OurSecret软件隐写

1A 9E 97 BA 2A

明文爆破构造简单文件

  • exe:4D5A90000300000004000000
  • png:

gif

47 49 46 38 39 61

JPEG 图像文件

FFD8 FFE0 0010 4A46 4946 0001 0101 0047 ...
  • FFD8 表示 JPEG 文件的开始,FFE0 代表应用程序特定标记,4A46 4946 表示 “JFIF” 标识。
... FFD9

PNG 图像文件

  • PNG图像格式文件由一个8字节的PNG文件标识域和3个以上的后续数据块如:IHDR、IDAT、IEND等组成
8950 4E47 0D0A 1A0A ...
  • 89:用于检测传输系统是否支持8位的字符编码,用以减少将文本文件被错误的识别成PNG文件的机会,反之亦然
  • 50 4E 47:PNG每个字母对应的ASCII,让用户可以使用文本编辑器查看时,识别出是PNG文件
  • 0D 0A:DOS风格的换行符,用于DOS-Unix数据的换行符转换
  • 1A:在DOS命令行下,用于阻止文件显示的文件结束符
  • 0A:Unix风格的换行符,用于Unix-DOS换行符的转换
... 0000 0000 4945 4E44 AE42 6082

4945 4E44 对应 ASCII 编码的 IEND,AE42 6082 是 CRC 校验码。

PDF 文档

以 %PDF 开头,具体的十六进制表示如下:

2550 4446 2D31 2E3X ...

2550 4446 对应 ASCII 编码的 %PDF,2D31 2E3X 代表 PDF 的版本号。
文件尾通常包含 %%EOF 标记,具体的十六进制表示如下:

... 2525 454F 46

2525 454F 46 对应 ASCII 编码的 %%EOF。

DOC 文件(Microsoft Word 97-2003)

D0 CF 11 E0 A1 B1 1A E1 ...

这个签名是 Microsoft 复合文件二进制格式(Compound File Binary Format, CFBF)的标志,常用于旧版 Microsoft Office 文档。
文件尾没有固定的模式,但通常包含结束标记,如 00 00 00 00。

DOCX 文件/ZIP文件(Microsoft Word 2007+)

DOCX 文件是基于 XML 的文件格式。

50 4B 03 04 ...

这个签名表示 ZIP 压缩文件格式,因为 DOCX 文件实际上是 ZIP 压缩的 XML 文件。
文件尾通常以 ZIP 文件的结束标记结束:

... 50 4B 05 06

TXT 文件

没有固定的文件头,因为只是纯文本文件,有些文本文件可能以特定的字符编码(如 UTF-8)开始:

EF BB BF ...

这是 UTF-8 编码的字节顺序标记(BOM)。
通常没有固定的文件尾。

MOV 视频文件

00 00 00 14 66 74 79 70 71 74 20 20 ...

66 74 79 70 对应 ASCII 编码的 ftyp,表示文件类型。
文件尾没有固定的模式,但通常包含结束标记,如 6D 64 61 74(mdat)。

MP4 视频文件

MP4 文件的文件头与 MOV 文件类似,也以 ftyp 开头,但后续字节可能有所不同:

00 00 00 18 66 74 79 70 6D 70 34 32 ...

6D 70 34 32 对应 ASCII 编码的 mp42,表示 MPEG-4 第2版。
文件尾没有固定的模式,但通常包含结束标记,如 6D 64 61 74(mdat)。

RAR Archive (rar)

文件头:

52 61 72 21

文件尾:

C4 3D 7B 00 40 07 00

TIFF (tif)

文件头:

49 49 2A 00

Windows Bitmap (bmp)

文件头:

42 4D AE 0A 0B

7-ZIP compressed file(7z)

文件头:

37 7A BC AF 27 1C

gz

文件头:

1F 8B 08 00

avi(RIFF)

52 49 46 46

pyc

Python 版本 文件头(十六进制)
2.7 03 F3 0D 0A
3.0 3B 0C 0D 0A
3.1 4F 0C 0D 0A
3.2 6C 0C 0D 0A
3.3 9E 0C 0D 0A
3.4 EE 0C 0D 0A
3.5 17 0D 0D 0A
3.6 33 0D 0D 0A
3.7 42 0D 0D 0A
3.8 55 0D 0D 0A
3.9 61 0D 0D 0A
3.10 6F 0D 0D 0A
3.11 A7 0D 0D 0A
3.12 CB 0D 0D 0A

其他

png 文件头:89504E47 0D0A1A0A 0000000D 49484452   文件尾:00000000 49454E44 AE426082
jpg 文件头:FF D8 FF E0 00 10 4A 46 49 46 00 01
gif 文件头:47 49 46 38 39 61(GIF89A)或 47 49 46 38 37 61(GIF87A)    文件尾:00 3B
bmp 文件头:42 4D
psd 文件头:38 42 50 53
TIFF 文件头:49 49 2A 00

mp3 文件头:49 44 33 03 00 00 00 00
wav 文件头:57 41 56 45 或 52 49 46 46
mid 文件头:4D 54 68 64
avi 文件头:41 56 49 20
mov 文件头:00 00 00 20 66 74 79 70 71 74 20 20 20 05 03 00
swf 文件头:46 57 53 08 AC 43 00 00
MS-Office2003 文件头:D0 CF 11 E0
xml 文件头:3C 3F 78 6D 6C
html 文件头:68 74 6D 6C 3E
CAD (dwg),文件头:41433130
Rich Text Format (rtf),文件头:7B5C727466
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Postscript (eps.or.ps),文件头:252150532D41646F6265
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA 或 000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
M4a,文件头:00000018667479704D3441

参考