【情报百科】如何使用FOCA进行OSINT文档元数据分析？

全文共2508字，29图

预计阅读时间：7分钟

FOCA（Fingerprinting Organizations with Collected Archives）是一种主要用于在其扫描的文档中查找元数据和隐藏信息的工具。这些文件可能在网页上，可以通过 FOCA 下载和分析。

它能够分析各种文档，最常见的是 Microsoft Office、Open Office 或 PDF 文件，但它也可以分析 Adobe InDesign 或 SVG 文件等。

在安装了FOCA 运行后，通过Google、Bing 和 DuckDuckGo 等搜索引擎，可寻找各种文件类型，包括DOC，PDF，XLS，PPT模板，甚至Adobe文件。

从这些文件中提取的元数据可用于为调查提供额外的参考点。通常，FOCA 会从找到的文档中提取用户名、电子邮件、使用的技术，业务关系/合作伙伴关系。

图源：摄图网可商用图片

从所有文件中提取所有数据后，FOCA 对通过URL发现的信息进行完整分析，匹配信息以尝试识别哪些文档是由同一团队创建的，以及可以从中推断出哪些服务器和客户端。

接下来，福韵君会向大家介绍在 Windows 系统上安装 FOCA 的步骤以及如何提取数据以及有关如何使用提取后的信息的一些提示。

如何安装FOCA?

首先从 Eleven Paths 网站下载 FOCA （在此处使用的是 3.4.0.6 版）。下载完成后，打开 bin 文件夹并双击 FOCA 图标以安装程序。

https://www.elevenpaths.com/innovation-labs/technologies/foca

此时你可能会收到一条错误消息，因为 FOCA 需要运行 SQL 服务器，但我们可以通过安装 SQL Server Express轻松解决这个问题。

https://www.microsoft.com/en-us/sql-server/sql-server-downloads

安装 SQL Server Express 后，再次尝试运行该应用程序，它应该可以正常工作。

当 FOCA 打开时，我们会看到三个主面板，左侧的第一个面板将显示找到的文档，第二个和主面板有添加项目名称和我们计划搜索的域的位置，以及底部将在搜索运行时显示时间和来源的面板。

在这个例子中，目标域是 Xfinity.com。我们在标有“域网站”的框内的主面板中添加了 xfinity.com，然后点击创建。（提醒：记得将保存位置更改为你希望提取数据的位置）。在此窗口中，我们还可以添加项目名称和任何其他域。

成功保存项目后，打开主搜索面板。

如何提取数据?

FOCA 有许多用于域侦查的工具分析元数据，因此我们可以进行 FOCA 搜索。首先单击左下角的设置以选中/取消选中选项。

在模块过滤器下，取消选中除 FOCA 之外的所有内容。这会将我们的搜索限制为仅 FOCA，并使搜索保持被动。

如果我们回到页面顶部，可以选择我们希望 FOCA 搜索哪些搜索引擎和哪些文档类型。

通常，我们一般会选择使用所有内容，这样就可以尽可能收集更多的信息并对其进行分析，但是如果你知道自己需要特定的东西，例如只需要 Excel 文件，则可以在此处缩小搜索范围。

我们也可以选择手动调整搜索，只需要在搜索栏中单击，就可以根据自己的喜好编辑布尔字符串。

现在我们已锁定所有设置，我们可以单击“全部搜索”，FOCA 将开始在目标域中运行以查找所选文档。

在下图中，我们看到主面板开始填充已找到的文档。我们还可以将自己的文件上传到 FOCA 以进行元数据提取。如果你在别处找到文档并且只想查看隐藏在其中的数据，这就非常方便了。

搜索完成后，我们需要下载所有文档，以便我们可以提取元数据。因此，右键单击“下载”标题并选择“全部下载”。

这将遍历我们下载的所有文档，完成后它们旁边的点将变为绿色。

获得结果后，再次右键单击下载标题，这次转到“提取所有元数据”。

成功提取元数据后，在已分析列下，所有点都将变为绿色。

现在查看左侧面板中的项目列表，单击元数据下拉菜单并打开元数据摘要。

FOCA 提取以下数据：用户、文件夹、打印机、软件、电子邮件、操作系统、密码和服务器。查看我们的具体文档，我们发现了 3 个 word 文档、80 个 pdf 和 47 个未知文件，这些文件中有 16 个用户和 31 个软件类型。

我们可以从用户名开始，因为用户名一般包含有关组织的大量信息。用户或用户名是创建或编辑我们找到的文档的人的姓名，他们的用户名保存在元数据中。

“用户”可以是名字和姓氏之类的东西，也可以是我会抓取并放入 Sherlock 或What's My Name以查看它们是否在任何其他平台上使用的用户名。名字和姓氏对于在 LinkedIn 中搜索很有用，我们可以在其中找到职位、简历和职责。

https://whatsmyname.app/

找到的软件类别非常简单，它是用于创建文档的所有软件。有时，该软件可能存在一些漏洞，这些漏洞可能会被动机不纯的人利用，因此值得注意的是任何相关的 CVE。

撇开CVE不谈，当与文件列表中发现的URL相结合时，软件列表可能会让你了解该公司的内部运作情况。

现在转到我们发现的文件列表，我们开始对其进行深入分析和研究。很多时候，我们有可能发现一些不应该面向公众的敏感文件，或者可能表明值得进一步调查的重要商业关系。

点击左边列表中的文件名称，可以在右边面板上打开信息，显示特定的元数据、日期、软件以及为该特定文件发现的任何其他数据。

在文件上点击右键，选择 "打开文件"，这将在相关程序中打开该文件。根据你正在调查的网站类型，考虑你可能在你的机器上打开什么。

在文件中可能发现的一些数据可能是姓名、商业关系、合同/赠款、研究项目、知识产权、蓝图/示意图等。

结合从快速FOCA搜索中获得的所有数据点（软件、用户、文件路径、文件信息），我们可以获得一个公司或组织的相当好的内部视图，以及大量的支点，以便通过其他的社交媒体、简历和企业调查工作来建立完整的调查报告。

本篇文章为福韵原创内容，未经授权禁止转载

福韵原创IP形象设计，原创勿盗，侵权必究

封面来源：摄图网可商用图片