winhex文件头

最新推荐文章于 2024-04-24 19:09:12 发布
最新推荐文章于 2024-04-24 19:09:12 发布
阅读量1.2w 收藏 36
点赞数 6
文章标签: 安全 winhex 文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/65444393
版权

用winhex分析时,经常会碰上缺少头部的文件,因此特地整理了一下

FFD8FFFE00, .JPEG;.JPE;.JPG, “JPG Graphic File”
FFD8FFE000, .JPEG;.JPE;.JPG, “JPG Graphic File”
474946383961, .gif, “GIF 89A”
474946383761, .gif, “GIF 87A”
424D, .bmp, “Windows Bitmap”
4D5A, .exe;.com;.386;.ax;.acm;.sys;.dll;.drv;.flt;.fon;.ocx;.scr;.lrc;.vxd;.cpl;.x32, “Executable File”
504B0304, .zip, “Zip Compressed”
3A42617365, .cnt, “”
D0CF11E0A1B11AE1, .doc;.xls;.xlt;.ppt;.apr, “MS Compound Document v1 or Lotus Approach APR file”
0100000058000000, .emf, “”
03000000C466C456, .evt, “”
3F5F0300, .gid;.hlp;.lhp, “Windows Help File”
1F8B08, .gz, “GZ Compressed File”
28546869732066696C65, .hqx, “”
0000010000, .ico, “Icon File”
4C000000011402, .lnk, “Windows Link File”
25504446, .pdf, “Adobe PDF File”
5245474544495434, .reg, “”
7B5C727466, .rtf, “Rich Text Format File”
lh, .lzh, “Lz compression file”
MThd, .mid, “”
0A050108, .pcx, “”
25215053, .eps, “Adobe EPS File”
2112, .ain, “AIN Archive File”
1A02, .arc, “ARC/PKPAK Compressed 1”
1A03, .arc, “ARC/PKPAK Compressed 2”
1A04, .arc, “ARC/PKPAK Compressed 3”
1A08, .arc, “ARC/PKPAK Compressed 4”
1A09, .arc, “ARC/PKPAK Compressed 5”
60EA, .arj, “ARJ Compressed”
41564920, .avi, “Audio Video Interleave (AVI)”
425A68, .bz;.bz2, “Bzip Archive”
49536328, .cab, “Cabinet File”
4C01, .obj, “Compiled Object Module”
303730373037, .tar;.cpio, “CPIO Archive File”
4352555348, .cru;.crush, “CRUSH Archive File”
3ADE68B1, .dcx, “DCX Graphic File”
1F8B, .gz;.tar;.tgz, “Gzip Archive File”
91334846, .hap, “HAP Archive File”
3C68746D6C3E, .htm;.html, “HyperText Markup Language 1”
3C48544D4C3E, .htm;.html, “HyperText Markup Language 2”
3C21444F4354, .htm;.html, “HyperText Markup Language 3”
100, .ico, “ICON File”
5F27A889, .jar, “JAR Archive File”
2D6C68352D, .lha, “LHA Compressed”
20006040600, .wk1;.wks, “Lotus 123 v1 Worksheet”
00001A0007800100, .fm3, “Lotus 123 v3 FMT file”
00001A0000100400, .wk3, “Lotus 123 v3 Worksheet”
20006800200, .fmt, “Lotus 123 v4 FMT file”
00001A0002100400, .wk4, “Lotus 123 v5”
5B7665725D, .ami, “Lotus Ami Pro”
300000041505052, .adx, “Lotus Approach ADX file”
1A0000030000, .nsf;.ntf, “Lotus Notes Database/Template”
4D47582069747064, .ds4, “Micrografix Designer 4”
4D534346, .cab, “Microsoft CAB File Format”
4D546864, .mid, “Midi Audio File”
000001B3, .mpg;.mpeg, “MPEG Movie”
0902060000001000B9045C00, .xls, “MS Excel v2”
0904060000001000F6055C00, .xls, “MS Excel v4”
7FFE340A, .doc, “MS Word”
1234567890FF, .doc, “MS Word 6.0”
31BE000000AB0000, .doc, “MS Word for DOS 6.0”
1A00000300001100, .nsf, “Notes Database”
7E424B00, .psp, “PaintShop Pro Image File”
504B0304, .zip, “PKZIP Compressed”
89504E470D0A, .png, “PNG Image File”
6D646174, .mov, “QuickTime Movie”
6D646174, .qt, “Quicktime Movie File”
52617221, .rar, “RAR Archive File”
2E7261FD, .ra;.ram, “Real Audio File”
EDABEEDB, .rpm, “RPM Archive File”
2E736E64, .au, “SoundMachine Audio File”
53495421, .sit, “Stuffit v1 Archive File”
53747566664974, .sit, “Stuffit v5 Archive File”
1F9D, .z, “TAR Compressed Archive File”
49492A, .tif;.tiff, “TIFF (Intel)”
4D4D2A, .tif;.tiff, “TIFF (Motorola)”
554641, .ufa, “UFA Archive File”
57415645666D74, .wav, “Wave Files”
D7CDC69A, .wmf, “Windows Meta File”
4C000000, .lnk, “Windows Shortcut (Link File)”
504B3030504B0304, .zip, “WINZIP Compressed”
FF575047, .wpg, “WordPerfect Graphics”
FF575043, .wp, “WordPerfect v5 or v6”
3C3F786D6C, .xml, “XML Document”
FFFE3C0052004F004F0054005300540055004200, .xml, “XML Document (ROOTSTUB)”
3C21454E54495459, .dtd, “XML DTD”
5A4F4F20, .zoo, “ZOO Archive File”

Elwood Ying
关注
(一)计算机取证-WinHex查找隐藏文件
m0_47110032的博客
05-31 3147
计算机取证-WinHex查找隐藏文件
【杂项】各类文件头结合winhex使用-转载
生活·代码_这里是青_分享快乐
11-13 2002
———常用文件头——— JPEG (jpg),文件头:FFD8FFE1 PNG (png),文件头:89504E47 (0D0A1A0A) GIF (gif),文件头:47494638 ZIP Archive (zip),文件头:504B0304 RAR Archive (rar),文件头:52617221 XML (xml),文件头:3C3F786D6C MPEG (mpg),文件头:...
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 5443
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
Winhex添加文件头的方法
半岛铁盒的博客
04-15 6237
有的题目中会出现缺少 png文件头的问题 PNG (png), 文件头:89 50 4E 47 0D 0A 1A 0A 我们这时复制89504E47
文件识别(数据包解读,以winhex为例)
2302_76681209的博客
04-24 1790
JPEG文件是以,FFD8开头,FFD9结尾,中间存储着以0xFFE0~0xFFEF 为标志的数据段。PNG文件文件头总是由位固定的字节来描述的,HEX: 89 50 4E 47 0D 0A 1A 0A其中第一个字节0x89超出了ASCII字符的范围,这是为了避免某些软件将PNG文件当做文本文件来处理。文件中剩余的部分由3个以上的PNG的数据块(Chunk)按照特定的顺序组成,因此,一个标准的PNG文件结构应该如下。
100523 WinHex脚本自动判断文件头、尾恢复
weixin_33827590的博客
05-23 842
遇到一个客户用的是特殊软件,软件是不支持找此类型的,因为这种类型的数据对客户很重要,最后没办法只能动用WinHex的脚本了,我询问客户每个文件大概多大,客户说不知道,还好我发现了文件的特种判断出了文件尾,这样有了头尾我就可以把文件恢复成曾经的大小了。 脚本 恢复出来的文件 转载于:https://blo...
WinHex文件
11-10
专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具:用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等;可以进行Hex和ASCII编码的编辑...
杂项----文件类型识别
weixin_47717433的博客
01-16 3151
文件类型识别 1.File命令 将目标文件复制到kali中,在终端中使用命令行进入文件所在文件夹,使用如下命令,可以查看文件类型: File 文件名 根据识别出的文件类型修改文件后缀名即可正常打开文件。 2.Winhex 打开winhex程序,将要识别的文件拖入winhex,查看文件头(即文件开头的几个字段),根据文件头类型判断文件类型。 以下是常见的文件头类型 3.文件头残缺/错误 有时候文件有后缀名缺无法正常打开,通过file命令发现文件类型是data,表示很有可能是文件头残缺导致的,这时候需要根据后
计算机网络安全技术:使用winhex手动合并与分离文件.pdf
05-12
总的来说,理解文件头标志、熟悉Winhex和其他数据恢复工具的使用,以及掌握基本的二进制文件操作,对于计算机网络安全专业人员来说至关重要,这样他们在面对数据恢复、文件隐藏检测或是取证分析时,都能游刃有余。...
Winhex模板大全新收集winhex实用模板 winhex Template
12-02
5. **文档文件头模板**:针对各种文档格式(如DOC、PDF、XLS等),Winhex提供模板来解析文件头,确认文件类型并提取元数据。 6. **网络协议模板**:网络数据包分析也是Winhex的一项功能,它可以解析TCP/IP、HTTP、...
winhex教程叫你如何查看磁盘扇区
10-27
查看磁盘扇区的二位码数据,让你轻易格式化和改写磁盘存储空间
根据文件内容前几个字节,判断文件类型
hoojo
04-30 3546
文件头判断。直接读取文件的前几个字节。常用文件文件头如下:JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130
常见文件头 类型
iachel的专栏
09-04 9251
比如,一个文件没有后缀名,无法判断是什么类型。或者 这时候,WinHex打开,前几个字符对应类型即可。 gzip 文件头:1F8B08 http网页gzip压缩 JPEG (jpg),   文件头:FFD8FF               PNG (png),   文件头:89504E47 文......
各类文件文件头标志
热门推荐
远有青山
06-01 3万+
各类文件文件头标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photosh
常见文件文件头标志
weixin_45924680的博客
12-06 496
常见文件文件头标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photoshop (psd)...
文件头编码
weixin_51034944的博客
04-16 1735
JPEG (jpg),文件头:FF D8 FF PNG (png),文件头:89 50 4E 47 GIF (gif),文件头:47 49 46 38 Windows Bitmap (bmp),文件头:42 4D python反编译文件pyc的头:03 F3 0D 0A pyd的文件头:4D 5A 90 00 ZIP Archive (zip),文件头:50 4B 03 04 ascii码部分是PK,可以直接根据PK判断是zip文件,也有可能是doc文件 rar文件: 52 61 72 21 7z文件头:3
手工重建复合文档(.doc;xls,ppt)文件头,修复文件全过程
八零后
11-27 3463
手工重建复合文档(.doc;xls,ppt)文件头,修复文件全过程   (2010-11-02 10:51:25) 转载▼ 标签:  复合文档   文件头   it       最近学习了复合文档的格式,在修复复合文档头方面做了不少实践,有了一些心得,经过梳理,做了个例子,把思路和过程介绍给大家,希望能解决你
如何使用winhex修复wav
afjzcn的博客
05-22 1767
场景描述 上周在Audition中录了几段音频,今天发现已经无法正常打开wav文件,播放器提示文件格式已损坏,比如这样: 在后来的修复过程中反应过来,可能是在录制时同时打开了两个工程,而两个工程中又有同名文件,因此出现异常。 解决方式 使用工具是winhex,但是我不懂原理,只是描述下刚刚处理的方式,希望对遇到问题的朋友有所帮助,不足之处欢迎指正。 同时打开异常和正常的wav文件,找到正常文件文件头(UTF-8中的data大概能判断所在位置) 复制文件头至异常文件,出现如下提示
文件的读写基本操作
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
winhex如何查找文件头
最新发布
01-30
### 如何在WinHex中查找文件头 #### 使用WinHex进行文件头搜索的方法 为了高效地识别和提取特定类型的文件,了解并掌握WinHex中的文件头搜索功能至关重要。当面对未知文件类型时,通过比较已知文件类型的头部特征可以有效推测文件的真实性质。 在WinHex环境中执行文件头搜索的具体方式如下: - **启动WinHex软件**:确保安装并打开了最新版本的WinHex应用程序[^2]。 - **加载目标文件**:选择菜单栏上的`File`->`Open`命令,浏览至待分析的目标文件位置,并将其载入编辑器窗口内显示为十六进制视图形式。 - **定义要寻找的文件头模式** - 对于JPEG图像文件而言,常见的文件头标志为`FF D8 FF E0`或`FF D8 FF DB`,这取决于具体的编码标准[^1]。 - **实施搜索操作**: ```plaintext Edit -> Find/Replace... ``` 或者按下快捷键Ctrl+F弹出对话框,在其中输入预期匹配的字节序列(如上述提到的JPEG开头),设置合适的选项比如区分大小写、循环查找等参数后点击OK按钮开始扫描整个文件范围内的相应模式实例。 一旦定位到了疑似对象的位置,则可以通过进一步验证该区段后续的数据结构特点来确认是否确实属于所期望发现的那种格式化单元。如果初次尝试未能成功获取理想的结果,不妨调整假设条件重新测试其他可能性较高的候选集,例如PNG(`89 50 4E 47`)或其他常见多媒体资源类别[^3]。 对于复杂场景下的多轮迭代探索过程,建议记录每次试验的关键决策点以便回溯路径优化策略方向。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值