文件拼接检查

最新推荐文章于 2024-10-01 22:54:40 发布

数学物理方程

最新推荐文章于 2024-10-01 22:54:40 发布

阅读量193

点赞数 2

文章标签： linux 安全

本文链接：https://blog.csdn.net/xuyun0565/article/details/140742363

版权

数据安全方面经常需要检测文件夹带，常见的方式是在普通文件后面拼接一个文件，例如doc文件后面拼接一个png,linux下可使用下面命令得到这样的文件

cat 1.doc 2.png > 3.doc

3.doc文件可以正常打开，但是看不到隐藏起来的2.png,可以通过对文件结构进行分析属于doc文件部分的内容，计算大小，如果文件真实大小比doc的内容大小大，则可能含拼接了其它文件，基于这个思路，可以将多个文件拼接出的文件进行拆分

文件检测需要根据文件结构进行大量的读操作，如果使用read和pread等系统调用进行数据读取，效率低下，可以使用mmap进行文件内存映射，由操作系统的page fault来按需要读取，可以大大提高效率

int file_concat_detection(char *pathname, off_t off, struct file_concat_entry **entries)
{
    if (!entries)
    {
        return -1;
    }

    int fd = open(pathname, O_RDONLY);
    if (fd < 0)
    {
        printf("open file: %s, %s\n", pathname, strerror(errno));
        return -1;
    }

    struct stat statbuf = {0};
    if (fstat(fd, &statbuf) == -1)
    {
        printf("fstat file: %s, %s\n", pathname, strerror(errno));
        close(fd);
        return -1;
    }

    if (statbuf.st_size < off)
    {
        printf("file: %s, len: %ld < off: %ld\n", pathname, statbuf.st_size, off);
        close(fd);
        return -1;
    }

    size_t len = (statbuf.st_size/PAGE_SIZE + (statbuf.st_size%PAGE_SIZE?1:0)) * PAGE_SIZE;

    char *buf = mmap(NULL, len, PROT_READ, MAP_PRIVATE, fd, off);

    if (!buf)
    {
        printf("mmap file: %s, %s\n", pathname, strerror(errno));
        close(fd);
        return -1;
    }

    int num_entries = file_concat_detection_buf(buf, statbuf.st_size, off, entries);

    munmap(buf, len);
    close(fd);

    return num_entries;
}