¿El formato de un archivo puede contener más de una firma?

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

23 Noviembre 2024, 15:10 pm

Tema destacado: Estamos en la red social de Mastodon

Foro de elhacker.net

Programación

Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)

¿El formato de un archivo puede contener más de una firma?

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: ¿El formato de un archivo puede contener más de una firma? (Leído 3,584 veces)

Eleкtro

Ex-Staff

Desconectado

Desconectado

Mensajes: 9.878

Ver Perfil

¿El formato de un archivo puede contener más de una firma?

« en: 3 Septiembre 2016, 23:41 pm »

Hola

Estoy algo indeciso por que no sabía si publicar eso en Programación General o Ingeniería Inversa, pero me decanto por la última opción puesto que el tema trata de analizar en profundidad los bytes de archivos y aquí estais mucho más acostumbrados a analizar las firmas en los executables así que supongo que eso será de mucha ayuda para resolver mi duda...

Quizás mi duda pueda ser algo obvia, pero lo cierto es que ando algo confuso, verán, necesito saber si un formato de archivo puede contener varias firmas.

Por ejemplo, la firma de Matroska, es decir, un archivo MKV, es la siguiente (en Hexadecimal):

Código:

0x1A, 0x45, 0xDF, 0xA3

Sin embargo, estoy analizando una aplicación gratuita que se llama TridNET la cual sirve para identificar formatos mediante el uso de firmas, y el autor escribió varias firmas para el formato AVI:

Código

...
<Pattern>
    <Bytes>52494646</Bytes>
    <ASCII> R I F F</ASCII>
    <Pos>0</Pos>
</Pattern>
<Pattern>
    <Bytes>415649204C495354</Bytes>
    <ASCII> A V I   L I S T</ASCII>
    <Pos>8</Pos>
</Pattern>
<Pattern>
    <Bytes>00006864726C6176696838000000</Bytes>
    <ASCII>..hdrlavih8</ASCII>
    <Pos>18</Pos>
</Pattern>
<Pattern>
    <Bytes>4C495354</Bytes>
    <ASCII> L I S T</ASCII>
    <Pos>88</Pos>
</Pattern>
<Pattern>
    <Bytes>00007374726C73747268</Bytes>
    <ASCII> . . s t r l s t r h</ASCII>
    <Pos>94</Pos>
</Pattern>
<Pattern>
    <Bytes>00000076696473</Bytes>
    <ASCII> . . . v i d s</ASCII>
    <Pos>105</Pos>
</Pattern>
...

Lo que no tengo claro de todo esto es, si se supone que debo hacer coincidir todas esas firmas en la cabecera de un archivo AVI, o debo calcular el porcentaje de éxito según la cantidad de firmas que se hayan podido encontrar en la cabecera del archivo, o si simplemente debo dar la comprobación por exitosa al encontrar cualquiera de esas firmas en un archivo AVI.

Pero según esta lista de firmas, la firma para identificar el formato AVI solamente sería "RIFF + AVI LIST":
http://www.garykessler.net/library/file_sigs.html

Citar

Código:

52 49 46 46 xx xx xx xx RIFF....
41 56 49 20 4C 49 53 54 AVI LIST

Eso me ha causado gran confusión, ¿alguien me lo puede aclarar bien?, gracias.

Saludos.


« Última modificación: 3 Septiembre 2016, 23:43 pm por Eleкtro »	En línea

tincopasan

Desconectado

Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.

Ver Perfil

Re: ¿El formato de un archivo puede contener más de una firma?

« Respuesta #1 en: 4 Septiembre 2016, 06:24 am »

no sé mucho de videos, ya que la ingeniería la aplico en exe, pero si sé por ejemplo:
cada archivo tiene una única signatura, en el caso de los avis es un poco engañosa porque no es una firma en si misma sino un contenedor, o sea el video puede estar en varios formatos y supongo que lo que está haciendo el que dices es tratar de indentificar alguno de ellos, ya que depdende de los codec que se hayan utilizado para su creación, pero en sí mismo la signatura inicial es:
RIFFPÌ´+AVI LIST


	En línea

.:UND3R:.

Moderador Global

Desconectado

Desconectado

Mensajes: 3.118

Ingeniería inversa / MASM

Ver Perfil

WWW

Re: ¿El formato de un archivo puede contener más de una firma?

« Respuesta #2 en: 4 Septiembre 2016, 18:34 pm »

Tampoco podría ayudarte, pero haría lo siguiente, descárgate algunos AVIs por ejemplo:
Y ve si todos cumplen con las firmas, de ser que algunos cumplen y otros no, se entendería que variará en base a alguna "versión", "patrón" o proceso de conversión (son ideas locas, pues no manejo los formatos de video) en caso que todas las firmas estén en cada AVI, ya podrás obtener deducciones, espero que entiendas mi idea, suerte


	En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Eleкtro

Ex-Staff

Desconectado

Desconectado

Mensajes: 9.878

Ver Perfil

Re: ¿El formato de un archivo puede contener más de una firma?

« Respuesta #3 en: 4 Septiembre 2016, 18:51 pm »

Cita de: .:UND3R:. en 4 Septiembre 2016, 18:34 pm

en caso que todas las firmas estén en cada AVI, ya podrás obtener deducciones, espero que entiendas mi idea, suerte

Pues si, pero ponerse a descargar videos AVI y verificar que hayan sido convertidos con distintos codecs para ver si hay diferencias al hacer coincidir las firmas puedo demorarme mucho xD, por eso pregunté, por que yo suponía que esto también podría suceder con executables o dlls y etc...

Gracias @.:UND3R:. y también gracias @Tincopasan. Doy el tema por "resuelto".

Saludos!


	En línea

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

Mensajes similares
		Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
		poner en una firma o en avatar un archivo swf Diseño Gráfico	Roboto	5	2,871	13 Marzo 2005, 02:40 am por ¤ Nerviozzo ¤
		contener un archivo en un exe Programación Visual Basic	V18s	1	1,497	6 Agosto 2005, 03:51 am por Slasher-K
		Formato de archivo extraño *.svg Diseño Gráfico	Azielito	3	2,143	28 Julio 2006, 23:05 pm por дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭
		¿Se puede cambiar la firma de la credencial de elector? Foro Libre	Tokes	2	24,190	30 Abril 2012, 04:51 am por maxmag
		Firma digital de un archivo. Criptografía	NikNitro!	0	2,437	24 Julio 2013, 17:57 pm por NikNitro!

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines