WinHex如何添加文件类型

在WINHEX的目录中有这样一个文本文件File Type Signatures.txt，我们可以用EXCEL打开来添加其它的文件类型。其中第一列些类型，第二列写扩展名，第三列是文件头的特征代码 第四是偏移量。

文件头的特征代码：每个文件都有一个不同的文件头特征，就像是人的指纹一下，是唯一的，所以，我们可以通过这些文件头来判断文件的类型。例如DOC文件的文件头特征代码为：\xD0\xCF\x11\xE0\xA1\xB1\x1A\xE1它是从0位开始偏移的，所以偏移量就为0.

具体方法如下

1.File命令，将目标文件复制到kali中，在终端中使用命令行进入文件所在文件夹，使用如下命令，可以查看文件类型：File 文件名

2.Winhex，打开winhex程序，将要识别的文件拖入winhex，查看文件头（即文件开头的几个字段），根据文件头类型判断文件类型。

3.文件头残缺/错误。有时候文件有后缀名缺无法正常打开，通过file命令发现文件类型是data，表示很有可能是文件头残缺导致的，这时候需要根据后缀名、题目提示、文件头尾部数据猜测文件的真实类型，并使用winhex添加相应的文件头。还有文件头部字段错误的情况，也会导致文件无法正常打开，这时候也可以找一个同样类型的文件，把文件头进行替换也可以。

1.File命令

当计算机识别不出文件具体类型时，linux指令（file 文件名）可以查看文件类型。

使用场景：不知道后缀名，无法打开文件

我们可以在Windows下直接运行linux指令，进入cmd界面，进入要运行linux指令的目录下，输入bash即可执行linux指令。

2.winhex

winhex程序可以查看文件头类型，根据文件头类型判断文件类型

使用场景：Windows下通过文件头信息判断文件类型

我使用的是Notepad++的一个插件Hex-Editor查看头信息，常用文件头类型如下图所示

3.文件头残缺/错误

当文件头残缺或错误时，使用file命令查看会显示data，针对这种情况，可以替换或者添加相应的文件头

使用场景：文件头部残缺或者文件头部字段错误无法打开正常文件。

---