ANLISIS DE CAMBIO DE HASH EN ARCHIVOS DE MICROSOFT EXCEL

ANTECEDENTES El hash de un archivo de Excel que se ha abierto y se ha vuelto a cerrar, comparado con el hash generado antes de ser abierto deberan coincidir ya que no se ha realizado ningn cambio en el contenido del archivo, sin embargo son diferentes. Este caso es muy particular para los archivos de Excel, ya que con los archivos de Word o!er oint no pasa esto, ya que luego de abrirlos y volverlos a cerrar el hash que se genera es el mismo al de antes de haber abierto el archivo, este hecho se presenta en diferentes versiones de "icrosoft #ffice sobre diferentes versiones de Windo!s. $o obstante, cuando el archivo de Excel tiene propiedades de %solo lectura& el hash que se genera luego de ser abierto y cerrado es el mismo al de antes de abrirlo. ANALISIS 'uego de generar el hash con "() sobre un archivo de Excel se obtuvo* +,f+e-.fcf-+/0+fd)1f2f)+-f,a13ba, luego de este mismo archivo se hizo una copia y al generar el hash sobre la copia estos coincidan4 sin embargo, cuando se abri y cerro el archivo copia y al volverse a calcular el hash el valor que se obtuvo fue diferente* /e/)321f2f03b32)b1.0+d0+ade11e1. En vista que los hash eran diferentes, significaba que el contenido del archivo copia haba cambiado solo con abrir el archivo y volverlo a cerrar. or lo tanto, a trav5s de un editor hexadecimal se compararon los dos archivos y se obtuvieron las diferencias, evidenci6ndose que ) offset haban cambiado, en el archivo original apareca*

y en el archivo copia apareca*

7asta ac6 se podra pensar que el archivo de Excel guarda informacin dentro de su contenido de la ultima vez que fue accedido, por lo tanto se utiliza el utilitario (code para llegar a demostrar esto.

8eniendo en cuenta el formato de Windo!s en arquitecturas 'ittle Endian, se deben tomar otros offset adicionales a los que cambiaron, para poder decodificar la fecha, teniendo en cuenta los siguientes e9emplos* -3:+:/+;E(0<=33/ +.:/=1;;(0<;:;3/ 2.(1;0((<.(,=/3/ >at, +3 >eptember 0333 /-*-2*-+ ?"8 Wed, 02 <pril 0333 00*)1*)) ?"8 >at, +3 "arch 0330 3)*/)*// ?"8

or lo tanto, se tomaron tres offset adicionales a los que cambiaron, por lo que de acuerdo al formato en total se tomaron los siguientes 1 offsets* -3(2;;.01().=13/, obteni5ndose la siguiente fecha, al cual coincide con la de la ltima vez en que se accedi el archivo*

'o mismo se hizo con el archivo copia, se tomaron los siguientes 1 offsets* :33=E.-,1;).=13/, obteni5ndose la siguiente fecha, la cual tambi5n coincide con la de la ltima vez en que se accedi al archivo.

CONCLUSIONES "icrosoft Excel guarda dentro de su contenido la fecha y hora en que se accedi por ultima vez al archivo, esto mismo no sucede en los otros productos de la suite de "icrosoft #ffice. Esta caracterstica de Excel permite a trav5s de herramientas de ;ile @ntegrity =hecAer poder determinar la perdida de confidencialidad de la informacin que estos archivos contienen.