Office Visualization Tool (OffVis)
Office Visualization Tool (이하 OffVis라 칭한다.)은 Microsoft에서 무료로 제공하는 유틸리티이다. 최신 버전은 1.1.0이고, 본 항에서는 최신버전인 1.1.0을 기반으로 보고서를 작성하였다.
소개[편집]
OffVis는 Windows에서 동작하는 유틸리티이다. 문서 파일 중에서 Micro Office 문서인 Word, Excel, Power Point를 대상으로 문서의 구조를 분석 한다. 이 OffVis를 이용하려면 PC를 Microsoft.net Framework 2.0이상으로 업데이트를 하여야 이용 가능하다.
사용법[편집]
OffVis를 실행하면 [그림 1]와 같다. 주로 3가지 문서에 대해 전체적인 구조를 트리구조로 볼 수 있고, 그 트리 구조의 내용을 클릭하면 해당 되는 내용의 헥사값을 볼 수 있다.
그 외에 검색기능과 원하는 Offset으로 이동, Defragment 등의 기능이 있다.
도구 기능[편집]
맨 처음에 문서를 입력해야한다. OffVis를 실행 한 후 [그림 2]와 같이 Parser를 입력하고자하는 문서에 맞는 3개의 dll 중에 1개를 선택을 한다.
Word를 입력하려면 WordBinary로 시작하는 dll을, Excel을 입력하려면 ExcelBIFF로 시작하는 dll을, Power Point를 입력하려면 PowerPoint97_로 시작하는 dll을 선택하면 된다. 입력할 문서에 맞는 dll을 선택한 후 Parse 버튼을 클릭하면 [그림 3]와 같이 OffVis가 입력한 문서를 읽어 들인다.
Parsing Results 화면을 통해 일거들인 문서의 트리 구조와 안의 내용을 클릭하면 [그림 4]와 같이 그 내용에 해당되는 Offset으로 자동적으로 화면이 이동된다. Parsing Results 화면에는 Name, Value, Size, Type에 대한 정보를 알 수 있다.
또한 화면의 상단에 보면 메뉴들이 보이는데, 메뉴에는 File, Edit, View, Tool가 있다. File 메뉴에는 [그림 5]와 같이 OffVis에 문서를 입력하거나 입력한 문서에 대한 조작한 결과를 저장하거나 xml 파일로 내보내기가 가능하다.
Edit 메뉴에는 [그림 6]와 같이 검색 기능과 Offset 이동 기능이 있다.
Find 메뉴를 클릭하면 검색 기능을 이용할 수 있는데, 검색은 ASCII, Decimal, Hex 중에서 선택하여 검색이 가능하다. 또한 Type과 Endian 선택도 가능하다.
Goto Offset 메뉴를 클릭하면 [그림 8]와 같이 원하는 Offset으로 이동이 가능하다.
View 메뉴에는 [그림 9]와 같이 2가지 중 1개를 선택 할 수 있다.
Display Values In Hex를 클릭하면 [그림 10]에서 [그림 11]로 Offset과 Size값이 헥사 값으로 보이게 된다.
Tool 메뉴에는 Defragment 기능이 있다. 이는 조각난 문서 파일을 다시 조각 모음을 해주는 기능이다.
제한사항[편집]
이 전의 문서 뷰어 도구들과 마찬가지로, Microsoft Office 최신 버전의 docx, pptx, xlsx에 대해서는 지원하고 있지 않다. 오래된 버전인 2007 ~ 2003버전인 doc, ppt, xls에 대해서만 지원하고 있다.
수사 활용 방안[편집]
문서의 헥사값을 통해서 수상한 값이 문서에 삽입되었는지 혹은 문서의 구조가 눈에 띄게 변화가 되어 있는지 등을 한눈에 쉽게 파악 할 수 있다. 또한 조각난 문서가 있을 경우, 조각 모으는 기능도 수사하는데 활용 가능할 것으로 보인다.
