[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01483] Re: ファイル種類の判別

On Mon, 02 Sep 2002 17:53:30 +0900
hamamoto <r00t@xxxxxxxxxxx> wrote:

> データイレースと、サルベージの記事を書いたときに、ファイルシステムの
> ヘッダー情報にどのような情報が記録されているか、調べたのですが、確か、
> データの保存位置とか、ファイル名の情報とかはあったですが、そのファイ
> ルが実行ファイルか、テキストファイルかという情報はもっていなかったよ
> うに思います。そもそもOSも拡張子でしか判断していないですよねぇ。。。

ここで指摘されているのは、NTFS であれば MFT のことかと思いまするが、
ご指摘の通り MFT にはファイルが実行ファイルであるかなどを示す情報
は通常含まれておりませぬ.
# 含めることは実装上可能ですが...

> このような情報があれば、テキストファイルのようなフリをした実行ファイル
> もできてしまいます。あまりそのような事例を聞いたことがないので、ファイル
> 情報には、そのような情報はないのではないでしょうか?

ファイルそのものに、特徴となる情報があればそれをベースにそれがどの
ようなファイルかを調べることを主眼としております.

例えば、悪意のある EXE ファイルを置いておくと検出されやすいので、
拡張子を TXT に変更し、EXE ファイルの検索などを回避するという簡単
な手法がありますが、これに対しファイルの先頭が 4D5A のファイルを
検索した場合、EXE の可能性があるファイルを抽出することが可能かと
思いますが、そういった手段をとる場合ファイルの特徴を示す値リスト
があると便利かと思います.
むろん、これは EXE に限らず、tmp 拡張子を持つファイルが WORD の
 DOC 形式ファイルであるかの判断などにも利用できます.

# US では国がその手のデータベースを作成しているようですが...

> これまたうろ覚えですが、確か、Macにはこのような属性情報が付与されて
> いたと思います。

Mac の属性情報を保持するために NTFS の ADS が利用されますね.
 
> 例えば、拡張子不明の動画ファイルを適当にバイナリエディタで開いてみると、
> ファイルの中身(最初の辺り)を見てから、ファイルの種別を判別してくれる
> ツールはありますが、あれは、ファイルシステムのヘッダーと言うよりは、
> ファイルそのものの中身を解析して種別判断しているだけですよね。

「ファイルそのものの中身を解析して」という作業を JPEG であれば
FFD8FF???? というデータが含まれているかを確認するということを
やっているのではないかと...でその判断に利用しているシグネチャ
で公開されているものがあれば参照したいと考えておりまする.

-- 
粗にして野にして卑
Tanaka Souji
souta3@xxxxxxxxxxxxxx