1.分析下载的文件:文件类型的识别
每个文件都有相应的结构,可以通过文件头来识别文件类型。
常见类型文件头如下
1.1手工分析
- notepad++,下载hex editor 插件放到notepad++的安装路径的plugins里
- 010editor
- winhex:把文件拖到winhex里
1.2工具分析
- linux下的file工具
file 文件名
当文件出现无法打开的现象,需要查看文件头,如果损坏或者缺失则进行相应补充。
2.文件分离
2.1自动化分离(kali)
2.1.1binwalk文件分析与分离
- 分析文件:binwalk filename
- 分离文件:binwalk -e filename
2.1.2 foremost文件分离
- 分离文件:foremost filename -o 输出目录名(分离出的文件会按照格式产生相应的文件夹)
2.2半自动化分离(kali)
- dd if = 源文件 of = 目标文件名 bs= 1 skip= 开始分离的字节数
- 参数说明
- 例如:
2.3手动分离
2.3.1Winhex
2.3.2 010editor
3.文件合并
- cat 合并的文件 > 输出的文件
- md5sum 文件名(完整性检测,与md5.txt文件进行比对)