钟艳萍 2024-8-27
首席客服专员
最近由李伟在 2024-8-27进行了更新
概要
文件签名是文件开头的一个独特识别号码,用于标识文件类型并提供其数据的信息。它帮助计算机确定如何读取文件或使用哪个应用程序来打开文件。文件签名还确保数据完整性,在数字取证中尤为重要,用于验证文件是否未被篡改,特别是在识别计算机病毒的情况下。文件签名的概念源于对文件头的需求,文件头是文件开头的一块数据块,定义了信息的存储方式,包括指定文件类型的字节或数字序列。
文件签名是文件开头的一个 唯一识别号码 ,用于指示文件类型并提供其包含数据的信息。计算机利用它来确定如何读取文件或使用哪个应用程序打开它。如果用户使用错误的扩展名保存文件,计算机会返回错误,表示文件无法打开。文件签名确保文件中存储的 原始数据保持完整且未被修改 。文件签名是一种必要的 验证形式 ,特别是在对抗 计算机病毒 时, 数字取证专家 通常会用它来识别。
事实上,数据恢复软件通常使用 文件签名 来识别由 CHKDSK 生成的
.chk文件或硬盘中被删除的文件数据。
文件签名源于对 文件头 的需求。文件头是文件开头的一块数据,用于定义信息的存储方式。文件头的一部分信息是一个 字节或数字序列 ,用于指定文件类型。文件可以是 图像文件 、由特定程序(如 Microsoft Word )创建的文档,或在 客户端和服务器之间通信 时使用的 协议类型 。不同文件的文件头没有统一的标准,而是每个 应用程序 都有其专有的文件头或签名格式。
这意味着一个程序(例如, Microsoft Word )或一个操作系统(例如, Windows 11 )需要一个 文件签名数据库 来确定不同的文件类型。 数字取证专家 需要了解不同的文件签名,以便他们可以安装适当的程序来打开正在调查的文件。
为什么会这样?有时,用户在保存文件时会省略文件扩展名。例如, 网络犯罪分子 可能在保存有罪证的Windows Media音频/视频文件时省略 .asf 扩展名。但如果数字取证专家看到文件头以30 26 B2 75 8E 66 CF 11开头,他就会知道需要使用 Windows Media Player 来打开它。
从互联网下载应用程序时,通常会进行压缩以加快下载速度。如果文件扩展名为 .7z ,您需要在电脑上使用类似WinZip 的软件来打开和安装它。当您的电脑读取到文件头中的签名
37 7A BC AF 27 1C时,会识别出该文件是 7-Zip压缩文件 。然后,您可以从应用程序列表中选择 WinZip 来打开它。
如前所述,如果文件无法轻易被识别, 保留犯罪证据文件会更容易 。 数字取证调查员 需要准备一个 文件签名数据库 ,以便检查他们作为证据扣押的电脑和其他数字设备的内容。如果调查员发现了几个没有扩展名的文件,他们需要逐个打开这些文件,以确定是否与犯罪有关。但如果他们熟悉文件头和 文件签名 ,尤其是知道他们在寻找什么类型的文件,速度可能会更快。例如,如果他们在寻找视频文件,可以将所有具有特定文件头的文件收集起来,稍后进行深入检查。
| 签名 | 文件类型 | 需要申请 |
|---|---|---|
| 00 00 00 14 66 74 79 70 | 3GPP 多媒体文件 | Windows 媒体播放器 |
| 00 00 00 20 66 74 79 70 | 3GPP2 多媒体文件 | Windows 媒体播放器 |
| 00 00 00 18 66 74 79 70 | MPEG-4 视频文件 | VLC 媒体播放器 |
| 52 49 46 46 | 4 倍电影视频 | VLC 媒体播放器 |
| 30 26 B2 75 8E 66 CF 11 | Windows Media 音频/视频文件 | Windows 媒体播放器 |
JPEG文件的签名是 FF D8 FF E0 ,MP3文件的签名是 49 44 33 ,ZIP及其衍生格式(如 EPUB、APK、DOCX )的签名是 50 4B 03 04 。
你需要查看构成所检查文件的 二进制数据 。为此,你将使用 十六进制编辑器 。一旦找到 文件签名 ,你可以将其与 Gary Kessler 等文件签名库进行比对。
上述文件在使用十六进制编辑器(如 xxd 或 hexdump )打开时,以字节 FFD8FFE0 00104A46 494600 开头,或在ASCII中表示为 ˇÿˇ‡ JFIF ,其中
\x00和\x10没有符号。
在Gary Kessler的数据库中搜索显示,该文件签名属于 JPEG/JFIF图形文件 。你也可以使用Linux中的
file工具来确定文件类型。
文件签名至关重要,因为没有它们,计算机无法识别用什么程序来打开文件。它们在数字取证中也非常关键,调查人员可以利用 文件签名 找到所需的文件,即使这些文件被隐藏或没有扩展名。通过了解 文件签名的工作原理 并实施预防措施,用户可以避免潜在的安全风险,安全地与文件交互。如果硬盘数据丢失,可以使用 都叫兽™数据恢复软件 来恢复数据。
都™数据™数据 数据恢复软件,可以帮助检索由于 意外删除而丢失的广泛文件 , 回收bin空排空 , disk <!–强>或 存储卡格式 以及各种其他数据丢失事件。该坚固的工具包括四个基本模块: 文件恢复 , 整个分区扫描 , 整个磁盘扫描 和 图像创建 在系统操作期间,提供了一种多方面的方法来恢复丢失的数据。
使用 都叫兽™数据恢复软件 恢复数据非常简单,具体步骤如下。
步骤 1 :下载、安装并运行 都叫兽™数据恢复软件 ,在主界面选择 “格式化恢复” 选项。注意:不要将软件安装在需要恢复数据的磁盘上,以免造成数据覆盖。
数据恢复功能:
* 文件恢复: 恢复 误删 或 清空回收站 的文件。
* 整个分区扫描 :从无法访问或已格式化的分区恢复文件。
* 格式化恢复 :分析分区信息,进行全面磁盘扫描。
* 图像创建: 生成分区镜像用于 备份 。
步骤 2 :
接下来,选择 要扫描的硬盘设备 ,点击下一步。在 高级设置界面 选择 默认设置 。
接下来,选择 要扫描的硬盘设备 ,点击下一步。在 高级设置界面 选择 默认设置 。
步骤 3 :软件将启动对硬盘 的扫描,并显示“选择需要扫描的分区”消息。选择适当的分区。扫描完成后,双击右侧的预览窗格预览文件。要恢复文件,请突出显示它并点击位于右下角的 恢复 按钮。
步骤 4 :点击 “浏览” 选择另一个磁盘保存恢复的文件,然后点击 “恢复” 按钮启动文件恢复命令,耐心等待即可。
粤公网安备 44070302000281号
