我相信 Windows 10 系统上有 MS Word 文档,但它们的扩展名已被更改以隐藏它们。我如何搜索文件系统,查看文件内容,而不是扩展名,来识别任何未标记的 Word 文档?
文档可能是 .doc 或 .docx,并且可能受密码保护。
答案1
看起来 grep 就是答案。二进制 .doc 文件包含字符串Word.文档.8:
“GnuWin32\bin\grep.exe”-a -r“Word.Document.8”c:\Users\alice
答案2
找出文件签名/magic number,即您正在寻找的 Word 文档版本。一旦您计算出每个文件使用前 n 个字节的字节数,
head -c <number of bytes in signature> <filename>|hexdump然后将输出与您正在寻找的签名进行比较。
注意,这在 Linux 系统上有效,你可以使用以下 Live 映像启动系统:卡利或者回溯并利用其中内置的一些取证工具,或者直接使用Debian。这将允许您使用其他工具查看文件修改时间等,以查看是否有大量文件被修改或重命名。如果您认为文件已被恶意添加/修改,在允许它再次连接到网络之前,使用某种取证工具仔细查看文件系统可能是一个好主意。