TrID

Описание TrID

TrID — это утилита, предназначенная для идентификации типов файлов по их бинарным сигнатурам. TrID имеет свой набор сигнатур (правил) для распознавания типов файлов, а также может быть обучен распознавать новые форматы быстрым и автоматическим способом.

TrID имеет множество применений: определение того, какой файл был отправлен вам по электронной почте, помощь в криминалистической IT экспертизе, поддержка в восстановлении файлов и так далее.

TrID использует базу данных определений (сигнатур), которые описывают повторяющиеся шаблоны для поддерживаемых типов файлов. Поскольку эта база данных очень часто обновляется, она доступен как отдельный пакет. Просто скачайте и TrID архив базы данных и распакуйте эти два файла в одну папку.

База определений постоянно расширяется; чем больше их доступно, тем точнее может быть анализ неизвестного файла.

Если у вас есть специальные форматы файлов, которые используете только вы, вы также можете добавить их в свою локальную базу данных, что упростит их идентификацию.

Текущая библиотека определений насчитывает до 14160 типов файлов и быстро растёт.

Домашняя страница: http://mark0.net/soft-trid-e.html

Автор: Marco Pontello

Лицензия: бесплатная для некоммерческого, личного, исследовательского и образовательного использования

Справка по TrID

Использование:

TrID <[путь]файл(ы)...> [-ae|-ce] [-d:file] [-ns] [-n:nn] [-@] [-v] [-w] [-?]

Где:

 <файл(ы)>        Это файлы для идентификации/анализа
       -ae        Добавить предполагаемое расширение к имени файла
       -ce        Изменить расширение имени файла
       -d:файл    Использовать заданный пакет определений
       -ns        Отключить проверку уникальных строк
       -n:nn      Количество соответствий для показа (по умолчанию: 5)
       -@         Прочитать список файлов из стандартного ввода
       -v         Вербальный режим — показать имя определений, автора, и т.д.
       -w         Ожидать нажатия перед выходом
       -?         Справка

Руководство по TrID

Страница man отсутствует.

Примеры запуска TrID

Проверить файл без расширения с именем 1:

trid 1

TrID/32 - File Identifier v2.24 - (C) 2003-16 By M.Pontello
Definitions found:  6985
Analyzing...

Collecting data from file: 1
100.0% (.PNG) Portable Network Graphics (16000/1)

TrID прост в использовании. Просто запустите TrID и укажите файл, который нужно проанализировать. Файл будет прочитан и сравнён с определениями в базе данных. Результаты представлены в порядке наибольшей вероятности.

trid c:\test\doc\lasik_info.doc

 TrID/32 - File Identifier v2.24 - (C) 2003-16 By M.Pontello          

 Collecting data from file: c:\test\doc\lasik_info.doc
 Definitions found: 5702
 Analyzing...

  70.7% (.DOC) Microsoft Word document (58000/1/5)
  29.3% (.) Generic OLE2 / Multistream Compound File (24000/1)

Ещё один пример:

trid c:\Download\AvBatEx.bav

 TrID/32 - File Identifier v2.24 - (C) 2003-16 By M.Pontello

 Collecting data from file: f:\Download\AvBatEx.bav
 Definitions found: 5702
 Analyzing...

  75.8% (.BAV) The Bat! Antivirus plugin (187530/5/21)
  15.2% (.EXE) Win32 Executable MS Visual C++ (generic) (37706/45/16) 
   4.3% (.EXE) Win32 Executable Generic (10527/13/4)
   3.1% (.DLL) Win32 Dynamic Link Library (generic) (7600/42/2)
   0.8% (.EXE) Generic Win/DOS Executable (2002/3)

Подстановочные знаки могут использоваться для сканирования групп файлов, целых папок и так далее. Кроме того, использование ключа -ae даст команду TrID добавить предполагаемые расширения к именам файлов. Это удобно, например, при работе с файлами, восстановленными программами для восстановления данных. Например:

trid c:\temp\* -ae

 TrID/32 - File Identifier v2.24 - (C) 2003-16 By M.Pontello          
 Definitions found:  5702
 Analyzing...

 File: c:\temp\FILE0001.CHK
  75.8% (.BAV) The Bat! Antivirus plugin (187530/5/21)

 File: c:\temp\FILE0002.CHK
  77.8% (.OGG) OGG Vorbis Audio (14014/3)

 File: c:\temp\FILE0003.CHK
  86.0% (.DOC) Microsoft Word document (49500/1/4)

 File: c:\temp\FILE0004.CHK
  42.6% (.EXE) UPX compressed Win32 Executable (30569/9/7)

  4 file(s) renamed.

На этом этапе файлы в папке c:\temp будут выглядеть так:

FILE0001.CHK.bav
FILE0002.CHK.ogg
FILE0003.CHK.doc
FILE0004.CHK.exe

Вместо предыдущей опции можно использовать -ce, которая изменит расширение файла на новое; если у файла нет расширения, будет добавлено новыъое. Например:

IAmASoundFile.dat -> IAmASoundFile.wav
IAmABitmap -> IAmABitmap.bmp

TrID может получить список файлов со стандартного ввода с помощью переключателя -@.

Таким образом, можно работать со всем деревом папок или определенным подмножеством файлов, просто используя вывод какой-либо другой команды через конвейер. Что-то вроде:

dir d:\recovered_drive /s /b | trid -ce -@
 Definitions found:  5702
 Analyzing...

 File: d:\recovered_drive\notes
 100.0% (.RTF) Rich Text Format (5000/1)

 File: d:\recovered_drive\temp\FILE0001.CHK                           
  77.8% (.OGG) OGG Vorbis Audio (14014/3)

 ...

Можно указать TrID показывать дополнительную информацию о каждом совпадении (например, тип mime, кто создал эту сигнатуру, сколько файлов было просканировано и так далее); а также можно ограничить количество отображаемых результатов.

Ключ -v активирует подробный режим, а -r:nn указывает максимальное количество совпадений, которое будет отображать TrID. По умолчанию 5 для обычного режима, 2 для подробного, 1 для многофайлового анализа.

trid "c:\t\Windows XP Startup.ogg" -v -r:2

 TrID/32 - File Identifier v2.24 - (C) 2003-16 By M.Pontello          

 Collecting data from file: c:\t\Windows XP Startup.ogg
 Definitions found: 5702
 Analyzing...

  77.8% (.OGG) OGG Vorbis audio (14014/3)
          Mime type  : audio/ogg
        Definition   : audio-ogg-vorbis.trid.xml
          Files      : 37
        Author       : Marco Pontello
          E-Mail     : marcopon@nospam@gmail.com
          Home Page  : http://mark0.net

  22.2% (.OGG) OGG stream (generic) (4000/1)
        Definition   : ogg-stream.trid.xml
          Files      : 35
        Author       : Marco Pontello
          E-Mail     : marcopon@nospam@gmail.com
          Home Page  : http://mark0.net

При запуске TrID проверит наличие пакета определений TrIDDefs.TRD в текущем каталоге. Если не найден, он будет искать в той папке, где установлен TrID. В конце концов, можно указать конкретный файл defs с помощью ключа -d:ФАЙЛ Чтобы заставить TrID ждать нажатия кнопки после отображения результатов, предусмотрен переключатель -w.

Чтобы ускорить процесс получения последних обновлённых сигнатур, можно использовать скрипт TrIDUpdate на Python. Сначала он сравнивает MD5-дайджест текущего TRD-файла и тот, который доступен в Интернете, поэтому, если файл поменялся, проверка проходит очень быстро. Например:

tridupdate.py                                                
 MD5: 1bf1b5511092e5cbcf7bbde2da7ecf21
 Checking last version online...
 MD5: 6904c61a6e5701448c52b436bda3b95a
 Downloading new defs...
 Checking defs integrity...
 OK.

tridupdate.py
 MD5: 6904c61a6e5701448c52b436bda3b95a
 Checking last version online... 
 MD5: 6904c61a6e5701448c52b436bda3b95a
 Current defs are up-to-date.

Ошибка «trid: loadlocale.c:129: _nl_intern_locale_data: Assertion `cnt < (sizeof (_nl_value_type_LC_TIME) / sizeof (_nl_value_type_LC_TIME[0]))' failed.»

Если при запуске TrID вы сталкиваетесь с ошибкой

trid: loadlocale.c:129: _nl_intern_locale_data: Assertion `cnt < (sizeof (_nl_value_type_LC_TIME) / sizeof (_nl_value_type_LC_TIME[0]))' failed.
Аварийный останов (стек памяти сброшен на диск)

То перед запуском выполните команду:

export LC_ALL=C

Затем запустите TrID снова — ошибка должна исчезнуть.

Установка TrID

Установка в Kali Linux

wget http://mark0.net/download/trid_linux_64.zip
unzip trid_linux_64.zip
wget http://mark0.net/download/triddefs.zip
unzip triddefs.zip
sudo mv trid triddefs.trd /usr/local/bin/
rm triddefs.zip trid_linux_64.zip readme.txt
sudo chmod +x /usr/local/bin/trid

Для обновления выполните следующие команды:

rm /usr/local/bin/trid /usr/local/bin/triddefs.trd
wget http://mark0.net/download/trid_linux_64.zip
unzip trid_linux_64.zip
wget http://mark0.net/download/triddefs.zip
unzip triddefs.zip
sudo mv trid triddefs.trd /usr/local/bin/
rm triddefs.zip trid_linux_64.zip readme.txt
sudo chmod +x /usr/local/bin/trid

Установка в BlackArch

Программа предустановлена в BlackArch.

sudo pacman -S trid

Если при установке вы столкнулись с ошибкой «предупреждение: не удалось разрешить "lib32-ncurses", зависимость "trid"», то смотрите статью: Ошибка «не удалось разрешить зависимость lib32 (32-битной библиотеки)» (РЕШЕНО)

Установка в Debian, Linux Mint, Ubuntu

wget http://mark0.net/download/trid_linux_64.zip
unzip trid_linux_64.zip
wget http://mark0.net/download/triddefs.zip
unzip triddefs.zip
sudo mv trid triddefs.trd /usr/local/bin/
rm triddefs.zip trid_linux_64.zip readme.txt
sudo chmod +x /usr/local/bin/trid

Установка в Windows

Перейдите на официальный сайт, скачайте архив с исполнимым файлом (mark0.net/download/trid_w32.zip) для Windows, а также архив с базой данных сигнатур (mark0.net/download/triddefs.zip).