手把手教你用010Editor和OffVis拆解一个老.doc文件:从二进制头到FAT表
逆向工程实战:用010Editor和OffVis解剖Office 97-2003文档结构
当你双击一个老旧的.doc文件时,Word软件像魔术师一样将二进制代码转化为可读的文字。但在这层表象之下,隐藏着一个精密的存储系统——OLE复合文档结构。本文将带你用010Editor和OffVis这两把"手术刀",逐层解剖.doc文件的二进制躯体,从文件头到FAT表,亲历一场数字世界的解剖课。
1. 工具准备与环境搭建
工欲善其事,必先利其器。我们需要两款核心工具:
- 010Editor:二进制文件分析的瑞士军刀,支持模板解析
- OffVis:微软官方推出的Office文件结构查看器
安装完成后,建议创建一个专门的工作目录,存放以下内容:
/文档分析/ ├── tools/ │ ├── 010Editor.exe │ └── OffVis.exe ├── samples/ │ └── test.doc └── output/提示:测试用的.doc文件最好小于1MB,避免分析时加载过慢。可以从旧文档库中选取或自行创建。
2. 认识OLE复合文档的基本结构
Office 97-2003文档本质上是遵循OLE标准的复合文档,其结构类似于微型文件系统。主要包含以下核心组件:
| 结构组件 | 大小 | 功能描述 |
|---|---|---|
| 文件头(Header) | 512字节 | 存储文档元数据和结构指针 |
| FAT表 | 可变 | 记录数据扇区的分配情况 |
| MiniFAT | 可变 | 管理小型数据流 |
| 目录项 | 128字节/项 | 存储文档中各个对象的元信息 |
用010Editor打开.doc文件时,你会看到这样的文件头特征:
00000000: D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 00000010: 00 00 00 00 00 00 00 00 3E 00 03 00 FE FF 09 00关键特征解读:
- 前8字节
D0 CF 11 E0 A1 B1 1A E1是OLE复合文档的魔数签名 - 第29-30字节
3E 00表示主FAT表的扇区大小(通常为512字节)
3. 文件头深度解析
让我们用OffVis进行第一层解剖:
- 启动OffVis,点击"File"→"Open"选择测试文档
- 在左侧导航树中选择"Header"
你会看到类似这样的关键字段:
typedef struct _OLE_HEADER { BYTE signature[8]; // 文件签名 CLSID clsid; // 类标识符 WORD minorVersion; // 次版本号 WORD majorVersion; // 主版本号 WORD byteOrder; // 字节序标记 WORD sectorShift; // 扇区大小指数 WORD miniSectorShift; // 迷你扇区大小指数 DWORD fatCount; // FAT表数量 DWORD firstDirSector; // 首目录扇区位置 // ...其他字段省略 } OLE_HEADER;重点关注三个实用参数:
- 扇区大小计算:实际扇区大小 = 512 × 2^sectorShift
- FAT表位置:第一个FAT表通常从第1扇区开始
- 目录起始点:firstDirSector指向目录结构的起点
注意:如果byteOrder字段值为0xFFFE,表示这是小端序(Little-Endian)存储的数据。
4. FAT表解析实战
FAT(File Allocation Table)是复合文档的"交通枢纽",记录了所有数据扇区的分配情况。解析步骤:
- 在OffVis中导航到"FAT Table"节点
- 记录下第一个FAT扇区的位置(通常为1)
- 计算FAT扇区的物理偏移:512 + (sectorNumber-1)×sectorSize
FAT表示例解析:
扇区ID: 0 → 文件头 扇区ID: 1 → FAT表自身 扇区ID: 2 → 目录项起始 扇区ID: -2 → 空闲扇区 扇区ID: -3 → 坏扇区在010Editor中,可以使用以下模板脚本快速定位FAT:
// 010 Editor脚本片段 uint sectorSize = 512 << header.sectorShift; uint fatOffset = sectorSize; // 第一个FAT表通常紧接着文件头 FSeek(fatOffset); uint fatEntry; while(!FEof()) { fatEntry = ReadUInt(); if(fatEntry == 0xFFFFFFFE) break; // 典型结束标记 // 处理FAT条目... }5. 目录项与数据流提取
目录项(Directory Entries)相当于文件系统的"目录",每个条目128字节,结构如下:
| 偏移量 | 长度 | 字段名 | 描述 |
|---|---|---|---|
| 0x00 | 64 | name | UTF-16格式的对象名称 |
| 0x40 | 2 | nameLen | 名称长度(字节数) |
| 0x42 | 1 | objectType | 对象类型(1=存储,2=流) |
| 0x43 | 1 | colorFlag | 红黑树颜色标记 |
| 0x44 | 4 | leftSibling | 左兄弟节点ID |
| 0x48 | 4 | rightSibling | 右兄弟节点ID |
| 0x4C | 4 | child | 子节点ID |
| 0x74 | 4 | startSector | 起始扇区号 |
| 0x78 | 8 | streamSize | 流大小(字节) |
实战操作——提取Word文档文本内容:
- 在OffVis中找到名为"WordDocument"的目录项
- 记录其startSector和streamSize
- 使用FAT表追踪扇区链
- 在010Editor中组合这些扇区数据
# Python示例:简单的扇区链追踪 def read_sector_chain(start_sector, fat): sectors = [] current = start_sector while current != 0xFFFFFFFE: # 结束标记 sectors.append(current) current = fat[current] return sectors6. 高级技巧:处理碎片化存储
老文档经常存在严重的存储碎片化问题。当遇到以下情况时,需要考虑碎片重组:
- FAT表中出现交叉引用
- 目录项指向的扇区链不连续
- 流大小与实际扇区数据不匹配
解决方案示例:
建立扇区映射表:
| 逻辑顺序 | 物理扇区 | 数据状态 | |----------|----------|----------| | 0 | 42 | 有效 | | 1 | 105 | 有效 | | 2 | -1 | 丢失 |使用010Editor的Compare功能对比多个版本的文档结构
手动修复技巧:
- 检查相邻扇区的数据连续性
- 验证目录项中的streamSize与实际数据是否匹配
- 注意特殊扇区标记(如0xFFFFFFFE表示链结束)
7. 安全研究中的应用场景
理解OLE结构对安全分析至关重要,特别是在处理:
- 宏病毒分析:定位VBA存储流
- 文档取证:恢复删除的内容
- 漏洞研究:识别异常结构
典型分析流程:
- 检查可疑的目录项名称
- 分析非常规的扇区分配模式
- 追踪隐藏的数据流
- 验证文件头与实际结构的 consistency
注意:在分析可疑文档时,建议在虚拟机环境中操作,避免潜在的安全风险。
通过这次解剖之旅,我们不仅看到了.doc文件的内在骨架,更掌握了逆向解析二进制文档的实用技能。下次当你面对一个老旧文档时,不妨用010Editor打开它,开始你的数字考古探险。