===========================================================================
Word 文档来源独立性溯源及取证操作手册
===========================================================================
【第一部分:技术指纹分析】
通过 OpenXML 结构的底层数据,可提取出两台电脑完全不同的“身份指纹”:
1. 初始基因 (rsidRoot):
- 每一个独立创建的文档都有唯一的初始随机 ID。
- 本案提取值: 006003AE
- 证明逻辑:若两份文件该值不同,证明它们源自两个不同的“新建文档”动作。
2. 全球唯一标识 (docId):
- 标识符: {94CEF3F8-B53F-41C0-BF75-B0BD79D1D1DE}
- 证明逻辑:Word 为每份文档生成的 128 位 UUID,重复概率几乎为零。
3. 环境指纹 (AppVersion & Creator):
- 记录了编辑软件的具体版本号(如 16.0.1234)和 Windows 系统用户名。
---------------------------------------------------------------------------
【第二部分:取证操作步骤】
如需自行对比两份文档,请按照以下物理步骤操作:
步骤 1:准备原始样本
- 将待检测的两个文档分别命名为 A.docx 和 B.docx。
- 注意:全程不要点击“保存”,以免覆盖原始元数据。
步骤 2:进入底层代码层
- 修改文件后缀名:将 A.docx 重命名为 A.zip。
- 解压该压缩包,进入解压后的文件夹。
步骤 3:提取核心证据
- 【查账号】:打开 /docProps/core.xml。
找到 <dc:creator> 标签,记录最初创建者姓名(通常为电脑用户名)。
- 【查版本】:打开 /docProps/app.xml。
找到 <AppVersion> 标签,记录具体的软件补丁版本号。
- 【查根溯源】:打开 /word/settings.xml。
查找 w:rsidRoot 的值,并对比两份文件是否一致。
- 【查路径痕迹】:打开 /word/_rels/document.xml.rels。
检索字符串 "file:///",检查是否残留有特定于某台电脑的磁盘路径(如 C:\Users\姓名\...)。
步骤 4:图片素材交叉校验
- 进入 /word/media/ 目录。
- 右键点击图片查看“属性”->“详细信息”。
- 检查是否有不同的拍摄设备(如手机型号)或不同的截图分辨率。
---------------------------------------------------------------------------
【第三部分:结论判定标准】
在满足以下条件时,法律/技术层面可判定为“不同来源”:
判定 A:[硬证据] 两者的 rsidRoot 或 docId 不一致。
判定 B:[环境证据] 两者的 dc:creator 指向不同的系统登录名。
判定 C:[物理证据] 内部图片 EXIF 信息指向不同的地理位置或拍摄器材。
===========================================================================