Forensic

Alle anderen Themen ...

Moderator: ModerationP

Forensic

Beitragvon Fennek » 13. Mär 2020, 11:46

Hallo,

MS ist immer wieder mal für eine Überraschung gut:

In einer Excel-Datei war ein "CustomXML" enthalten, die nach dm ersten Eindruck Base64 kodiert ist.

Ein Online-Konverter liefert aber einen binär Code, der

- als 6. Zeichen "PK" enthält, also ein Zip-file
- einigen Klartext, wie ein Datum und "filewallEnable"
- was bedeutet "Mesh"? (kenne ich nur als eine neue Art eines Netzwerks)

Was für ein Datei-Typ ist das? Kann es entziffert werden?

Danke

mfg

(Für Forensiker ist ein Office-Dokument recht interessant: Nicht nur wegen vieler UUID's, sondern auch Informationen über den PC und Zeitstempel)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56

Re: Forensic

Beitragvon Der Steuerfuzzi » 13. Mär 2020, 12:39

Hallo,

warum entpackst Du das Zip nicht einfach?

Es enthält folgende Verzeichnisse/Dateien:
Code: Alles auswählen
Config
 '-Package.xml
Formulas
 '-Section1.m
[Content_Types].xml


Scheint sich wohl um M-Code handeln (PowerQuery-Abfrage einer Access-Datenbank).
Gruß
Michael
Benutzeravatar
Der Steuerfuzzi
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 3800
Registriert: 25. Mär 2013, 13:28

Re: Forensic

Beitragvon Fennek » 13. Mär 2020, 13:12

Hallo,

meine Versuch ein ".zip" an den Dateinamen anzuhängen und mit mehreren Entpackern zu öffnen, waren erfolglos. Auch die Variante, alle Zeichen vor "PK" zu löschen, ging nicht. Ebenfalls ein ".pdf" anzuhängen und mit einem Reader zu öffnen, ware nicht möglich.

Ich hoffe, dass keine vertraulichen Daten in der Datei enthalten sind.

mfg

(7z, CMD: Tar -tf, WinRar)
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56

Re: Forensic

Beitragvon Der Steuerfuzzi » 13. Mär 2020, 14:16

Hier mal die Zip-Datei. Persönliche Daten sind soweit nicht enthalten, lediglich der Dateipfad der Access-Datenbank.

@Fen: Die Datei wurde nicht direkt als Zip umbenannt. In der Datei war ein Base64-Kodierter Teil, der dann das Zip enthilt.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruß
Michael
Benutzeravatar
Der Steuerfuzzi
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 3800
Registriert: 25. Mär 2013, 13:28

Re: Forensic

Beitragvon Fennek » 13. Mär 2020, 14:54

Danke

(ich hatte es mit der (online) dekodierten Datei versucht)
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56


Zurück zu Offtopic (provisorisch)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste