|
1、文件簽名庫
文件簽名,簡單說就是某類文件的獨特標識信息。這些標識,有時可以顯示出ASCII碼字符,如RAR壓縮文件,在文件頭部,可以看到Rar!這四個字符。通過這四個字符,Winhex就可以判斷該文件屬於RAR壓縮文件。但在多數文件頭信息中,文件簽名無法顯示出ASCII碼字符,那麼就需要使用十六進制數值來表示該文件簽名。如MS OFFICE 文件中,文件簽名就是D0CF11E0A1B11AE1,Winhex/X-ways Forensics通過這些十六進制數值,也可以認定該文件屬於MS OFFICE 類型文件。
通常來說,Windows註冊表關聯了許多種文件擴展名類型,通過定義擴展名和應用程序的關聯,來確定Windows使用什麼程序打開某種類型的文件。比如,Windows定義了DOC擴展名文件使用MS Word來打開,TXT文件使用記事本來打開。
但是,如果人爲改變了某種類型文件的擴展名,例如,某人將SCAN.JPEG圖片改名爲CONTACTS.XLS,或將1.DOC改名爲1,沒有設定擴展名,那麼Windows就無法準確地關聯這些文件類型了。而利用文件簽名,我們可以忽略文件擴展名是否正確,通過搜索文件簽名特徵值,識別出某個文件的真實類型。本例中,我們如果能夠準確判斷出“王者加密大師”加密文件的文件簽名值,即可藉助Winhex/X-ways Forensics將一個磁盤中所有包含此文件簽名的文件查找出來。
這就是數據分析過程中,文件簽名所起到的重要作用。
2、Winhex/X-ways Forensics文件簽名定義方法
在Winhex/X-ways Forensics中,判定文件簽名狀態是否匹配主要依據文件簽名值和文件擴展名,這些信息包含在Winhex/X-ways Forensics 文件簽名數據庫中,文件名爲File Type Signatures.txt。
![]()
通過對比File Type Signatures.txt文件簽名庫中所定義的文件類型、擴展名、文件簽名特徵值,可以判斷某個文件真實的類型,用於發現文件擴展名與文件真實類型不匹配的文件。例如,某人將SCAN.JPEG圖片改名爲CONTACTS.XLS,Winhex/X-ways Forensics能夠自動依據JPEG圖片文件的簽名特徵,把該文件的真實類型識別出來,並在Winhex的文件類型列表中顯示文件類型爲“jpg”,簽名狀態列中顯示該文件“簽名不匹配”。同樣,對於一些沒有擴展名的文件,如互聯網暫存目錄下的網頁文件等,Winhex都可以幫助你將無擴展名文件的真實類型識別出來。
3、File Type Signatures.txt文件格式定義
File Type Signatures.txt 中的數據共分爲六列,每一列數據定義如下:
第一列:文件類型。
對某種類型文件的定義,如JPEG、MS OFFICE等,長度爲19 個字符。
第二列:文件擴展名
對所定義文件類型的典型擴展名。如jpg、jpeg、jpe,或doc、xls、dot等,長度可超過255個字符。
第三列:文件頭簽名
用於識別某些文件或某文件類型的唯一簽名特徵,可以是ASCII碼或十六進制數值。例如0xFFD8FF,即爲十六進制的FF、D8、FF。文件頭簽名最多支持16個字節。爲了發現某種文件格式的唯一簽名特徵字節,可以打開多個相同類型的文件,利用Winhex /X-ways Forensics察看這些文件頭部信息中相同偏移地址中包含的相同十六進制數值。
第四列:偏移量。
包含文件簽名的相對偏移量。通常,文件簽名從文件的第一個字節開始,偏移量爲0。
第五列:文件尾簽名
可選項,用於標記文件的結尾位置,可以是ASCII碼或十六進制數值。文件尾簽名的作用是爲了確定準確的文件結尾位置,從而得到準確的文件容量。文件頭簽名最多支持8個字節。
第六列:文件缺省字節數
定義某類性文件的默認大小,以KB爲單位。在進行特定類型文件恢復時非常有效,如一個視頻文件可以是1 GB 大小,而一個圖標文件往往只有1 KB。
出處:
http://www.china-forensic.com/xways/chapter/10.html
|
