ما الذي يجب أن أعرفه قبل البحث في ملف أرشيف غير معروف عن الأشياء؟

Question

تقوم اللعبة التي ألعبها بتخزين جميع بياناتها في ملف .DAT.كان هناك بعض العمل قام به الأشخاص أثناء فحص الملف.هناك أيضا بعض الأدوات الموجودة, ، لكنني لست متأكدًا من وضعهم الحالي.أعتقد أنه سيكون من الممتع التنقيب في البيانات بنفسي، لكنني لم أحاول أبدًا فحص ملف، ناهيك عن أي شيء مثل هذا من قبل.

هل هناك أي شيء يجب أن أعرفه حول فحص تنسيق الملف لأغراض استخراج البيانات قبل أن أتعمق في هذا الأمر؟

يحرر:أود الحصول على نصائح عامة جدًا، حيث أن فحص تنسيقات الملفات يبدو مثيرًا للاهتمام.أود أن أكون قادرًا على أخذ الملف X ومعرفة كيفية التعامل مع مشكلة التعرف عليه.

Answer 1

1. ستحتاج بالتأكيد إلى محرر سداسي عشري قبل أن تذهب بعيدًا.سيتيح لك رؤية البيانات الأولية كأرقام بدلاً من كتل فارغة كبيرة في أي خط تستخدمه المفكرة (أو أي محرر نصوص).
2. حاول فتحه في أي من أدوات استخراج الأرشيف لديك (على سبيل المثال.zip و7z وrar وgz وtar وما إلى ذلك) لمعرفة ما إذا كان مجرد تنسيق ملف تمت إعادة تسميته (.PK3 شيء من هذا القبيل).
3. ابحث عن رؤوس تنسيقات الملفات المعروفة في مكان ما داخل الملف، مما سيساعدك على اكتشاف مكان تخزين أجزاء معينة من البيانات (على سبيل المثال.قم بالبحث عن "IPNG" للعثور على أي ملفات png (غير مضغوطة) في مكان ما بداخلها).
4. إذا وجدت مكان تخزين جزء معين من البيانات، فقم بتدوين موقعه وطوله، ومعرفة ما إذا كان يمكنك العثور على أرقام مساوية لأي من هاتين القيمتين بالقرب من بداية الملف، والتي تعمل عادةً كمؤشرات إلى القيمة الفعلية بيانات.
5. في بعض الأحيان، يتعين عليك فقط أن تخمن، أو تستشعر ما تعنيه قيمة معينة، وإذا كنت مخطئًا، حسنًا، استمر في التحرك.ليس هناك الكثير الذي يمكنك فعله حيال ذلك.
6. لقد وجدت ذلك http://www.wotsit.org وهو مفيد بشكل خاص لتنسيقات أنواع الملفات المعروفة، للمساعدة في العثور على الرؤوس داخل ملف .dat.

Answer 2

ونسخة احتياطية من ملف أولا. مرة واحدة كنت قد قيدت مقدار الضرر يمكنك القيام به، فقط كزة حول كما اقترح إد.

Answer 3

وبالنظر إلى مستوى ممثل الخاص بك، وأعتقد التمهيدي الأساسي على أرقام ست عشرية، endianness، والتمثيل لأنواع البيانات المختلفة، وكل ما من شأنه أن يكون زائدة بعض الشيء. أداة الجيدة التي يمكن أن تظهر البيانات في عرافة هو بالطبع ضروري، كما هو القدرة على كتابة البرامج النصية سريعة لاختبار الفرضيات المعقدة حول هيكل البيانات و. يجب أن تكون كل هذه واضحة لك، ولكن قد ربما مساعدة شخص آخر حتى ظننت أنني كنت أذكرها.

Answer 4

واحدة من أفضل الطرق لمهاجمة صيغ الملفات غير معروف، عندما يكون لديك بعض السيطرة على محتويات هو اتخاذ نهج التفاضلية. حفظ ملف، إجراء تغيير الصغيرة والتي تسيطر عليها، وحفظ مرة أخرى. هل ثنائي مقارنة الملفات لمعرفة الفرق - يفضل استخدام أداة التي يمكن الكشف عن إدراج والحذف. إذا كنت تتعامل مع ملف مشفر، وتغيير طفيف يؤدي الى فارق هائل. اذا كان مضغوط فقط، لن تكون مترجمة الفرق. وإذا كان تنسيق الملف تافهة، تغيير بسيط في الدولة سوف يؤدي إلى تغيير بسيط على هذا الملف.

Answer 5

والشيء الآخر هو أن ننظر إلى بعض تقنيات ضغط المشتركة، ولا سيما الرمز البريدي و gzip، وتعلم على "التوقيعات". معظم هذه الأشكال هي "النفس بتحديد" حتى عندما تبدأ فك الضغط، فإنها يمكن أن تفعل التعقل سريع يتحقق أن ما نعمل عليه هو في شكل يفهمونها.

والتشفير وباستثناء، تنسيق ملف أرشيف هو في الأساس نوع من آلية الفهرسة (دليل أو أنواع)، وطريقة تقع تلك العناصر من داخل أرشيف عبر المؤشرات في المؤشر.

ومع وubiquitousness من خوارزميات الضغط القياسية، فإنه في الغالب مسألة العثور حيث تبدأ تلك الكتل، ومحاولة لمطاردة المؤشر، أو جدول المحتويات.

وبعض سيكون مؤشر جميع في بقعة واحدة (مثل نظام الملفات لا)، والبعض الآخر ببساطة تسبق كل عنصر ضمن أرشيف بمعلومات هويتها. ولكن في النهاية في مكان ما، هناك معلومات عن إزاحة من كتلة واحدة إلى أخرى، هناك معلومات عن أنواع البيانات (على سبيل المثال، لو انهم تخزين ملفات GIF، GIF الحصول على توقيع كذلك)، وما إلى ذلك.

وهذه هي الأنماط التي كنت تحاول مطاردة داخل الملف.

وسيكون من الجميل لو بطريقة ما يمكنك الحصول على يدك على نسختين من البيانات باستخدام نفس الشكل. على سبيل المثال، في لعبة، فإنك قد تكون قادرة على الحصول على النسخة الأولية من على CD والإصدار الجديد ومصححة. ويمكن لهذه تسليط الضوء حقا على المعلومات التي كنت تبحث عنها.