您所在的位置:首页 > 关于我们 > 公司动态

Office文档修复介绍之:laola文件格式介绍

最新动态来源:点击数:1624更新时间:2019/12/16

Office文档是目前应用最广泛的文档格式,但很多人都没有为office文件建立完善的安全防护措施,也没有养成进行文件备份的良好习惯,所以一旦出现操作失误、病毒破坏、系统故障等情况,就有可能造成当前正在编辑的word、excel文档和access数据库等受到损坏,下次无法打开。那么一旦遇到这类文档被破坏或者丢失我们是否就束手无策了呢,当然不是,我们可以借助专业知识和小工具进行受损文档修复。

未公开的office文档存储格式秘密

Office文档格式一直以来都是微软公司的技术机密,至今未曾向外界公布。那么我们现在要做的是修复受损的文档,如果真的对office文件数据结构一无所知的话那么最终也只能止步于“傻瓜式”的文档修复工具水平。想要提高自己的文档修复水平,在最大程度上挽救丢失的数据,那就必须对office文档二进制格式有所了解,下面我们以word文档为例子,给大家介绍word文件内部结构和office文档格式的部分秘密。为什么说是部分呢,因为全部的office文档格式可能只有微软自己才知道了。

Laola的文件格式

Laola文件格式是微软复合文档结构的二进制格式。按照微软的命名来说,这种文档结构应该叫做“复合文档二进制结构(Compound File Binary Format)”。但微软官方并没有公开关于这种文档结构的相关内容,大量黑客通过对word、Excel文件的逆向分析以及办公软件的跟踪,基本上破解了“复合文档二进制结构”的组成和算法。但这些并不是微软的官方文档,有存在差异的可能性,并且微软有权随时改变这一算法结构,因此人们有必要使用另外的名称“laola”来描述这一结构。

复合文档的起源

国内最早分析“复合文档二进制结构”的是反宏病毒技术人员,但国际上在宏病毒没出现前针对微软复合文档二进制结构的分析就已经开始了。进行这种分析的根本目的是为了在其他操作系统下(这里主要指的是linux和其他开源操作系统下)能够开发出可读写微软办公软件使用的文档。
“复合文档”是微软引入的一种在文件内部存放结构化信息的方法。例如:我们写一篇文章,如果这篇文章没有任何格式信息和嵌入图像,那么使用没有任何结构的文本格式就可以了,但是一篇完善的文章里可能包含段落、格式、字体、颜色、插图等,这样简单的无格式文本就无法满足需要了。所以需要在文件的内部存放很多结构,包括段落的文字、字体、甚至段落本身信息等。针对这种需求、以及电子数据表、演示制作等软件的需要,微软开发了一种“文件中的文件系统”,也就是“复合文档”结构。

复合文档结构介绍

在复合文档中,可以有很多目录,在每个目录下可以有子目录,目录和子目录包含了“存储”,一个存储相当于磁盘上的一个文件,整个复合文档就形成了一个类似于磁盘上的目录和文件所组成的树状结构。如果在视窗环境下使用复合路径,可以利用操作系统提供的功能对复合文件进行读写。
与硬盘划分扇区的方法类似,所有使用laola文件格式的文件由512 B的数据块组成(有兴趣的可以验证一下,所有的word、excel或其他office文件大小都是512B的倍数),数据块的序号从-1开始,如下图所示。

序号为-1的块是整个文件的文件头块,存放了复合文件的一些整体信息,结构见下图:

在512 B的数据块基础上,复合文件中包括了两种最基本的结构:
第一种是由512 B的大块连接起来的大块链。如果对以文件分配表“FAT”为基础的文件系统熟悉的话,可以很容易的理解大块链的概念,只要知道一个大块链的开始块序号,通过大块映像图就可以找到这一条大块链的所有内容。一个典型的大块映像图如下图所示:

从图中可以看到,如果一个大块链的开始序号是0的话(该处的内容是5),那么这个大块链包括:序号为0的数据块、序号为5的数据块(该处的内容是7)、序号为7的数据块(该处的内容是9)、序号为9的数据块(该处的内容是0b)、序号为0b的数据块(该处的内容是-1,表示这是该链的最后一个数据块)。
对于比较小的结构,如果以512 B为单位的话会造成比较大的空间浪费,所以专门使用一个大块链来存放比较小的数据块,小于4096 B的数据结构使用小块链来表示,小块链的组成和寻址方式和大块链非常类似,唯一不同的是小块链里面对小块的寻址不是在整个复合文件范围内的,而是在某一个特定的大块链范围内,这个大块链的开始块序号会在以后的更新中叙述。
目录链:是复合文件最基本的数据链,描述了复合文件的目录结构信息。目录链的开始在头块中可以找到。目录链中包括了复合文件的目录信息,每一个目录项的大小是128 B,所以 目录链的一个块可以包括4个目录项,第一个目录项是根目录项,名字叫“根入口(Root Entry)”,任何复合文件里这都是第一个目录项。一个典型的根目录项如下图所示:

下面是目录项的结构说明:

由于上面的数据结构并不是来源于微软的官方文档,其中包含了很多猜测的成分,所以很多内容暂时无法判断其意义,有些结构说明可能与微软原意不同,不过我们利用这个结构对微软的大量文档进行分析,至今尚未发现有明显错误。
在基本的laola文件结构基础上,字处理文档、电子数据表文档具有不同的内部目录结构,下面介绍一个典型word文件内部目录结构
a.doc
—1 Table:一些数据表
—CompObj:通用的对象
—ObjectPool:对象池,是一个目录,包括word文档中嵌入的图像、声音或者其他对象
—WordDocument:实际的文字和格式化信息就存放在这里
—SummaryInformation:摘要信息
—DocumentSummaryInformation:其他的摘要信息

北京北亚数据恢复中心:4006505646