文件的来源是否可追溯?如果是,我该如何消毒?
Edd*_*Edd 9 file-sharing metadata alternate-data-stream
如果我将文件从我的 PC 复制到新格式化的 USB 闪存驱动器,将文件带到公共 PC 和公共 Internet 连接,从那里创建新电子邮件,在上传服务器上创建一个新帐户,上传文件,共享一个在网络上下载此文件的链接以及下载文件后的匿名个人或组织,此人或组织是否可以追踪此文件?
另外,如果这个文件不是我从别人那里拿来的 PDF 文件,我怎样才能使这个文件无法追踪?
Dav*_*ill 19
文件的来源是否可追溯?如果是,我该如何消毒?
简短的回答是这取决于:
如果该文件包含您的姓名、地址、电话号码和社会安全号码,则不难追查到您...
除了文件本身中明显的可见数据之外,许多应用程序还在文件中留下某种类型的识别信息——称为元数据。
元数据通常可以从文件中删除(删除方法取决于文件的类型)。
上传文件将仅发送主要数据流,并留下备用数据流和文件系统驻留元数据。
正如Andrew Morton指出的那样,一些组织在分发文档之前对文档的每个副本进行小的语法(或其他)更改。
通过这样做,如果副本被盗(或传递),可以将副本跟踪到特定的个人。当然,这很难打败。
继续阅读以了解有关可与不同类型文件相关联的敏感和隐藏数据类型以及如何清理(清理)它们的更多信息。
纯文本文件可以安全使用吗?
正如Uwe Ziegenhagen指出的那样,即使是 NTFS 文件系统上的 Windows 纯文本文件(以及任何其他文件类型)也可能包含备用数据流形式的元数据。另请参阅如何使用 NTFS 备用数据流。
交替数据流允许文件与多个数据流相关联。例如,像 text.txt 这样的文件可以有一个名称为 text.txt:secret.txt(形式为 filename:ads)的 ADS,只有知道 ADS 名称或通过专门的目录浏览程序才能访问该 ADS。
在原始文件的大小中无法检测到替代流,但是当原始文件(即 text.txt)被删除时,或者当文件被复制或移动到不支持 ADS 的分区(例如 FAT 分区、软盘或网络共享)。尽管 ADS 是一项有用的功能,但如果由于被遗忘或未被检测到而未知,它也很容易占用硬盘空间。
仅当文件位于 NTFS 驱动器上时才支持此功能。
查看和删除备用数据流
笔记:
- NTFS 文件系统上的任何文件都可以附加一个备用数据流(不仅仅是文本文件)。
- 有关与备用数据流相关的潜在安全问题的更多信息,请参阅隐藏威胁:备用数据流
记事本和 Word 可用于(从命令行)打开和读取备用数据流。看到这个答案NTFS备用数据流由西以获取更多信息。
UltraEdit可以从程序内部打开备用数据流。
AlternateStreamView可用于删除备用数据流:
AlternateStreamView是一个小型实用程序,可让您扫描 NTFS 驱动器,并找到存储在文件系统中的所有隐藏备用流。
扫描并找到备用流后,您可以将这些流提取到指定的文件夹中,删除不需要的流,或将流列表保存为文本、HTML、CSV 或 XML 文件。
来源AlternateStreamView通过Nirsoft
图片呢?
正如Scott所指出的,图像还可以包含隐藏的数据(文件、消息、另一个图像或视频,使用隐写术:
隐写术包括在计算机文件中隐藏信息。在数字隐写术中,电子通信可能包括传输层内的隐写术编码,例如文档文件、图像文件、程序或协议。
媒体文件非常适合隐写传输,因为它们的尺寸很大。例如,发件人可能从一个无害的图像文件开始,并调整每 100 个像素的颜色以对应字母表中的一个字母,这种变化非常微妙,以至于没有专门寻找它的人不太可能注意到它。
源隐写术
当然,这很难去除。
另请参阅隐写术 - 一种数据隐藏技术和速记软件
Excel 电子表格或 Word 文档呢?
默认情况下,办公文档包含个人信息:
- 可以删除此信息,请参阅下面的链接。
单词:
- 考虑使用用记事本或其他编辑器创建的纯文本文件,而不是 Word 文档
电子表格:
- 考虑使用CSV文件,用 excel 创建并另存为 CSV,或直接使用其他程序(例如记事本)创建 CSV。
Word 文档可以包含以下类型的隐藏数据和个人信息:
来自修订、版本和墨迹注释的注释、修订标记
如果您与其他人协作创建您的文档,您的文档可能包含诸如修订标记、批注、墨迹注释或版本等项目。此信息可以让其他人看到处理您的文档的人员的姓名、审阅者的评论以及对您的文档所做的更改。
文档属性和个人信息
文档属性,也称为元数据,包括有关文档的详细信息,例如作者、主题和标题。文档属性还包括由 Office 程序自动维护的信息,例如最近保存文档的人员的姓名和创建文档的日期。如果您使用了特定功能,您的文档还可能包含其他类型的个人身份信息 (PII),例如电子邮件标题、发送以供审核信息、路由表和模板名称。
页眉、页脚和水印
Word 文档可以在页眉和页脚中包含信息。此外,您可能在 Word 文档中添加了水印。
隐藏文字
Word 文档可以包含格式为隐藏文本的文本。如果您不知道您的文档是否包含隐藏文本,您可以使用文档检查器进行搜索。
文档服务器属性
如果您的文档已保存到文档管理服务器上的某个位置,例如文档工作区网站或基于 Microsoft Windows SharePoint Services 的库,则该文档可能包含与此服务器位置相关的其他文档属性或信息。
自定义 XML 数据
文档可以包含在文档本身中不可见的自定义 XML 数据。文档检查器可以找到并删除此 XML 数据。
笔记:
- Word 文档检查器不会检测带有隐写术的白色文本或图像(隐藏的文件、消息、图像或视频)
Source通过检查文档删除隐藏的数据和个人信息
如果我使用从其他人那里获得的 PDF 文件怎么办?
PDF 不安全:
它们可能包含病毒,请参阅PDF 文件是否包含病毒?
它们可以包含 JavaScript。如果每次打开 PDF 时 JavaScript 都要“打电话回家”,那么可能会有一个很好的跟踪,包括您的 IP 地址。
PDF 还可以包含隐藏信息:
PDF 还经常用作最初在 Microsoft Office 中创建的文件的分发格式,因为可以在转换过程中清理(或编辑)隐藏的数据和元数据。
尽管 PDF 文档被普遍使用,但分发这些文件的用户往往低估了它们可能包含隐藏数据或元数据的可能性。本文档确定了可能与 PDF 文档相关的风险,并提供指导以帮助用户减少敏感信息的无意泄露。
Adobe PDF 文件中的
源隐藏数据和元数据:
出版风险和对策,由美国国家安全局编写的文件
如何检查 PDF 文件以确保它不包含任何敏感信息?
您可以按照NSA给出的建议来清理您的 PDF。
- 我已经总结了您需要遵循的基本步骤。
- 可从以下链接获得带有屏幕截图的详细分步说明。
本文描述了为静态发布清理 PDF 文档的过程。出于本文档的目的,清理意味着删除隐藏的数据和不打算发布的动态内容(例如,作者的用户名或嵌入文件中但在任何页面上不可见的临时编辑注释)。
隐藏数据包括:
元数据
嵌入内容和附加文件
脚本
隐藏层
嵌入式搜索索引
存储的交互式表单数据
审查和评论
隐藏页面、图像和更新数据
模糊的文本和图像
PDF(未显示)注释
未引用的数据
...
详细的消毒程序
清理源文件
如果生成源文件的应用程序具有清理实用程序,则应在转换为 PDF 之前应用它。
配置安全设置
- 确保已下载并安装所有适用的 Acrobat 更新
- 禁用 JavaScript
- 验证是否正确设置了信任管理器设置
运行预检
预检确保文件内容与目标版本兼容,并根据需要应用“修正”。
运行 PDF 优化器
- 如果 PDF 文件包含其他附加文件,则会出现警告消息。单击“确定”继续。在 PDF 优化过程中,附件将被删除。
- 文档标签会带来隐藏的数据风险。此过程(特别是“丢弃文档标签”的选中选项)将它们从经过处理的 PDF 中删除。
运行检查文档实用程序
- 这有助于找到隐藏在对象后面的文本以及之前步骤中可能遗漏的任何其他区域。
Adobe PDF 文件中的
源隐藏数据和元数据:
出版风险和对策,由美国国家安全局编写的文件
但是我有杀毒软件!
即使是防病毒软件也不能保证捕获所有内容。查看零日漏洞:
零日(也称为零时或 0 日)漏洞是以前未公开的计算机软件漏洞,黑客可以利用该漏洞对计算机程序、数据、其他计算机或网络产生不利影响。
它被称为“零日”,因为一旦发现该缺陷,软件作者就有零日时间来计划和建议针对其利用的任何缓解措施(例如,通过建议变通方法或发布补丁)
源零日
我的 USB 驱动器呢?我需要担心吗?
您无法保证您的 USB 闪存驱动器是安全的。
USB 外围设备,例如拇指驱动器,可以重新编程以窃取写入驱动器的任何内容并将固件修改代码传播到它所接触的任何 PC。最终结果可能是一种通过备用拇指驱动器传播的自我复制病毒,就像几十年前通过软盘传播的基本病毒一样。
- 此外,可以对文件最初分发给的每个人的文件进行轻微的语法更改。这实际上是为(某种级别的)秘密文件完成的。 (3认同)
- 即使(Windows)纯文本文件也可能包含元数据,这里的关键字是“替代数据流”。更复杂的编辑器(如 Ultraedit)可以访问这些备用数据流。更多信息:https://support.microsoft.com/en-us/kb/105763 (2认同)