之前在项目开发过程中，进行文件类型判断时，发现doc和docx文件的结构是不同的，很是好奇，特来深究一番。

doc和docx、xls和xlsx、ppt和pptx的不同，其原理都是一样的。 doc是Office 2007之前的版本；docx是Office 2007之后的版本。下面详细介绍一下：

参考文档：

Office恶意文件解析与混淆研究 - 知乎 (zhihu.com) Office 文件解析入门 - 柯幽 - 博客园 (cnblogs.com)

可以看作二进制文件，文件前八个字节为 D0 CF 11 E0 A1 B1 1A E1。 这种文档格式是OLESS(OLE Structured Storage)，微软采用的是OLE1.0的文档规范。可以用微软自带工具OffVis打开文档，直观地查看OLESS文档结构，可以发现它是由四部分组成。

OffVis下载地址： http://go.microsoft.com/fwlink/?LinkId=158791 在OLESSHeader中，有个clsidNull，它一般常用来区分各种CVE编号。注意OLESS中CLSID的存放位置和Rtf中的不同，Rtf中存放在\objdata控制字中。

CLSID：ClassID，类标识符，用作特定COM类的唯一标识符。是一个128位(16字节)的整数。

在原有Office文件格式的基础上加入了XML文件格式，这种新的文件格式称为OOXML(Office Open XML)，相比于之前的Office文档结构更加清晰。

文件前四个字节为 50 4B 03 04，即PK…，PK代表ZIP算法的发明者(Phil Katz)。

OPC：一种基于zip+xml定义的文件存储格式。一个OPC文件，不管文件后缀是什么，本质上就是一个zip文件，可以用任何常见的解压软件进行解压。

XML：Extensible Markup Language，可扩展标记语言，和HTML很像。不过XML被用来传输和存储数据，而HTML是被用来显示数据。

上面的docx文件本质上就是一个OPC文件，我们将一个其后缀改成zip，然后解压，解压后的文档目录如下： _rels下有一个文件：.rels

docProps下有两个文件：app.xml和core.xml

word下的文件如图： OPC中有三个重要的概念：

​ 示例中_rels\\.rels的内容如下： ​ 示例中word\\_rels\\document.xml.rels的内容如下： 每一个Relationship节点都代表一个依赖关系，各属性的意义如下：

可以发现有两种标签：Default 和 Override。Default 指明了拥有文件后缀名和文件类型的对应关系，Override 指明了某一个文件的文件类型。

以第一句Default为例，它表示，所有后缀是png的文件都是image/png类型的文件。

在OPC中，不建议根据文件后缀名来判断一个文件的类型，而应该根据ContentTypes文件中记录的信息来判断。

*ML：* Markup Language，标记语言，是一种用XML来描述数据的语言。