コンテンツをある程度制御できる場合に、未知のファイル形式を攻撃する最良の方法の1つは、差別化されたアプローチを取ることです。ファイルを保存し、小さな制御された変更を加えて、もう一度保存します。ファイルのバイナリ比較を実行して、違いを見つけます。できれば、挿入と削除を検出できるツールを使用します。暗号化されたファイルを扱っている場合、小さな変更が大きな違いを引き起こします。圧縮しただけの場合、違いはローカライズされません。また、ファイル形式が簡単な場合は、状態を変更するだけでファイルが変更されます。
もう1つは、一般的な圧縮手法のいくつか、特にzipとgzipを調べて、それらの「署名」を学習することです。これらの形式のほとんどは「自己識別」であるため、解凍を開始すると、作業内容が理解できる形式であるかどうかを迅速に確認できます。
暗号化を除けば、アーカイブファイル形式は基本的にある種のインデックスメカニズム(ディレクトリまたはソート)であり、インデックス内のポインタを介してアーカイブ内からこれらの要素を見つける方法です。
標準の圧縮アルゴリズムが広く普及しているため、ほとんどの場合、これらのブロックがどこから始まるかを見つけて、インデックスまたは目次を探し出すことが重要です。
(ファイルシステムのように)インデックスがすべて1つの場所にあるものもあれば、アーカイブ内の各要素の前にID情報が表示されるものもあります。しかし、最終的には、あるブロックから別のブロックへのオフセットに関する情報、データ型に関する情報(たとえば、GIFファイルを格納している場合、GIFにも署名がある場合)などがあります。
これらは、ファイル内で探し出そうとしているパターンです。
どういうわけか、同じ形式を使用して2つのバージョンのデータを手に入れることができれば素晴らしいと思います。たとえば、ゲームでは、CDから初期バージョンを取得し、パッチを適用した新しいバージョンを取得できる場合があります。これらはあなたが探している情報を本当に強調することができます。
あなたの担当者レベルを見ると、16 進数、エンディアン、さまざまなデータ型の表現などについての基本的な入門書は、少し余計だと思います。もちろん、データを 16 進数で表示できる優れたツールと、データの構造に関する複雑な仮定をテストするための簡単なスクリプトを作成する機能が不可欠です。これらはすべてあなたにとって明白なはずですが、おそらく他の誰かを助けるかもしれないので、私はそれらについて言及したいと思いました.
最初にファイルをバックアップします。与えられるダメージの量を制限したら、Ed が提案したように周りをつつくだけです。