通过对比File Type Signatures.txt文件签名库中所定义的文件类型、扩展名、文件签名特征值，可以判断某个文件真实的类型，用于发现文件扩展名与文件真实类型不匹配的文件。例如，某人将SCAN.JPEG图片改名为CONTACTS.XLS，Winhex/X-ways Forensics能够自动依据JPEG图片文件的签名特征，把该文件的真实类型识别出来，并在Winhex的文件类型列表中显示文件类型为“jpg”，签名状态列中显示该文件“签名不匹配”。同样，对于一些没有扩展名的文件，如互联网暂存目录下的网页文件等，Winhex都可以帮助你将无扩展名文件的真实类型识别出来。

3、File Type Signatures.txt文件格式定义

File Type Signatures.txt 中的数据共分为六列，每一列数据定义如下： 第一列：文件类型。

对某种类型文件的定义，如JPEG、MS OFFICE等，长度为19 个字符。

第二列：文件扩展名

对所定义文件类型的典型扩展名。如jpg、jpeg、jpe，或doc、xls、dot等，长度可超过255个字符。

第三列：文件头签名

用于识别某些文件或某文件类型的唯一签名特征，可以是ASCII码或十六进制数值。例如0xFFD8FF，即为十六进制的FF、D8、FF。文件头签名最多支持16个字节。为了发现某种文件格式的唯一签名特征字节，可以打开多个相同类型的文件，利用Winhex /X-ways Forensics察看这些文件头部信息中相同偏移地址中包含的相同十六进制数值。

第四列：偏移量。

包含文件签名的相对偏移量。通常，文件签名从文件的第一个字节开始，偏移量为0。

第五列：文件尾签名

可选项，用于标记文件的结尾位置，可以是ASCII码或十六进制数值。文件尾签名的作用是为了确定准确的文件结尾位置，从而得到准确的文件容量。文件头签名最多支持8个字节。

第六列：文件缺省字节数

定义某类性文件的默认大小，以KB为单位。在进行特定类型文件恢复时非常有效，如一个视频文件可以是1 GB 大小，而一个图标文件往往只有1 KB。

四、修改文件签名库，添加“王者加密大师”文件签名信息

掌握了Winhex/X-ways Forensics的文件签名库格式后，我们既可根据文件库定义，对“王者加密大师”的加密格式进行分析，查找此类文件的文件签名。

一般来说，分析一种类型的文件签名至少要使用3-4个样例文件，对比每一个文件在同一位置的相同字节，来发现文件签名特征字节。下面，我们使用3个例子，分析“王者加密大师”加密文件的文件签名。

例1：

例2：

例3：

1、文件签名标志位

经对比上述3个文件，我们可发现“王者加密大师”制作的加密文件有明显的特征，即第1-8个字节固定不变，即01 00 00 00 01 00 00 00。一般来说，通过这种特征，我们可以认定这8个字节就是该类型文件的文件签名特征值。

由于文件签名从文件头开始，因此，偏移量为0。 此类文件没有文件尾签名特征值。 字节数没有固定大小。

文件类型，我们可以直接用中文名称描述，本例中，我们将其定义为“王者加密大师”。 扩展名，由于王者加密大师可以对任意类型文件加密，文件扩展名没有固定名称。但是我们需要利用Winhex/X-ways Forensics通过文件签名与扩展名类型不匹配的方法查找“王者加密大师”的加密文件，因此，我们需要给其定义一个特殊扩展名。将来可以通过过滤这种特殊类型扩展名的方法找到加密文件。因此，我们将扩展名!!1定义给“王者加密大师”。

文件类型 王者加密大师 扩展名 文件头签名 !!1 0x0100000001000000 偏移量 文件尾签名 0 字节数

2、修改Winhex/X-ways Forensics 文件签名数据库

File Type Signatures.txt 文件中预设了许多文件类型签名，用户可以自定义并添加自己判定的新的文件签名类型，最多可设置255 个数据项。

当自定义并修改File Type Signatures.txt文件签名库文件时， WinHex 会调用MS Excel来进行数据编辑，因为MS Excel支持文本文件中的TAB制表符。

执行Winhex/X-ways Forensics磁盘快照命令，选择“文件签名”按钮。

Winhex/X-ways Forensics自动调用EXCEL打开File Type Signatures.txt文件。