如何用Linux strings查找文件类型

strings 命令在 Linux 中用于从一个二进制文件中提取可打印的字符串。虽然它本身并不直接用于确定文件类型，但可以通过分析提取出的字符串来推测文件类型或其中包含的数据类型。

以下是如何使用 strings 命令查找文件中的可打印字符串，并尝试从中推断文件类型的步骤：

使用 strings 命令提取字符串

1. 基本用法：

   strings <filename>
   

   这将输出文件中所有的可打印字符串。

2. 限制输出长度： 如果只想查看较长的字符串，可以使用 -n 选项指定最小字符串长度。

   strings -n 4 <filename>
   

3. 输出到文件： 可以将结果重定向到一个文件中以便后续分析。

   strings <filename> > strings_output.txt
   

分析提取的字符串以推断文件类型

1. 查看常见标识符：

   • 查找文件头部的特定标识符（magic numbers），这些通常是文件类型的明确标志。
   • 例如，JPEG 图像通常以 FF D8 FF 开头，PNG 图像以 89 50 4E 47 开头。

2. 搜索特定关键词：

   • 根据你对文件内容的了解，搜索可能出现的关键词或短语。
   • 例如，如果文件是文本文件，可能会包含常见的英文单词或短语。

3. 结合其他工具：

   • 使用 file 命令可以更准确地确定文件类型。

     file <filename>
     

   • 结合 strings 和 file 命令的输出，可以更全面地了解文件内容和类型。

示例

假设你有一个未知的二进制文件 example.bin，你想通过 strings 命令来分析它：

strings example.bin > strings_output.txt

然后查看 strings_output.txt 文件中的内容：

cat strings_output.txt

在输出中寻找可能的文件头标识符或其他关键词，例如：

• 如果看到 PNG 字样，那么文件可能是 PNG 图像。
• 如果看到 GIF89a 或 GIF87a，那么文件可能是 GIF 图像。
• 如果看到 BM 字样，那么文件可能是 BMP 图像。

通过这种方式，你可以结合 strings 命令的输出和其他工具的结果来推断文件的类型。