Forensics in Office365. Christian Prickaerts 12 juni 2014, Amsterdam



Vergelijkbare documenten
HANDLEIDING ONEDRIVE IN OFFICE365

ONEDRIVE GEBRUIKEN Laatste wijziging op vrijdag 21 september 2018

Microsoft Office 365 voor leerlingen

Secure File Sync - Quick Start Guide

SHAREPOINT ONLINE (SAMEN-)WERKEN IN DE WOLKEN. - Workshop SharePoint 1

Handleiding Office 2013 en Office 365. voor thuisgebruik

BEGINNERS HANDLEIDING

BASIS HANDLEIDING CLOUD ASSISTENT

SNEL HANDLEIDING KIT-2BNVR2W

Dienstbeschrijving. New Day at Work Online workspace of the future! Page 1

Hoe te werken met Word en SmarTeam?

Office Live Workspace

Korte handleiding O365=Office 365 Let op: er worden hier en daar nog wijzigingen doorgevoerd, dus de afbeeldingen en teksten kunnen afwijken

OneDrive handleiding

ZorgInlogPortaal.nl. Geachte gebruiker, Handleiding Mijn Virtuele Schijf Versie 2.0

Dienstbeschrijving Cloud. Een dienst van KPN ÉÉN

Configuratie. New Day at Work Online workspace of the future! Page 1

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise

Het Office 365 portfolio van Copaco Nederland

Introductie. Handleiding: Owncloud instellen

Handleiding Office 365 en Office 2016

Handleiding OneDrive voor Bedrijven van KPN Versie mei 2015

Introductie. Inspired Collaboration. Working SMARTer, not harder BYOD in je onderwijspraktijk. April 22, Sessie BYOD Digo

Beknopte instructies Onedrive

Office 365 gebruiken op uw iphone of ipad

Licentie Bundels O365. Rol van de partner

Sick Beard installeren en configureren voor gebruik in combinatie met SABnzbd+...

Internet Explorer certificaat management

What happened in Vegas?

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Office-bestanden en OneDrive

Remote werken 365-connect

Windchill Document Management. - Digitaliseren van documenten en processen -

versie HANDLEIDING O-Prognose (internetversie)

Inhoudsopgave web2work Pagina 1 van 16

Ontdek wat Office 365 voor Uw organisatie kan doen!

Novell Data Synchronizer: wie kan er nog zonder? Wiljo Tiele Geert Wirken

Stefan Lamberigts Solution Advisor Data Platform. Michiel Coox Solution Advisor Productivity

Handleiding Facultaire website Expression Engine

Om Qsync te installeren, start u het installatieprogramma door te dubbelklikken op het pictogram.

CONFIGUREER HET QSYNC ACCOUNT OP UW ANDROID-TOESTEL.

De Outlook en SharePoint integratie

Dienstbeschrijving Zakelijk Office 365 Versie april 2014

Configuratiehandleiding

Inhoudsopgave Voorwoord 5 Introductie Visual Steps 6 Wat heeft u nodig? 7 Uw voorkennis 7 Nieuwsbrief 7 Hoe werkt u met dit boek?

Introductie Werken met Office 365

Access. Accomplish. Share. Tips voor het gebruik van Office 365: tools voor , web, en samenwerking

Het Office 365 portfolio van Copaco Nederland

Overzicht van het Office 365 portfolio bij Copaco Nederland

Office 365 gebruiken op uw Windows Phone

Handleiding. Opslag Online voor Windows Phone 8. Versie augustus 2014

Handleiding remote werken Citrix versie 6.5

Zakelijk Office 365 Snel aan de slag met Zakelijk Office 365 Professional Plus

BIBLIO VAKGROEP GE55 KENNISCENTRUM VOOR DE GEZONDHEIDSZORG GENT

Webinar OneDrive. OneDrive voor Bedrijven uitgespit (private cloud) Jan Pintelon (HFB) met ondersteuning van HB+ (Samuel Heirewegh)

TOELICHTING BIJ DE HANDLEIDING

Kenmerken Nomadesk Software

Installatie MicroSoft SQL server 2012 Express

Voorbeelden en mogelijkheden rondom het delen van bestanden/foto s

H2.64 DVR Handleiding voor de smartphone. Versie: 1.1 Status: For review

WELKOM in het Computercafé. 21 februari 2019

Zakelijk Office 365 Aan de slag met Zakelijk Office 365

Introductie Werken met OneDrive voor Bedrijven

Installatie instructie

Een alledaags gegeven

Introductie werken met ICT Wifi Office 365 Magister Slim

Handleiding voor MS Office 365 online OSG Piter Jelles

SPTOOLS SHAREPOINT CONNECTOR -

Aanmelden op het Office 365 portaal

Website beoordeling google.com

Ga met uw telefoon naar de onderstaande link om de Xmeye app te downloaden of zoek in de app store naar Xmeye.

Installatie Groeps Login app

GEBRUIKERSHANDLEIDING. T-Mobile UC-One Communicator Quick Start

Mitel User Group. Mitel-licentiestructuur. Jan Jansen. Account Director april 2015

KPN ÉÉN biedt eenvoud

Handleiding Invoeren van een Catia V5R19 document in SmarTeam

Releasenotes Talent & Salaris Web Service Pack

Gebruikershandleiding Microsoft Apps

HANDLEIDING CAMERASYSTEEM. Open eerst een webbrowser naar keuze: bij voorkeur

Handleiding Sportlink Club

Filr. Sebastiaan Veld Anthony Priestman. 10 april Overview en business case

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Installatie handleiding ToastAR & HoastAR Januari ToastAR

1. Hardware Installatie Installatie van Quasyscan...6 A. Hoe controleren of je een actieve internetverbinding hebt?...6 B.

OFFICE 365. Start Handleiding Medewerkers

EM6250 Firmware update V030507

Versie 6.4 ( ) Inloggen op de Thuiswerk Portal

Het Office 365 portfolio van Copaco Nederland

Installatie handleiding

Globale kennismaking

Website beoordeling facebook.com

Maak een nieuwe site collectie aan met de waarden die beschreven staan in de volgende tabel.

Van Big Data tot waardevolle informatie op maat van de (interne)gebruiker en de burger

Nieuws & RSS in DotNetNuke

Installeren van Solid Edge ST3

Hoe te verbinden met NDI Remote Office (NDIRO): Apple OS X How to connect to NDI Remote Office (NDIRO): Apple OS X

Je nieuwe adres gebruiken Om je mail te lezen ga je naar de site: Je ziet dan onderstaand inlogscherm:

Installatie Avalanche Webview

Self-Service Portal Registeren, downloaden & activeren van een soft token

Transcriptie:

Forensics in Office365 Christian Prickaerts 12 juni 2014, Amsterdam

2

Vanaf Office 2007 Vóór de 2007 versie standaard het OLE formaat Object Linking and Embedding (OLE) Sinds de 2007 versie standaard het OOXML formaat Open Office Extended Markup Language (OOXML) Voordelen OOXML Open standaard (uitwisselbaarheid) 4

XML structuur Word Voorbeeld app.xml 5

app.xml XML veld Explorer veld Template Template TotalTime Total editing time Pages Pages Words Word count Characters Character count Application Program Name DocSecurity - Lines Line count Paragraphs Paragraph count ScaleCrop Scale Manager Manager Company Company LinksUpToDate Links dirty? CharactersWithSpaces - SharedDoc Shared with HyperlinksChanged - AppVersion - 6

XML structuur Word Voorbeeld core.xml 7

core.xml XML veld title subject creator keywords description lastmodifiedby revision created modified category contentstatus language version Explorer veld Title Subject Authors Tags Comments Last saved by Revision number Content created Date last saved Categories Content status Language Version number core.xml structuur is zelfde voor Word 2007, 2010, 2013 8

Rsid identificatie in word Rsid staat voor Revision Save ID Rsid s bevinden zich in de word/documents2.xml Wijzigingen tijdens sessie worden met uniek Rsid opgeslagen Rsid s worden random gegenereerd op basis van datum en tijd 9

docx structuur docprops core.xml app.xml theme _rels theme1.xml Document.xml.rels.docx word document.xml settings.xml websettings.xml styles.xml fonttable.xml _rels [Content_Types].xml.rels 10

Zichtbare metadata Eenvoudig zichtbare metadata Description Title, subject, Origin Author, company, content created, Content Pages, template, character count, File Size, date created, date modified, 11

Verwijderbare metadata Eenvoudig aan te passen/verwijderen metadata: Description Title, subject, tags, categories, comments Origin Author, Last saved by, revision number, version, company, manager Content Content status, content type, language File Geen? 12

Metadata - advanced Last saved by aanpassen Hoe gaan we te werk? Welke sporen laat dit achter? 13

Metadata - advanced Hoe gaan we te werk? Open een Office document in 7-zip Ga naar docprops Rechtermuisknop op core.xml Edit 14

15 Metadata - advanced

16 Cloud wat is dat?

17 Cloud wat kan je ermee?

18 Cloud wat zijn de gevolgen?

19

20

21 X-originating IP

22

Office365 - introductie Microsoft Online Services Business Productivity Online Standard Suite (BPOS) Exchange 2007 SharePoint 2007 Office 365 Rolling release model altijd laatste versie Exchange 2010 2013 - Lync 2010-2013 - SharePoint 2010 2013 - Office Web Apps 23

Office365 permissies (1) Admin roles Office 365 Enterprise and Midsize Business: Global admin Billing admin Password admin Service admin User management admin Office 365 Small Business Eén type admin 24

Office365 permissies (2) Kan een admin bij de data van een user via Office365? - Niet direct - Kan wel wachtwoord opnieuw instellen.. of via één van de plekken waar de data is gesynchroniseerd 25

Office365 synchronisatie SkyDrive 26

Office365 - SkyDrive SkyDrive via website 27

Office365 - SkyDrive SkyDrive via Windows App 28

Aanwezigheid OneDrive folder

Office365 - SkyDrive SkyDrive via Mobile App 30

Office365 - SkyDrive SkyDrive via Explorer 31

Office365 Veiligstellen Website Explorer - Bestand timestamps download tijd - Niet mogelijk op het moment (zonder RoboCopy) SkyDrive op computer/laptop - Bestandstijden blijven gedeeltelijk behouden SkyDrive op mobile device - Hele mobile device dient te worden veiliggesteld Tip: Niet gesynchroniseerd? Veiligstellen, sync, veiligstellen = mogelijk twee versies van het document! 32

Office365 Word metadata docprops\app.xml Nieuw document zonder inhoud Structuur zelfde als Office 2007 <AppVersion>15.0000</AppVersion> Nieuw document met inhoud Geen TotalTime, Pages, Words, Characters, Lines, Paragraphs <ap:appversion>00.0001</ap:appversion> 33

Office365 Word metadata docprops\core.xml Nieuw document zonder inhoud Nieuw document met inhoud 34

Office365 RSID document.xml = document2.xml Indeling globaal het zelfde document.xml: document2.xml Nieuw: paraid, textid 35

Office365 - Herkennen customxml folder docprops\custom.xml file [trash] SharePoint/365 docprops\custom.xml <property fmtid="{*}" pid="3" name="ismydocuments"> In core.xml: Created timestamps office 365 app.xml 36

Office365 app.xml Opsomming AppVersion in app.xml 2007 2010 2013 365* Leeg Bewerkt Word 12.0000 14.0000 15.0000 15.0000 00.0001 Excel 12.0000 14.0300 15.0300 14.0300 16.0300 PowerPoint 12.0000 14.0000 15.0000 15.0000 16.0000 * 365 Waardes kunnen elk moment verandert worden door Microsoft (rolling release model) 37

38 Office365 - Collaboration

39 Office365 - Collaboration

Achtergebleven sporen Sporen geïnduceerd als gevolg van surfgedrag Windows Register Ingevoerde URLs Gedownloade bestanden en/of openen/bewerken ervan Bestandsysteem Introductie van gedownloade bestanden Installatie van software Fragmenten surfgedrag in unallocated clusters 40

Browser onderdelen Internet geschiedenis: Historisch overzicht van bezochte websites Meestal beschikbaar voor meerdere weken Activiteit opgeslagen per gebruikersaccount Kan ook bevatten Downloads Lokaal geopende bestanden 41

Internet geschiedenis Login Office 365 & gebruik WordOnline https://portal.office.com https://login.microsoftonline.com/ https://login.microsoftonline.com/login.srf https://portal.office.com/default.aspx https://prickaerts-my.sharepoint.com https://euc-word-view.officeapps.live.com 42

Recent geopende documenten Recent geopende documenten: LNK bestanden; Deze folder bevat een lijst van laatst geopende bestanden Start > My Recent Documents Wanneer eendocument wordt geopent wordt er eenlink file is aangemaakt. De aanmaakdatum van het link (LNK) bestand verwijst naar de datum van eerste keer openen van het bestand gedurende de levensduur van het LNK bestand 43

LNK voorbeeld Bestandstijden van het bestand waarnaar verwezen wordt (opened) Bestandstijden opgeslagen in UTC (Universal Coordinated Time) 44

Windows register Registersleutels aangemaakt bij: Installatie SkyDrive Installatie Lync Installatie lokale versie office 2013 45

46

Bedankt! prickaerts@fox-it.com 47

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback