[发明专利]一种损坏的加密doc文档的数据提取方法

权利要求书

1.一种损坏的加密doc文档的数据提取方法，其特征在于包括以下步骤：

S100：读取所述doc文档并储存至内存，用以提取数据；

S200：判断所述doc文档是否加密，如果是，执行步骤S300，否则，结束流程；步骤S200包括以下步骤：

S201：判断是否完成所述doc文档的查找，如果是，执行步骤S206，否则，执行步骤S202：

S202：读取内存中所储存的所述doc文档的当前扇区；

S203：判断当前扇区所储存的数据是否为所述doc文档的WordDocument流文件，如果是，执行步骤S205，否则，执行步骤S204；包括以下步骤：

S2031：判断当前扇区所储存的前两个字节的内容是否为0xECA5，如果是，执行步骤S2032，否则，执行步骤S204；

S2032：寻址当前扇区的第0x0A字节并以小端格式读取连续2字节内容，判断所述2字节内容的第7比特位是否为1，如果是，执行步骤S2033，否则，执行步骤S204；

S2033：寻址当前扇区的第0x0E字节并读取该字节内容，判断该字节内容是否为0x34，如果是，执行步骤S205，否则，执行步骤S204；

S204：判断当前扇区所储存的数据是否为所述doc文档的0/1表,如果是，执行步骤S206，否则，执行步骤S205；包括以下步骤：

以大端格式读取当前扇区所储存的前四字节的内容并判断是否为0x01000100，如果是，执行步骤S206，否则，执行步骤S205；

S205：寻址所述doc文档的下一扇区，执行步骤S201；

S206：获取所述doc文档的0/1表的前0x34字节的内容；

S300：获取扇区分配表SAT；

S400：获取流文件；

S500：采用RC4的方式解密流文件；

S600：采用微软官方提供的doc文档的解析数据的方法，提取所述doc文档的数据。

2.根据权利要求1所述的一种损坏的加密doc文档的数据提取方法，其特征在于，步骤S300包括以下步骤：

S301：判断是否完成所述doc文档的查找，如果是，执行步骤S400，否则，执行步骤S302；

S302：读取内存中所储存的所述doc文档的当前扇区；

S303：将当前扇区以四字节为一组进行划分，判断各组的字节内容是否顺序递增且不大于所述doc文档的最大扇区数，如果是，表示当前扇区所包含数据为扇区分配表，执行步骤S304，否则，执行步骤S305；

S304：采用尾加的方式，将SAT ID按大小顺序分别依次存储，用以获取流文件,所述流文件包括WordDocument流文件、Data流文件、0/1表流文件；

S305：寻址所述doc文档的下一扇区，执行步骤S301。

3.根据权利要求1所述的一种损坏的加密doc文档的数据提取方法，其特征在于：所述步骤S400包括以下步骤：

S401：判断是否完成所述doc文档的查找，如果是，执行步骤S406，否则，执行步骤S402；

S402：读取内存中所储存的所述doc文档的当前扇区的前0x80字节的内容；

S403：判断当前扇区是否为目录项，如果是，执行步骤S404，否则，执行步骤S405；

S404：根据当前流文件的目录项的数据结构，读取并储存当前流文件的起始SATID及当前流文件的字节长度，其中，当前流文件包括WordDocument流文件、Data流文件、0/1表流文件；

S405：寻址所述doc文档的下一扇区，执行步骤S401；

S406：根据所储存的流文件的起始SAT ID及流文件的字节长度，从所述doc文档中读取流文件的数据，其中，当前流文件包括WordDocument流文件、Data流文件、0/1表流文件。

4.根据权利要求1所述的一种损坏的加密doc文档的数据提取方法，其特征在于，步骤S500包括以下步骤：

S501：是否完成所述doc文档的流文件解密，如果是，执行步骤S600，否则，执行步骤S502；

S502：读取内存中所储存的所述doc文档的当前扇区，记录当前扇区的扇区索引号，如果当前扇区不足512字节，则不足512字节的字节内容填零；

S503：解密当前流文件：采用步骤S206所获取的0x34字节的内容、所述doc文档密码及扇区索引号，采用RC4方式解密当前流文件；

S504：将解密的文件流存储回当前扇区，用以覆盖当前扇区的原字节内容，并执行步骤S501；其中，对于当前扇区不足512字节而填零的字节，采用对应的解密的字节内容分别各自覆盖填零的字节内容。