1. 程式人生 > >binary hacks讀數筆記(file命令與magic file)

binary hacks讀數筆記(file命令與magic file)

tor http 字符串 fir 文件的 tar long 系統 usr

技術分享圖片

file命令的作用是用於檢驗文件的類型,並打印至終端。file命令檢驗文件類型按以下順序來完成:

  1. 檢驗文件系統(Filesystem)中支持的文件類型。
  2. 檢驗magic file規則。
  3. 檢驗文件內容的語言和字符集。

檢驗文件系統(Filesystem)中支持的文件類型
文件系統支持的文件類型指的是通過ls -l中第一個字符表示的文件類型:
-(regular):正規文件(包括文本文件(ASCII)(會打印text),可執行文件(會打印excutable),其他二進制文件(會打印data))
d(directory):目錄
l(link):軟鏈接(不包括硬連接,硬鏈接會以正規文件顯示

b(block buffered special):隨機存儲的設備文件,如硬盤,光盤等存儲設備
c(character unbuffered special):持續輸入的設備文件,如鼠標,鍵盤
s(socket):socket文件,最常在/var/run目錄下看到這類文件
p(pipe):管道文件(first-in-first-out),它的目的在解決多個程序同時存取一個文件造成的錯誤問題
檢驗magic file規則
magic file是什麽意思呢?magic file指的是那些具有特殊文件格式的文件,如C文件,它會有#include字樣;tar文件的前幾個字節會有特殊的規則。而檢驗magic file規則就是根據這些特殊的格式去判斷一個文件的類型。而這些規則是保存在/usr/share/misc/magic

magic文件內容格式
文件中的每行都指定了一個規則測試去檢驗文件類型,這個規則由4個域指定:
offset:指定由文件起始的第幾個byte開始檢驗。
type:要進行檢驗的數據類型,即由offset那個byte開始的那個數據類型是什麽。具體有哪些數據類型,可以參才magic(5)。常用的數據類型有
byte:一個byte的值
short:兩個byte的值
long:四個byte的值
string:字符串。
test:檢驗值。用於檢驗offset下的type是否是這個test值。使用C語言的數值或字符表示形式。
message:用於顯示檢驗結果的信息顯示

案例分析:

magic文件中的某段內容:

技術分享圖片

具體分析:

技術分享圖片

binary hacks讀數筆記(file命令與magic file)