elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ¿El formato de un archivo puede contener más de una firma?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿El formato de un archivo puede contener más de una firma?  (Leído 3,618 veces)
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
¿El formato de un archivo puede contener más de una firma?
« en: 3 Septiembre 2016, 23:41 pm »

Hola

Estoy algo indeciso por que no sabía si publicar eso en Programación General o Ingeniería Inversa, pero me decanto por la última opción puesto que el tema trata de analizar en profundidad los bytes de archivos y aquí estais mucho más acostumbrados a analizar las firmas en los executables así que supongo que eso será de mucha ayuda para resolver mi duda...

Quizás mi duda pueda ser algo obvia, pero lo cierto es que ando algo confuso, verán, necesito saber si un formato de archivo puede contener varias firmas.

Por ejemplo, la firma de Matroska, es decir, un archivo MKV, es la siguiente (en Hexadecimal):
Código:
0x1A, 0x45, 0xDF, 0xA3

Sin embargo, estoy analizando una aplicación gratuita que se llama TridNET la cual sirve para identificar formatos mediante el uso de firmas, y el autor escribió varias firmas para el formato AVI:
Código
  1. ...
  2. <Pattern>
  3.    <Bytes>52494646</Bytes>
  4.    <ASCII> R I F F</ASCII>
  5.    <Pos>0</Pos>
  6. </Pattern>
  7. <Pattern>
  8.    <Bytes>415649204C495354</Bytes>
  9.    <ASCII> A V I   L I S T</ASCII>
  10.    <Pos>8</Pos>
  11. </Pattern>
  12. <Pattern>
  13.    <Bytes>00006864726C6176696838000000</Bytes>
  14.    <ASCII>..hdrlavih8</ASCII>
  15.    <Pos>18</Pos>
  16. </Pattern>
  17. <Pattern>
  18.    <Bytes>4C495354</Bytes>
  19.    <ASCII> L I S T</ASCII>
  20.    <Pos>88</Pos>
  21. </Pattern>
  22. <Pattern>
  23.    <Bytes>00007374726C73747268</Bytes>
  24.    <ASCII> . . s t r l s t r h</ASCII>
  25.    <Pos>94</Pos>
  26. </Pattern>
  27. <Pattern>
  28.    <Bytes>00000076696473</Bytes>
  29.    <ASCII> . . . v i d s</ASCII>
  30.    <Pos>105</Pos>
  31. </Pattern>
  32. ...

Lo que no tengo claro de todo esto es, si se supone que debo hacer coincidir todas esas firmas en la cabecera de un archivo AVI, o debo calcular el porcentaje de éxito según la cantidad de firmas que se hayan podido encontrar en la cabecera del archivo, o si simplemente debo dar la comprobación por exitosa al encontrar cualquiera de esas firmas en un archivo AVI.

Pero según esta lista de firmas, la firma para identificar el formato AVI solamente sería "RIFF + AVI LIST":
http://www.garykessler.net/library/file_sigs.html
Citar
Código:
52 49 46 46 xx xx xx xx RIFF....
41 56 49 20 4C 49 53 54 AVI LIST

Eso me ha causado gran confusión, ¿alguien me lo puede aclarar bien?, gracias.

Saludos.
« Última modificación: 3 Septiembre 2016, 23:43 pm por Eleкtro » En línea



tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: ¿El formato de un archivo puede contener más de una firma?
« Respuesta #1 en: 4 Septiembre 2016, 06:24 am »

no sé mucho de videos, ya que la ingeniería la aplico en exe, pero si sé por ejemplo:
cada archivo tiene una única signatura, en el caso de los avis es un poco engañosa porque no es una firma en si misma sino un contenedor, o sea el video puede estar en varios formatos y supongo que lo que está haciendo el que dices es tratar de indentificar alguno de ellos, ya que depdende de los codec que se hayan utilizado para su creación, pero en sí mismo la signatura inicial es:
RIFFPÌ´+AVI LIST
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: ¿El formato de un archivo puede contener más de una firma?
« Respuesta #2 en: 4 Septiembre 2016, 18:34 pm »

Tampoco podría ayudarte, pero haría lo siguiente, descárgate algunos AVIs por ejemplo:
Y ve si todos cumplen con las firmas, de ser que algunos cumplen y otros no, se entendería que variará en base a alguna "versión", "patrón" o proceso de conversión (son ideas locas, pues no manejo los formatos de video) en caso que todas las firmas estén en cada AVI, ya podrás obtener deducciones, espero que entiendas mi idea, suerte :D
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: ¿El formato de un archivo puede contener más de una firma?
« Respuesta #3 en: 4 Septiembre 2016, 18:51 pm »

en caso que todas las firmas estén en cada AVI, ya podrás obtener deducciones, espero que entiendas mi idea, suerte :D

Pues si, pero ponerse a descargar videos AVI y verificar que hayan sido convertidos con distintos codecs para ver si hay diferencias al hacer coincidir las firmas puedo demorarme mucho xD, por eso pregunté, por que yo suponía que esto también podría suceder con executables o dlls y etc...

Gracias @.:UND3R:. y también gracias @Tincopasan. Doy el tema por "resuelto".

Saludos!
En línea



Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
poner en una firma o en avatar un archivo swf
Diseño Gráfico
Roboto 5 2,904 Último mensaje 13 Marzo 2005, 02:40 am
por ¤ Nerviozzo ¤
contener un archivo en un exe
Programación Visual Basic
V18s 1 1,506 Último mensaje 6 Agosto 2005, 03:51 am
por Slasher-K
Formato de archivo extraño *.svg
Diseño Gráfico
Azielito 3 2,177 Último mensaje 28 Julio 2006, 23:05 pm
por дٳŦ٭
¿Se puede cambiar la firma de la credencial de elector?
Foro Libre
Tokes 2 24,214 Último mensaje 30 Abril 2012, 04:51 am
por maxmag
Firma digital de un archivo.
Criptografía
NikNitro! 0 2,451 Último mensaje 24 Julio 2013, 17:57 pm
por NikNitro!
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines