Hatena::ブログ(Diary)

FORENSICのメモ

2016-09-20

header & footer

10:24

https://fish.minidns.net/projects/a-painter-and-a-black-cat/wiki/CTF_Forensicキャッシュから...

実行形式¶
ファイルフォーマット HEX ASCII Note
ELF 7F
PE(.exe .dll .ocx .scr .cpl .com .fon) 4D 5A MZ 頭の方(0x80〜0xf0のあたり)が 50 40 00 00 4C 01 で32bit 50 40 00 00 64 86 で64bit PE(50 40)から始まっているので、見つけやすい
Javaクラスファイル CA FE BA BE
gzip 1F 8B
Compress(.Z) 1F 9D
Bzip(.bz) 42 5a BZ
zip 50 4B PK
TAR (pre-POSIX) (a filename)
TAR (POSIX) 75 73 74 61 72 ustar
zip 50 4B 03 04 PK 終端は PK 0x05 0x06 の後ろに18Byte コメントが付けられるので可変長ではある
zlib 78 9c 78 DA や 78 01 の場合も?ある
LHA(lh0) ?? ?? 2D 6C 68 30 2D ??-lh0-
LHA(lh4) ?? ?? 2D 6C 68 34 2D ??-lh4-
LHA(lh5) ?? ?? 2D 6C 68 35 2D ??-lh5-
7z 37 7A BC AF 27 1C 7z
xz fd 37 7a 58 5a 00 ?7zXZ
cab 4d 53 43 46 MSCF
RAR 52 61 72 21 Rar!
Jpeg FF D8 FF E0 ?? ?? 4A 46 49 46 ??????JFIF 終端は FF D9 "・ル"
PNG 89 50 4E 47 ?PNG → 臼NG 終端は 00 00 00 00 49 45 4E 44 AE 42 60 82 "IENDョB`"
GIF(89a) 47 49 46 38 39 61 GIF89a 終端は 3B
GIF(87a) 47 49 46 38 37 61 GIF87a
BMP 42 4D BM
BGP 42 50 47 fb 20 00 BGP
TIFF 49 49 または 4d 4d II または MM 「4D 4D」なら上位から下位バイトへ読み、「49 49」なら下位から上位バイトで読みます
Postscript 25 21 %!
Microsoft Offic e D0 CF 11 E0 A1 B1 1A E1
PDF 25 50 44 46 2D %PDF-バージョン番号
wav 52 49 46 46 RIFF
swf 43 57 53 または 46 53 57 CSW または FSW
wma 30 26 0&
pgp public ring 99 00
pgp security ring 95 01
pgp security ring 95 00
pgp encrypted data a6 00
pcap(tcpdump) d4 c3 b2 a1 ヤテイ。

トラックバック - http://d.hatena.ne.jp/V8Heaven/20160920/1474334664