word文件的编辑历史到底能不能恢复？

常规的 恢复word文件 做法，我就不说了，有过取证实践的童鞋都知道怎么做。笔者只是想验证一个问题，当人们打开doc文件进行编辑的时候，系统到底发生了什么？以此来回答，到底能不能找得到以往的编辑版本。要完成这个任务，有两种实证方法可用。本文先介绍第一种方法。

第一步  准备一个优盘

优盘，16GB，文件系统是NTFS，每个簇8个扇区，即每个簇4KB。把目标文件“工作情况.doc”考入优盘。该文件中的内容如图1所示。这个doc文档就是我们这个实验的目标文件。

▲图1  “工作情况.doc”最初的内容

该文件的大小是12KB，文件占用的存储空间为三个簇，幸运的是，这三个簇是连续的，簇号为37、38、39。如图2所示。我们把这三个簇导出镜像保存为：“37-38-39簇镜像.bin”。

▲图2  “工作情况.doc”所占用的簇链

第二步  打开word文件

打开一个word文件，会产生一个名为“~$工作情况.doc”的临时文件。其实，您打开任何一个word文件都会产生类似名称的临时文件。但这个文件很小，并不能有效涵盖文件的内容。试图从这个临时文件中恢复文件内容，不太现实。该临时文件存储在6291548扇区，如图3所示。

▲图3 ~$工作情况.doc 的存储情况

第三步  修改doc文件内容

为了说明问题，我们修改尽量少的内容，笔者把文中的“广西”二字，修改为“海南”。然后保存。此时，我们再看“工作情况.doc”的内容情况，如图4所示。

▲图4 修改后的”工作情况.doc“内容

我们再来看看修改后的文件，在磁盘中的存储情况。如图5所示。

▲图4  修改后的“工作情况.doc”所占用的簇

从上图可以明显看出来，将“广西”二字，修改为“海南”，点击保存。文件的存储区域已经发生了变化，从原来的 37、38、39 三个簇，变成了 40、776389、776390 三个簇。

说到这里，大家可能会问，原来的37、38、39三个簇现在是个什么样子呢？实验继续进行。

第四步  提取37、38、39三个簇

把37、38、39这三个簇做一个镜像出来，保存为“37-38-39簇镜像2.bin”，与文件修改之前这三个簇的镜像“37-38-39簇镜像.bin”做一个对比，看一下这两个镜像文件的哈希值如何？如图5所示。

▲图5  修改前后三个簇的内容比较

哈希值，完全一致 。毫无疑问，这就是最原始的“工作情况.doc”，内容仍然是修改前的“广西”，如果您不相信的话，把“ 状态1373839簇镜像2.bin ”扩展名修改为“doc”，点击打开，就是图6所示，与原始文件毫无二致。

▲图6 37-38-39簇镜像2.bin的内容

此时 ，我们似乎能够得出一个结论， 当你对一个doc文件进行编辑，再次保存的时候，系统会将新的内容保存在其他未分配的簇里。此时，原文件所占用的簇，内容并没有发生丝毫变化。这就是过往的编辑痕迹能够被恢复的真正原因。