file命令与magic file【转】

Linux基础——file命令与magic file

[日期：2013-06-03]

来源：Linux社区  作者：sin90lzc

[字体：大 中 小]

 

//本文基于CentOS6.3 distribution

file命令的作用是用于检验文件的类型，并打印至终端。file命令检验文件类型按以下顺序来完成：

1. 检验文件系统(Filesystem)中支持的文件类型。
2. 检验magic file规则。
3. 检验文件内容的语言和字符集。

检验文件系统(Filesystem)中支持的文件类型

文件系统支持的文件类型指的是通过ls -l中第一个字符表示的文件类型：

• -(regular)：正规文件（包括文本文件（ASCII）（会打印text），可执行文件（会打印excutable），其他二进制文件（会打印data））
• d(directory)：目录
• l(link)：软链接（不包括硬连接，硬链接会以正规文件显示
• b(block buffered special)：随机存储的设备文件，如硬盘，光盘等存储设备
• c(character unbuffered special)：持续输入的设备文件，如鼠标，键盘
• s(socket)：socket文件，最常在/var/run目录下看到这类文件
• p(pipe)：管道文件(first-in-first-out)，它的目的在解决多个程序同时存取一个文件造成的错误问题

检验magic file规则

magic file是什么意思呢？magic file指的是那些具有特殊文件格式的文件，如C文件，它会有#include字样；tar文件的前几个字节会有特殊的规则。而检验magic file规则就是根据这些特殊的格式去判断一个文件的类型。而这些规则是保存在$HOME/.magic.mgc，$HOME/.magic，，/etc/magic.mgc，/etc/magic/usr/share/misc/magic.mgc，/usr/share/misc/magic中。*/magic文件是文本文件，而*/magic.mgc文件则是由*/magic编译后的二进制文件。同一目录下若存在*/magic.mgc则使用该文件，否则使用*/magic。这些配置的优先级为$HOME/.magic*>/etc/magic*>/usr/share/misc/magic*。

*/magic文件内容格式

文件中的每行都指定了一个规则测试去检验文件类型，这个规则由4个域指定：

• offset：指定由文件起始的第几个byte开始检验。
• type：要进行检验的数据类型，即由offset那个byte开始的那个数据类型是什么。具体有哪些数据类型，可以参才magic(5)。常用的数据类型有
  byte：一个byte的值
  short：两个byte的值
  long：四个byte的值
  string：字符串。
• test：检验值。用于检验offset下的type是否是这个test值。使用C语言的数值或字符表示形式。
• message：用于显示检验结果的信息显示

如果type为数值类型，那么其后面可添加&value，表示先与后面的test值进行‘与’操作，再进行比较。如果type为字符串类型，则其后可跟/[Bbc]*，/b表示忽略空格，/c表示忽略字母大小写。

如果test的值为数值类型，可以数值前添加＝，<，>，&，^，~，分别表示相等、小于、大于、与操作、异或操作、取反操作。如果test的值为字符串类型，可以在其前添加＝、<、>。

 

-------------------------------------------------------------以上为原文-------------------------------------

引申，是否可以用类型来匹配规则，，，在suricata中不使用magic.magic文件，，，，用magic文件过滤，，，，下周验证下可行不可行！！！