文件取证

文件取证是电子数据取证工作的根本，因为几乎所有信息都以文件形式存储。

文件取证需要用到的技术：编码转换技术、加解密技术、隐写技术、数据恢复技术。

 

文件签名

文件签名是文件格式中一段独特的字节，通过文件签名判断文件是什么格式。

文本文件

.txt 没有固定的文件签名
.doc/.xls文件头：D0CF11E0　　
.docx/.zip文件头：504B0304
.pdf文件头：255044462D312E

图像文件

.bmp文件头：424D
.gif文件头：47494638
.jpeg文件头：FFD8  文件尾：FFD9
.jpg文件头：FFD8FF
.png文件头：89504E47

 

元数据

又称为数据的数据，描述数据的属性、结构，或其他相关数据（地理位置、联系人、所属者等）

图片中的元数据叫做EXIF(EXchangeable Image File)，它是专门为数码相机照片设定的，记录数字照片的属性信息。EXIF在.jpg文件头部插入了数码照片的信息，包括拍摄时的光圈、焦距、GPS等拍摄参数。

 

MINE

MIME是Multipurpose Internet Mail Extensions的缩写，是一种描述消息内容类型的因特网标准。MIME用来表示文档、文件或字节流的性质和格式，例如文本、图像、音频、视频等。MIME类型通常由两部分组成，一部分是类型，另一部分是子类型，中间用斜杠分隔，例如text/plain表示纯文本文件，image/jpeg表示JPEG图像文件。MIME类型可以帮助浏览器或其他应用程序正确地处理文件内容，因此在Web服务器中设置正确的MIME类型非常重要。

使用file -i命令可以查看一个文件属性的MINE类型，MINE类型记录的是文件正确的文件格式。

 

文件修复

首先判断文件损坏的原因：

　　1、文件的编码方式出错(file -i查看文件编码)

　　2、文件格式出错（file -i查看文件格式）

　　3、文件签名有问题

修复文件的方式。针对文件损坏的原因采取对应的修复方案：

　　编码方式出错：

　　　　普通文本文件：文件另存为->选择编码方式

　　　　文档文件：文件另存为->web选项->选择编码方式

　　　　图片：图片的编码方式有文本、二进制、base64，根据需求对原来的文件进行编码/解码

　　文件格式出错：重命名，修改后缀名

　　文件签名出错：十六进制编辑器修改文件签名