Teoria:
El kripdoc es una herramienta liberada por al gente de kriptopolis para realizar busquedas de metadatos sobre archivos de microsoft word , yo soy de las personas que les gusta probar todo lo que ve asi que lo probe y estos fueron los resultados.
Este aporte es muy pequen'o y nada novedoso asi que me perdonan si no hay nada de interezante en el pero me parecio bueno compartirlo para las personas que empiezan en este ambito.
Practica:
1. descargamos el paquete
http://img232.imageshack.us/img232/4240 ... etedf1.png
2.descomprimimos el paquete
http://img105.imageshack.us/img105/2198 ... moslr1.png
3. cambiamos permisos
http://img187.imageshack.us/img187/6113 ... sosde0.png
4.lo ejecutamos
http://img291.imageshack.us/img291/6718 ... mosff3.png
5.seleccionamos documento(source) mas direccion y nombre del resultado o archivo de salida(destino)
http://img113.imageshack.us/img113/3751 ... toszq5.png
en nuestro caso de estudio seleccionamos:
source : laboratorio de extraccion de metadatos.doc
NOTA: este archivo fue creado bajo word 2007 y con extension docx , el programa no reconoce ese tipo de extension pero si la cambiamos manual mente la reconoce y actua de igual manera en el analisis
destino: le decimos que nos guarde el resultado como lab.txt en la misma carpeta
6. miramos resultados dentro del txt
http://img240.imageshack.us/img240/7295 ... adotv9.png
nos dice que miremos el archivo root/laboratorio , el cual equivale a nuestro archivo word
7.observamos que cambio de icono el documento que utilizamos para el estudio , y al parecer se convierto en directorio :O
http://img520.imageshack.us/img520/8431 ... ionin0.png
8.entramos al directorio
http://img213.imageshack.us/img213/3170 ... on2wp9.png
9.a simple vista podemos apreciar dos directorios importantes:
word: la contenedora de nuestro archivo word original , el cual se llama document.xml
http://img242.imageshack.us/img242/6196 ... on3iu9.png
docprops: contiene la informacion que andamos buscando, esta carpeta tiene 2 subcarpetas y cada una contiene diferentes datos:
http://img299.imageshack.us/img299/1456 ... on4ak7.png
app: donde se encuentra el nombre del programa(obvio) que creo el documento
http://img297.imageshack.us/img297/8992 ... on5bt0.png
NOTA: no estoy totalmente convencido si este programa es capaz de sacar la version de creacion , al parecer no pudo pero puede ser por ser creado con la version del office 2007 recordemos que solo es "compatible" con el oficce 2003
core: Aqui encontramos el nombre se usuario que creo el documento y la fecha exacta mas hora de la creacion del mismo
http://img258.imageshack.us/img258/4713 ... on6dq7.png
CONCLUSION:
Bueno al parecer podemos encontrar datos muy importantes con respecto a una investigacion porque podemos determinar que usuario lo creo y fuera de eso el an'o, fecha y hora; estos datos pueden llegar a ser definitivos para una investigacion dentro de una misma organizacion investigando la maquina sospechosa y comparando usuarios y fechas
saludos y espero les haya gustado este laboratorio(mini) aunque poco productivo
