数据安全方面经常需要检测文件夹带,常见的方式是在普通文件后面拼接一个文件,例如doc文件后面拼接一个png,linux下可使用下面命令得到这样的文件
cat 1.doc 2.png > 3.doc
3.doc文件可以正常打开,但是看不到隐藏起来的2.png,可以通过对文件结构进行分析属于doc文件部分的内容,计算大小,如果文件真实大小比doc的内容大小大,则可能含拼接了其它文件,基于这个思路,可以将多个文件拼接出的文件进行拆分
文件检测需要根据文件结构进行大量的读操作,如果使用read和pread等系统调用进行数据读取,效率低下,可以使用mmap进行文件内存映射,由操作系统的page fault来按需要读取,可以大大提高效率
int file_concat_detection(char *pathname, off_t off, struct file_concat_entry **entries)
{
if (!entries)
{
return -1;
}
int fd = open(pathname, O_RDONLY);
if (fd < 0)
{
printf("open file: %s, %s\n", pathname, strerror(errno));
return -1;
}
struct stat statbuf = {0};
if (fstat(fd, &statbuf) == -1)
{
printf("fstat file: %s, %s\n", pathname, strerror(errno));
close(fd);
return -1;
}
if (statbuf.st_size < off)
{
printf("file: %s, len: %ld < off: %ld\n", pathname, statbuf.st_size, off);
close(fd);
return -1;
}
size_t len = (statbuf.st_size/PAGE_SIZE + (statbuf.st_size%PAGE_SIZE?1:0)) * PAGE_SIZE;
char *buf = mmap(NULL, len, PROT_READ, MAP_PRIVATE, fd, off);
if (!buf)
{
printf("mmap file: %s, %s\n", pathname, strerror(errno));
close(fd);
return -1;
}
int num_entries = file_concat_detection_buf(buf, statbuf.st_size, off, entries);
munmap(buf, len);
close(fd);
return num_entries;
}