一、目的与要求

通过实验了解文件结构，熟悉常见文件类型的文件签名特征（文件头、文件尾），掌握文件签名分析发现文件签名异常的文件。

思政目标：在分析文件签名、识别异常文件的过程中，强调诚信原则，反对任何形式的篡改、伪造或非法利用电子数据的行为。

通过学习文件结构及其签名特征，使学生认识到电子数据在信息安全和国家安全中的关键作用，提高对网络攻击、数据泄露等安全威胁的警惕性。

培养学生的信息安全防护能力，学会识别并防范利用文件签名漏洞进行的恶意活动，为维护国家安全和社会稳定贡献力量。

二、仪器、设备、耗材或软件

设备：计算机、Windows操作系统

软件：winhex软件

三、实验内容与原理

文件签名是同一类文件的共同特征信息，该特征通常出现在文件头部和尾部，也存在少量文件文件类型没有文件签名特征信息，如常见的加密容器文件。

文件签名是大多数文件类型的标识性信息，可以读取文件的头部和尾部信息，与签名数据库进行对比，从而快速识别文件的真实类型。

使用winhex打开文件，通过文件签名，查找到图片中隐藏的秘密信息。

实验要点：手工检查文件中隐查信息、图片显示完整。

四、实验步骤：

手工检查文件真实类型：

（1）对图片做哈希校验并记录校验值。

（2）使用winhex工具打开图片数据、压缩文件。找出隐藏图片。（学习通资料中提供）

（3）分析winhex中图片的数据信息，获取图片中隐藏的内容。

（4）模拟实验，还原数据隐藏过程。

思考题：

（1）是不是所有的文件都有其特定的文件签名。

（2）开展电子数据取证分析工作中，遇到新的未各文件类型，如何归纳提炼出其文件签名特征。

（3）没有文件扩展名的文件 。是否可以识别出实际文件类型。

（4）是否可能使用某些反取证方法躲避签名分析判断。