的思路是準(zhǔn)備一個(gè)較大的Excel文件（稱為目標(biāo)文件），原則是要能夠存儲(chǔ)下提取出的WorkBook流數(shù)據(jù)。將它的WorkBook流內(nèi)容重置為0x00，而后從殘缺Excel文件中提取出WorkBook流數(shù)據(jù)，并將其存放到目標(biāo)文件的WorkBook流位置。這樣可以保證WorkBook流內(nèi)部數(shù)據(jù)結(jié)構(gòu)偏移地址值仍然正確，不需要進(jìn)行調(diào)整。如果個(gè)別關(guān)鍵數(shù)據(jù)結(jié)構(gòu)丟失（如ROW表，Sheet的header等），需要手工補(bǔ)齊，并設(shè)置好偏移地址。注意這種方法不能應(yīng)用于“根據(jù)文件頭、尾特征值恢復(fù)出的殘缺Excel文件”，因?yàn)檫@類文件不能保證各個(gè)數(shù)據(jù)結(jié)構(gòu)的偏移地址仍然正確。

圖4 WorkBook流內(nèi)部數(shù)據(jù)結(jié)構(gòu)絕對(duì)地址引用舉例Fig.4 Absolute address reference example of internal data structure of WorkBook stream

2.3 WorkBook流整體替換恢復(fù)方法應(yīng)用

首先說明WorkBook流存儲(chǔ)區(qū)域的確定方法。Excel文件中所有數(shù)據(jù)流的存儲(chǔ)位置都保存在SAT表中。使用Winhex打開目標(biāo)Excel文件，搜索關(guān)鍵詞0xFEFFFFFF可以定位到SAT表，SAT表的特征是臨近4字節(jié)整數(shù)遞增排列。圖5是利用關(guān)鍵字搜索定位到的數(shù)據(jù)塊，可以看到每四個(gè)字節(jié)為一個(gè)數(shù)值，所有數(shù)值呈現(xiàn)遞增的特征，并且以0xFEFFFFFF作為結(jié)束。因此斷定這是SAT表。從該表中提取出4條數(shù)據(jù)流的存儲(chǔ)鏈表。第1條流：［0，1，2，3，4，5，6，7，-2］；第2條流：［8，9，10，11，12，13，14，15，-2］；第3條流：［16，17，18，19，20，21，22，23，-2］；第4條流：［25，-2］。因?yàn)閃orkBook流默認(rèn)從編號(hào)為0的block開始存放，因此推斷出第1條數(shù)據(jù)流為WorkBook流，其在Excel文件中的偏移地址范圍是0x0200~0x1000。實(shí)驗(yàn)過程描述如下：殘缺Excel文件名為10.xls，大小為13，824字節(jié)。準(zhǔn)備一個(gè)目標(biāo)文件40.xls，內(nèi)容填充大量空格列，目的是使其WorkBook流空間大小遠(yuǎn)大于10.xls。將40.xls的WorkBook流數(shù)據(jù)重置為0x00（防止產(chǎn)生混合影響），然后將10.xls的WorkBook流數(shù)據(jù)復(fù)制到40.xls文件的0x0200位置，即WorkBook流開始的地方。打開40.xls，可以查看到10.xls的數(shù)據(jù)內(nèi)容，并且公式信息也一并恢復(fù)。

圖5 搜索定位的SAT表Fig.5 The SAT table searched and positioned

3 從破損嚴(yán)重Excel文件提取文本數(shù)據(jù)

利用文件頭、尾特征值恢復(fù)方法得到的Excel文件經(jīng)常會(huì)出現(xiàn)比較嚴(yán)重的破損，如果這些文件的WorkBook流中某些關(guān)鍵數(shù)據(jù)結(jié)構(gòu)遭到破壞，將無法應(yīng)用2.2節(jié)的方法提取文本數(shù)據(jù)。經(jīng)過大量測(cè)試，發(fā)現(xiàn)WorkBook流中以下數(shù)據(jù)結(jié)構(gòu)對(duì)恢復(fù)至關(guān)重要：“0x0809 Workbook Header”、“0x0085 BOUNDSHEET”、“0x00FC SST內(nèi)容”、“0x00FF Extended SST內(nèi)容”和“0x0809 Sheet內(nèi)容”。以上5種數(shù)據(jù)結(jié)構(gòu)是保證文本信息能夠顯示的最小集合。在其它數(shù)據(jù)結(jié)構(gòu)遭到破壞，而這五種數(shù)據(jù)結(jié)構(gòu)完整的情況下，打開文件時(shí)雖然會(huì)提示出錯(cuò)信息，但連續(xù)單擊確定按鈕之后，文本信息仍然可以正常顯示。

3.1 基于關(guān)鍵數(shù)據(jù)結(jié)構(gòu)重組的文本恢復(fù)方法

針對(duì)破損嚴(yán)重的Excel文件，本文提出一種“基于關(guān)鍵數(shù)據(jù)結(jié)構(gòu)重組的文本恢復(fù)方法”。首先準(zhǔn)備一個(gè)較大的Excel文件（稱為目標(biāo)文件），將它的WorkBook流數(shù)據(jù)重置為0x00，而后使用Winhex從破損文件中依次提取出WorkBook header、BoundSheet、語言和地區(qū)設(shè)置、SST共享字符串、Extended SST和Sheet1的數(shù)據(jù)內(nèi)容，并逐個(gè)復(fù)制到目標(biāo)文件的WorkBook流位置，補(bǔ)充缺失的數(shù)據(jù)結(jié)構(gòu)（注SST共享字符串和Sheet1的數(shù)據(jù)內(nèi)容保存了Excel文件的所有文本信息，因此不能缺失），調(diào)整BoundSheet和Extended SST的絕對(duì)地址引用。由于提取出的BoundSheet和Extended SST數(shù)據(jù)結(jié)構(gòu)中的絕對(duì)地址是相對(duì)于原始Excel文件的，移植到目標(biāo)文件之后各類數(shù)據(jù)結(jié)構(gòu)之間的相對(duì)位置發(fā)生了變化，因此這兩種數(shù)據(jù)結(jié)構(gòu)中的絕對(duì)地址也必須要進(jìn)行相應(yīng)的調(diào)整。

3.2 關(guān)鍵數(shù)據(jù)結(jié)構(gòu)重組的文本恢復(fù)方法應(yīng)用

實(shí)驗(yàn)過程如下：殘缺Excel文件名為60.xls，大小為14，336字節(jié)。準(zhǔn)備一個(gè)目標(biāo)文件40.xls，內(nèi)容填充大量空格列，目的是使其WorkBook流空間大小遠(yuǎn)大于60.xls。將40.xls的WorkBook流數(shù)據(jù)重置為0x00（防止產(chǎn)生混合影響），然后使用Winhex從60.xls中依次提取出WorkBook header、BoundSheet、語言和地區(qū)設(shè)置、SST共享字符串、Extended SST和Sheet1的數(shù)據(jù)內(nèi)容，并逐個(gè)復(fù)制到40.xls的WorkBook流位置，如圖6所示。圖6b顯示的是BoundSheet數(shù)據(jù)結(jié)構(gòu)，其中保存了指向Sheet1~Sheet3數(shù)據(jù)內(nèi)容的指針，由于本例僅測(cè)試恢復(fù)Sheet1的數(shù)據(jù)內(nèi)容，因此指向Sheet2 和Sheet3的指針不進(jìn)行調(diào)整。指向Sheet1的指針原值為0x0000094A，復(fù)制到目標(biāo)文件之后，Sheet1的起始位置是0x00000440，如圖6f所示，因此這個(gè)指針應(yīng)調(diào)整為0x00000240。Excel文件中所有文本數(shù)據(jù)都保存在SST共享字符串表中，從殘缺Excel文件中提取出的SST共享字符串表如圖6d所示。圖6e顯示的是Extended SST表，每8個(gè)字符串被劃歸為1個(gè)區(qū)塊，每個(gè)區(qū)塊都有一個(gè)指針指向這個(gè)區(qū)塊的第一個(gè)字符串，由于Extended SST表和SST共享字符串表的相對(duì)位置發(fā)生了變化，因此每個(gè)區(qū)塊中的指針都需要進(jìn)行調(diào)整。本例的調(diào)整結(jié)果如圖6e所示。

圖7顯示的是恢復(fù)出的文本信息和原始文本信息的比較結(jié)果?？梢员容^清晰地看到，在恢復(fù)出的文本信息中原始文件設(shè)置的邊框效果，字體、字號(hào)、居中對(duì)齊方式等格式上的設(shè)置信息已經(jīng)丟失，但是最關(guān)鍵的文本信息得到了完好的保留。

本篇論文針對(duì)破損的Excel文件設(shè)計(jì)了兩種文本數(shù)據(jù)手工恢復(fù)方法，應(yīng)用這些方法可以提取殘缺Excel文件中殘留的文本數(shù)據(jù)。但是當(dāng)殘缺文件數(shù)量龐大時(shí)，手工恢復(fù)方法就會(huì)存在效率低下的問題，在今后的工作中，作者計(jì)劃研究殘缺Excel文件程序化自動(dòng)分析方法。

Data Recovery from Incomplete Excel Files

XU Guotian （Liaoning Cyber Security and Investigation Innovation Center， National Police University of China， Shenyang 110854， China）

Objective In computer-related case investigations， Excel fi les from suspect's computers are often damaged and unable to be analyzed. These incomplete Excel fi les usually store a lot of valuable text data， which are signifi cant for the investigation. In this paper， we attempt to develop assays to recover these residues of text data. Methods A WorkBook stream exchange method towards slightly damaged Excel fi le is proposed. First， the target Excel fi le， a large one， is prepared，and its WorkBook stream data is set to 0x00. The WorkBook stream data of incomplete Excel fi le is then input to WorkBook stream of the target Excel file after being extracted with Winhex. The text information of incomplete Excel can be found when double-clicking the target Excel fi le. Another recovery method based on the reconstruction of the key data structure is also designed for severely damaged Excel fi les. A large target Excel fi le is fi rstly prepared with its WorkBook stream data set at 0x00. The WorkBook header， BoundSheet， Language and region， SST shared string， Extended SST and Sheet1 data of incomplete Excel file are extracted successively with Winhex， and then copied to WorkBook stream of the target file. When missing data structure is supplemented， absolute address

for BoundSheet and Extended SST are adjusted，text information of incomplete Excel will be found in the target Excel fi le. Results The target fi le dealt with the WorkBook stream exchange method can recover its texts， formatting and formulas. When open those managed with the key data structure reconstruction， an error message will pop out. But its text information can be displayed after continuously clicking OK button，though the formatting is unrecoverable. Conclusions The proposed methods in this paper can effectively extract the text data in the incomplete Excel fi le.

digital forensics； incomplete Excel fi le； text data； WorkBook； restoration

圖6 關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的提取和絕對(duì)地址調(diào)整Fig.6 Extraction and absolute address adjustment of key data structure

圖7 恢復(fù)出的文本信息和原始文本信息的比較Fig.7 The comparison between the restored information and the original message

DF793.2

A

1008-3650（2015）06-0440-05

10.16467/j.1008-3650.2015.06.003

2014-12-21

公安部技術(shù)研究計(jì)劃項(xiàng)目（2014JSYJB033）；公安部應(yīng)用創(chuàng)新計(jì)劃課題（2014YYCXXJXY055）；遼寧省教育科學(xué)‘十二五’規(guī)劃課題（JG14db440）；遼寧省自然科學(xué)基金計(jì)劃項(xiàng)目（2015020091）

徐國天，副教授，碩士，研究方向?yàn)殡娮游镒C和網(wǎng)絡(luò)安全。 E-mail： 459536384@qq.com

［1］ 徐國天. NTFS系統(tǒng)下“小文件”取證軟件的設(shè)計(jì)與實(shí)現(xiàn).信息網(wǎng)絡(luò)安全，2011，52（3）：36-42.

［2］ 徐國天. NTFS格式存儲(chǔ)設(shè)備數(shù)據(jù)恢復(fù)方法研究，刑事技術(shù)，2015，40（1）：55-58.

引用本文格式：徐國天. 殘缺Excel文件數(shù)據(jù)信息恢復(fù)方法研究. 刑事技術(shù)，2015，40（6）：440-444.