Linux基础——file命令与magic file
| [日期:2013-06-03] | 来源:Linux社区 作者:sin90lzc | [字体:大 中 小] |
//本文基于CentOS6.3 distribution
file命令的作用是用于检验文件的类型,并打印至终端。file命令检验文件类型按以下顺序来完成:
- 检验文件系统(Filesystem)中支持的文件类型。
- 检验magic file规则。
- 检验文件内容的语言和字符集。
检验文件系统(Filesystem)中支持的文件类型
文件系统支持的文件类型指的是通过ls -l中第一个字符表示的文件类型:
- -(regular):正规文件(包括文本文件(ASCII)(会打印text),可执行文件(会打印excutable),其他二进制文件(会打印data))
- d(directory):目录
- l(link):软链接(不包括硬连接,硬链接会以正规文件显示
- b(block buffered special):随机存储的设备文件,如硬盘,光盘等存储设备
- c(character unbuffered special):持续输入的设备文件,如鼠标,键盘
- s(socket):socket文件,最常在/var/run目录下看到这类文件
- p(pipe):管道文件(first-in-first-out),它的目的在解决多个程序同时存取一个文件造成的错误问题
检验magic file规则
magic file是什么意思呢?magic file指的是那些具有特殊文件格式的文件,如C文件,它会有#include字样;tar文件的前几个字节会有特殊的规则。而检验magic file规则就是根据这些特殊的格式去判断一个文件的类型。而这些规则是保存在$HOME/.magic.mgc,$HOME/.magic,,/etc/magic.mgc,/etc/magic/usr/share/misc/magic.mgc,/usr/share/misc/magic中。*/magic文件是文本文件,而*/magic.mgc文件则是由*/magic编译后的二进制文件。同一目录下若存在*/magic.mgc则使用该文件,否则使用*/magic。这些配置的优先级为$HOME/.magic*>/etc/magic*>/usr/share/misc/magic*。
*/magic文件内容格式
文件中的每行都指定了一个规则测试去检验文件类型,这个规则由4个域指定:
- offset:指定由文件起始的第几个byte开始检验。
- type:要进行检验的数据类型,即由offset那个byte开始的那个数据类型是什么。具体有哪些数据类型,可以参才magic(5)。常用的数据类型有
byte:一个byte的值
short:两个byte的值
long:四个byte的值
string:字符串。 - test:检验值。用于检验offset下的type是否是这个test值。使用C语言的数值或字符表示形式。
- message:用于显示检验结果的信息显示
如果type为数值类型,那么其后面可添加&value,表示先与后面的test值进行‘与’操作,再进行比较。如果type为字符串类型,则其后可跟/[Bbc]*,/b表示忽略空格,/c表示忽略字母大小写。
如果test的值为数值类型,可以数值前添加=,<,>,&,^,~,分别表示相等、小于、大于、与操作、异或操作、取反操作。如果test的值为字符串类型,可以在其前添加=、<、>。
-------------------------------------------------------------以上为原文-------------------------------------
引申,是否可以用类型来匹配规则,,,在suricata中不使用magic.magic文件,,,,用magic文件过滤,,,,下周验证下可行不可行!!!