常见文件类型的文件头和文件尾标识如下,这些标识位于文件的开头或结尾,方便在二进制分析时识别文件类型。
# 1. 图片类文件
| 文件类型 |
文件头 (前 4-8 字节) |
文件尾 (最后几字节) |
| PNG |
89 50 4E 47 0D 0A 1A 0A |
49 45 4E 44 AE 42 60 82 |
| JPG/JPEG |
FF D8 FF |
FF D9 |
| GIF |
47 49 46 38 37 61 或 47 49 46 38 39 61 |
00 3B |
| BMP |
42 4D |
无固定文件尾 |
| TIFF |
49 49 2A 00 或 4D 4D 00 2A |
无固定文件尾 |
# 2. 音频 / 视频类文件
| 文件类型 |
文件头 |
文件尾 |
| MP3 |
FF FB 或 49 44 33 |
无固定文件尾 |
| WAV |
52 49 46 46 (RIFF) |
无固定文件尾 |
| AVI |
52 49 46 46 ... 41 56 49 |
无固定文件尾 |
| MP4 |
66 74 79 70 69 73 6F 6D |
无固定文件尾 |
| FLV |
46 4C 56 01 |
无固定文件尾 |
# 3. 压缩文件
| 文件类型 |
文件头 |
文件尾 |
| ZIP |
50 4B 03 04 |
50 4B 05 06 或 50 4B 06 06 |
| RAR |
52 61 72 21 1A 07 |
无固定文件尾 |
| 7Z |
37 7A BC AF 27 1C |
无固定文件尾 |
| GZ |
1F 8B 08 或 1F 8B 08 00 00 00 00 00 00 03 |
无固定文件尾 |
# 4. 文档类文件
| 文件类型 |
文件头 |
文件尾 |
| PDF |
25 50 44 46 |
25 25 45 4F 46 |
| DOC (97-2003) |
D0 CF 11 E0 A1 B1 1A E1 |
无固定文件尾 |
| DOCX |
50 4B 03 04 (ZIP 结构) |
50 4B 05 06 或 50 4B 06 06 |
| XLS (97-2003) |
D0 CF 11 E0 A1 B1 1A E1 |
无固定文件尾 |
| XLSX |
50 4B 03 04 (ZIP 结构) |
50 4B 05 06 或 50 4B 06 06 |
# 5. 可执行文件和库文件
| 文件类型 |
文件头 |
文件尾 |
| EXE |
4D 5A (MZ) |
无固定文件尾 |
| DLL |
4D 5A (MZ) |
无固定文件尾 |
| ELF |
7F 45 4C 46 |
无固定文件尾 |
# 6. 数据库文件
| 文件类型 |
文件头 |
文件尾 |
| SQLite |
53 51 4C 69 74 65 20 66 |
无固定文件尾 |
| MySQL ISAM |
49 53 41 4D 03 00 00 00 |
无固定文件尾 |
| Access (MDB) |
00 01 00 00 或 00 01 00 01 |
无固定文件尾 |
# 7. 脚本 / 配置文件
| 文件类型 |
文件头 |
文件尾 |
| HTML |
3C 68 74 6D 6C ( <html ) |
3C 2F 68 74 6D 6C 3E ( </html> ) |
| XML |
3C 3F 78 6D 6C |
3C 2F 开头的标签 |
| Python (.py) |
无固定头部 |
无固定文件尾 |
# 8. 虚拟机和磁盘镜像文件
| 文件类型 |
文件头 |
文件尾 |
| VMDK |
4B 44 4D ( KDM ) |
无固定文件尾 |
| VHD |
63 6F 6E 65 63 74 69 78 |
00 00 00 00 00 00 00 00 |
| ISO |
43 44 30 30 31 ( CD001 ) |
无固定文件尾 |
# 总结
- 文件头(Magic Number)帮助识别文件的类型,通常出现在文件的开头几字节。
- 文件尾用于部分文件类型标识文件结束,但很多文件(如音视频、压缩包)没有固定的文件尾。
- 分析流量或文件时,可以借助文件头的 Magic Number 辨别文件类型,在工具(如 WinHex)中定位这些字节序列以判断文件内容。
希望这份列表能帮助你在流量分析和文件恢复中快速识别文件类型!
