再回一贴
1、文件签名库文件签名,简单说就是某类文件的独特标识信息。这些标识,有时可以显示出ASCII码字符,如RAR压缩文件,在文件头部,可以看到Rar!这四个字符。通过这四个字符,Winhex就可以判断该文件属于RAR压缩文件。但在多数文件头信息中,文件签名无法显示出ASCII码字符,那么就需要使用十六进制数值来表示该文件签名。如MS OFFICE 文件中,文件签名就是D0CF11E0A1B11AE1,Winhex/X-ways Forensics通过这些十六进制数值,也可以认定该文件属于MS OFFICE 类型文件。
通常来说,Windows注册表关联了许多种文件扩展名类型,通过定义扩展名和应用程序的关联,来确定Windows使用什么程序打开某种类型的文件。比如,Windows定义了DOC扩展名文件使用MS Word来打开,TXT文件使用记事本来打开。
但是,如果人为改变了某种类型文件的扩展名,例如,某人将SCAN.JPEG图片改名为CONTACTS.XLS,或将1.DOC改名为1,没有设定扩展名,那么Windows就无法准确地关联这些文件类型了。而利用文件签名,我们可以忽略文件扩展名是否正确,通过搜索文件签名特征值,识别出某个文件的真实类型。本例中,我们如果能够准确判断出“王者加密大师”加密文件的文件签名值,即可借助Winhex/X-ways Forensics将一个磁盘中所有包含此文件签名的文件查找出来。
这就是数据分析过程中,文件签名所起到的重要作用。
2、Winhex/X-ways Forensics文件签名定义方法
在Winhex/X-ways Forensics中,判定文件签名状态是否匹配主要依据文件签名值和文件扩展名,这些信息包含在Winhex/X-ways Forensics 文件签名数据库中,文件名为File Type Signatures.txt。http://www.china-forensic.com/xways/image/10/image021.png
通过对比File Type Signatures.txt文件签名库中所定义的文件类型、扩展名、文件签名特征值,可以判断某个文件真实的类型,用于发现文件扩展名与文件真实类型不匹配的文件。例如,某人将SCAN.JPEG图片改名为CONTACTS.XLS,Winhex/X-ways Forensics能够自动依据JPEG图片文件的签名特征,把该文件的真实类型识别出来,并在Winhex的文件类型列表中显示文件类型为“jpg”,签名状态列中显示该文件“签名不匹配”。同样,对于一些没有扩展名的文件,如互联网暂存目录下的网页文件等,Winhex都可以帮助你将无扩展名文件的真实类型识别出来。
3、File Type Signatures.txt文件格式定义
File Type Signatures.txt 中的数据共分为六列,每一列数据定义如下:
第一列:文件类型。
对某种类型文件的定义,如JPEG、MS OFFICE等,长度为19 个字符。
第二列:文件扩展名
对所定义文件类型的典型扩展名。如jpg、jpeg、jpe,或doc、xls、dot等,长度可超过255个字符。
第三列:文件头签名
用于识别某些文件或某文件类型的唯一签名特征,可以是ASCII码或十六进制数值。例如0xFFD8FF,即为十六进制的FF、D8、FF。文件头签名最多支持16个字节。为了发现某种文件格式的唯一签名特征字节,可以打开多个相同类型的文件,利用Winhex /X-ways Forensics察看这些文件头部信息中相同偏移地址中包含的相同十六进制数值。
第四列:偏移量。
包含文件签名的相对偏移量。通常,文件签名从文件的第一个字节开始,偏移量为0。
第五列:文件尾签名
可选项,用于标记文件的结尾位置,可以是ASCII码或十六进制数值。文件尾签名的作用是为了确定准确的文件结尾位置,从而得到准确的文件容量。文件头签名最多支持8个字节。
第六列:文件缺省字节数
定义某类性文件的默认大小,以KB为单位。在进行特定类型文件恢复时非常有效,如一个视频文件可以是1 GB 大小,而一个图标文件往往只有1 KB。
出处:
http://www.china-forensic.com/xways/chapter/10.html 3Q ............... 复杂 搞不懂啊