Re: аналог утилиты file
On 2016-01-21, Sohin Vyacheslav wrote:
> а если файл закодирован-можно как-то узнать с помощью чего?
Ранее писал что никто не брался за создание публичной всеобьемливающей базы
сигнатур данных.
Сообщество максимум что осилило - magic(5).
Я несколько раз пробовал найти волшебную базу. Можете попытать счастья сами:
https://www.google.com.ua/search?q=file+signature+database
Как я и догадывался ниточки ведут в проприетарные базы для целей (ключевые
слова для поиска или вопросов продукта/базы на варезных сайтах, если очень
хочется):
forensic computer examiner
Например попробуйте вступить в:
http://www.filesig.co.uk/ofsdb.html
ONLINE FILE SIGNATURE DATABASE (OFSDB)
How to join?
General Access is free to ISFCE and IACIS members. Please submit
complete/accurate details providing additional information where possible
to ensure quick registration.
Далее поиск бросил на книгу в гуглдокс:
Malware Forensics: Investigating and Analyzing Malicious Code
В главе
8. File identification and profiling.
есть ссылка на проект, может он полнее:
http://mark0.net/soft-trid-e.html
TrID is an utility designed to identify file types from their binary
signatures
Вот какие то курсы:
https://cyfor.engineering.nyu.edu/lessons/file-signature/
File Forensics / File Signature
Т.е. учится, практиковаться надо.
Еще какие то разрочненые потуги в виде:
http://www.thefreelibrary.com/File+Signature+Database.-a0110728886
The File Signature Database (FSDB) from Tripwire Inc. is designed to bring
to market a heterogeneous collection of known-good file data
The FSDB is currently populated with more than 11 million known-good file
signatures
Т.е. тупо хеши от файлов.
Есть команды, запимающиеся разработкой проприетарных баз:
http://www.nationalarchives.gov.uk/documents/information-management/pronom-file-signature-research.pdf
How to research and develop signatures for file format identification
Мне пришлось в своей практике только столкнуться с unpacker для защищенных
исполнимых бинарных PE файлов. Есть проекты - которые собирали воедино
доспупные анпакеры и то ли пробовали подряд до успеха, то ли сами сосавляли
сигнатуры - что бы знать что вызывать.
В конце концов опреледив чем запаковано - пришлось качать некое Delphi
поделие, которое распаковывало нужный файл (инсталятор, коорый требовалось
перепаковать).
--
http://defun.work/
Reply to: