GNU/Linux 的 file 指令

GNU/Linux 的 file 指令不同於微軟的系統在於利用 file 指令可以很快的識別檔案種類.但是如果是最多人用的M$ 系統, 基本上只能倚靠副檔名.
直接看副檔名的方式算是最簡單的, 但是如果有人把 .zip 的檔案 改個檔名 , 例如 .bin , 這樣是不是就可以閃避過某些防毒的掃描呢 ?

在 GNU/Linux 的系統, file 指令可以不受副檔名的影響來辨識檔案種類的原因是 它根本不看 副檔名, 而是去查看檔案內容是不是符合某些特徵. 這個特徵叫做 magic number (魔術數字, 我個人稱之為神奇數字). 防毒軟體的掃描方式有一部分也是比對特徵.

用 less 指令看看 magic number 的特徵檔
less /usr/share/file/magic


搜尋一下 PE executable for Windows

0 string MZ
>0 string MZ\0\0\0\0\0\0\0\0\0\0PE\0\0 PE executable for MS Windows

這應該就是所謂的特徵比對

如果M$ 的系統也想用這種方式辨認檔案, 其實只要裝 cygwin 就可以有這種功能了