可执行文件 - 如何用 ASCII 识别它们

Question

看起来所有 EXE 文件以 ASCII 模式打开时都以 MZ 开头，vbs、com 和 bat 文件也有 ASCII 标识吗？我似乎找不到模式...

或者也许还有另一种方法来识别它们？除了扩展之外...

Answer 1

不，不是真的（Windows 可执行文件可以在开头有 PE 或 PK 而不是 MZ - 查看其他可能的格式）。

对于其他类型的文件，您可以使用某些启发式方法（例如，GIF 文件以“GIF89”开头，Bash shell 脚本通常以 #!/bin/bash 开头，BAT 文件通常执行 @echo off 在开头，VBS 脚本在行首使用撇号作为注释标记），但它们并不总是 100% 可靠（一个文件可以是 BAT脚本和 Bash shell 脚本；或者既是有效的 ZIP 存档又是有效的 GIF 图像的文件（例如 剑龙图像），例如）。

请参阅本文以进一步阅读。

Answer 2

TrID 似乎有一个“独立”应用程序，您可以使用它传递文件并读出内容并查看它是什么文件。它以能够向其传递通用文件（或不带扩展名）而自豪，并且它使用文件的标头来发现它实际上是什么文件类型。

Answer 3

看看本教程是否有帮助（如何检测可执行文件的类型 3 系列 ）。他甚至提出了如何做到这一点的分步算法。

另请参阅这篇文章：如何确定文件是否可执行？