如何在Linux中查看文件类型？使用file命令判断文件格式和类型

file命令通过魔术数字和模式匹配识别文件类型，不依赖扩展名，结合-l、-z等选项可深入分析，是linux下快速判断文件类型的首选工具。

在Linux中，想要快速而准确地识别一个文件的类型，

file

解决方案

要查看Linux中文件的类型，最直接、最有效的方法就是使用

file

比如，你可能有一个名为

my_script.sh

document.pdf

file my_script.sh
file document.pdf
file /bin/bash

通常，

file

我个人在使用

file

• -s

  (special files): 当你想要查看块设备或字符设备文件时，这个选项就很有用了。比如，

  file -s /dev/sda

  可能会告诉你这是一个“block special”文件。

• -L

  (dereference symlinks): 默认情况下，

  file

  命令会告诉你一个符号链接（软链接）本身是个链接。但如果你想知道它实际指向的那个文件的类型，就得加上

  -L

  。这就像你问“这封信是什么？”和“这封信里写了什么？”的区别。

• -z

  (compressed files): 如果文件是压缩的，

  file

  通常能识别出来。但有时候，它会先解压一部分再判断内部内容。这个选项能让它更深入地查看压缩文件内部。

• -i

  (mime type): 有时候，我们更关心文件的MIME类型，这在Web服务或邮件附件处理中非常常见。

  file -i my_image.jpg

  可能会输出

  image/jpeg; charset=binary

  。

举个例子，假设我有一个名为

archive.tar.gz

$ file archive.tar.gz
archive.tar.gz: gzip compressed data, last modified: Tue Nov 28 10:30:00 2023, from Unix, original size 123456789

$ file -i archive.tar.gz
archive.tar.gz: application/gzip; charset=binary

你看，同一个文件，不同的选项就能给我不同侧重的有用信息。这命令简直是Linux世界里的“文件侦探”。

file

命令是如何识别文件类型的？它背后的原理是什么？

说实话，

file

简单来说，许多文件格式在文件的开头部分都有一串独特的字节序列，就像是它们的“身份证号码”或者“基因序列”，这些就是“魔术数字”。比如，PDF文件通常以

%PDF-

FF D8 FF E0

7F 45 4C 46

DEL E L F

file

这个数据库通常存储在

/etc/magic

/usr/share/file/magic

file

当然，如果文件没有明显的魔术数字，或者魔术数字被篡改了，

file

#!

但这里有个小小的“缺点”或者说局限性：如果一个文件完全是空的，或者内容非常模糊，

file

除了

file

命令，还有哪些方法可以辅助判断文件类型，以及它们的应用场景？

虽然

file

1. ls -l

   命令： 这可能是最常用的辅助手段了。

   ls -l

   不仅能列出文件权限、所有者、大小和修改时间，最重要的是，它会用第一个字符告诉你文件是目录（

   d

   ）、普通文件（

   -

   ）、符号链接（

   l

   ）、块设备（

   b

   ）还是字符设备（

   c

   ）等。这虽然不是判断具体格式，但能让你快速了解文件的基本性质。比如，看到

   l

   就知道是个快捷方式，后续可以考虑

   file -L

   。
   

   SekoTalk

   商汤科技推出的AI对口型视频创作工具

   下载

2. 查看文件扩展名（后缀）： 尽管

   file

   命令不依赖它，但在人类世界里，文件扩展名依然是判断文件类型最直观的方式。

   document.pdf

   、

   image.png

   、

   archive.zip

   ，这些后缀通常能给我们一个初步的预期。当然，这并不是绝对可靠的，因为扩展名可以随意更改，恶意文件经常会伪装。但作为第一印象，它还是有价值的。

3. head

   或

   tail

   命令： 当

   file

   命令给出的信息不够详细，或者你想快速验证某个文本文件的内容时，

   head -n 10 <filename>

   （查看文件开头10行）或

   tail -n 10 <filename>

   （查看文件末尾10行）就派上用场了。通过查看文件的部分内容，你可能会发现XML标签、JSON结构、SQL语句、日志信息等，从而推断出文件类型。

4. strings

   命令： 对于那些

   file

   命令判断为“data”或者“binary”的文件，

   strings

   命令能从二进制文件中提取出可打印的字符串。这在分析可执行文件、固件或者一些未知二进制文件时非常有用。你可能会从中发现版权信息、函数名、配置路径、错误消息甚至是一些隐藏的URL或命令字符串，这些都能帮助你猜测文件的用途。

5. stat

   命令： 这个命令主要用于查看文件的元数据，比如文件的创建时间、修改时间、访问时间、大小、inode号等。虽然不能直接告诉你文件类型，但这些信息在某些场景下，比如追踪文件来源、判断文件是否被篡改时，能提供重要的上下文线索。例如，一个声称是今天创建的文件，

   stat

   却显示它在上个月就存在了，这就很可疑。

6. mimetype

   命令 (如果系统有安装)： 有些系统会提供

   mimetype

   命令，它专门用于输出文件的MIME类型，与

   file -i

   类似，但在某些脚本中可能更方便使用。

结合这些工具，我们可以构建一个更全面的文件分析流程。比如，先用

ls -l

file

head

strings

在处理未知或可疑文件时，如何结合

file

命令进行安全分析和初步判断？

在安全领域，识别文件类型是至关重要的第一步。一个未知或可疑的文件，其类型信息往往能为我们提供重要的线索，帮助我们判断其潜在的威胁。

file

1. 识别可执行文件： 当你收到一个自称是文档或图片的附件，但

   file

   命令却显示它是“ELF 64-bit LSB executable”或者“MS Windows executable”时，这无疑是一个巨大的红旗。恶意软件经常伪装成无害的文件来诱导用户运行。特别是Linux系统下，一个

   .sh

   脚本文件，如果

   file

   告诉你它是“ASCII text executable”，那就要特别小心了，因为它很可能就是个可执行脚本。

2. 检测压缩包内的“惊喜”： 恶意软件也喜欢藏身于压缩包中。

   file

   命令可以告诉你一个文件是“Zip archive”、“gzip compressed data”等。这本身不是问题，但如果这个压缩包来自不可信来源，或者其内容与预期不符，你就需要进一步解压并在沙箱环境中检查其内部文件类型。例如，一个压缩包里不应该出现大量的可执行文件。

3. 发现伪装文件： 攻击者常常通过更改文件扩展名来欺骗用户和一些简单防御系统。例如，一个恶意程序可能被命名为

   document.jpg

   。但当你运行

   file document.jpg

   时，如果它告诉你这是“ELF 64-bit LSB executable”而不是“JPEG image data”，那么恭喜你，你可能已经识破了一个潜在的威胁。

   file -i

   选项在这里尤其有用，因为它能直接给出MIME类型，这对于识别那些通过修改扩展名来混淆视听的文件非常有效。

4. 结合

   strings

   寻找恶意特征： 对于

   file

   命令识别为二进制文件或数据的文件，如果其来源可疑，我会立即使用

   strings

   命令。我通常会寻找一些不该出现在正常文件中的字符串，比如：
   • URL地址或IP地址，特别是指向未知或恶意网站的。
   • 系统命令，如

     rm -rf /

     、

     wget

     、

     curl

     、

     nc

     （netcat）等，这些都可能是恶意操作的指示。
   • 加密相关的关键字，如

     AES

     、

     RSA

     ，可能与勒索软件或数据窃取有关。
   • 奇怪的API调用或库名，尤其是在非预期的二进制文件中。

5. 警惕“data”或“empty”文件： 如果一个文件在预期应该有特定类型（如图片或文档）的情况下，

   file

   命令却仅仅显示“data”或者“empty”，这本身就是一个危险信号。它可能意味着文件被破坏、加密，或者更糟的是，它是一个通过特殊手段隐藏内容的恶意载荷。

当然，

file

file