检测文件压缩

Question

我必须读取第三方应用程序存储在 Acess 2000 数据库中的一些数据。供应商不再提问。

一张表包含似乎被压缩的图像数据 - 因为原始应用程序可以将 blob 字段的内容导出到 xls 导出文件中的嵌入 png 图像。

我使用 ADO 和 Delphi (TADOBlobStream) 提取了记录的内容，将其保存到磁盘并使用十六进制编辑器打开它。

前 100 个十六进制字符如下：

F8 1B 00 00 07 C0 24 27 01 40 7F 20 EC 5D 24 2D 88 5C F0 A7 49 91 4A C4 EA 85 D2 98 6A B5 79 D7 B7 2B D5 48 F8 1B 00 00 07 C0 24 27 01 40 7F 20 EC 5D 24 2D 88 5C F0 A7 49 91 4A C4 EA 85 D2 98 6A B5 79 D7 B7 2B D5 48 1A 9A C8 D3 54 E3 A3 E4 F5 29 C6 97 22 95 6A 8E 10BD 3E 4B 0B 11 AA 6D A8 C6 87 92

谁能告诉我这是否符合常用的压缩算法。 3rd 方应用程序似乎使用 zlib 编码方法，因为其 bin 目录中存在编码 dll。但使用 zlib 解压并不会产生 PNG。仅供参考，保存的文件大小约为嵌入 XLS 的 PNG 文件大小的 20%。

谢谢

Answer 1

尝试差异攻击。

1. 使用所述报告/程序从数据库中提取两个图像。
2. 对 PNG 文件执行二进制差异。
3. 对数据库中的源 blob 执行二进制差异。

比较 blob 格式和 PNG 格式文件之间的差异。这应该有助于确定 blob 数据是完全不同的格式还是只是一个包装器。

还可以尝试相互比较两个不同的图像斑点 - 看看哪些变化以及哪些（如果有的话）保持不变。

Answer 2

通用提取器可以给你一些答案。它是开源的。
http://legroom.net/software/uniextract

Answer 3

你说当你使用zlib解压它时它不是PNG。您是否检查过是否是其他图像格式？也许是 JPEG 或 GIF - 甚至可能是位图？

Answer 4

我不知道如何测试它，但 Pkware 至少曾经在市场上销售过（大概他们仍然这样做，但我已经很久没有看过了）一个用于合并到程序中的压缩器。它设计用于处理内存中的原始数据流，因此不会在其压缩的数据上留下任何明显的签名。

我会尝试将您的数据流提供给他们的解压缩器（我知道有两个非常不同的版本），看看他们是否吐出一些看起来更合理的东西。

他们的 SDK 在这里： http://www.pkware.com /software-developer-tools-margin/software-developer-kits

我用的是旧的 dos 时代的工具，Windows 版本太贵了，我从来没有处理过它。

Answer 5

我对此很好奇，所以我决定去看看。我需要将其转换为二进制形式，因此为了节省下一个人的工作量，我在 python 中完成了此操作。希望有帮助：

#!/usr/bin/python
from zlib import decompress; 

f = open('/tmp/data', 'w+'); 
s = "";
for b in [int(x, 16) for x in ("F8 1B 00 00 07 C0 24 27 01 40 7F 20 " +
 "EC 5D 24 2D 88 5C F0 A7 49 91 4A C4 EA 85 D2 98 6A B5 79 D7 B7 2B " +
 "D5 48 F8 1B 00 00 07 C0 24 27 01 40 7F 20 EC 5D 24 2D 88 5C F0 A7 " +
 "49 91 4A C4 EA 85 D2 98 6A B5 79 D7 B7 2B D5 48 1A 9A C8 D3 54 E3 " +
 "A3 E4 F5 29 C6 97 22 95 6A 8E 10 BD 3E 4B 0B 11 AA 6D A8 C6 87 92".split(" ")]:
  s += chr(b);

s = decompress(s);
f.write(s);
f.close();