发两个原创工具：NTFS数据流扫描专家和文件格式分析器

nokyo

2010.10.02更新：
        有网友反应华军的下载点无法下载，我刚测试了下确实有问题，解决方案如下：任意点击一个下载链接后，得到的完整URL是“http://xxxx/NtfsAds.rar.gz”，我上传上去的文件是gz格式的，华军把gz去掉了，但下载链接里面却没改正，所以无法下载，把URL最后的“.gz”去掉就可以正常下载了。

        为了方便大家下载，下面提供天空的两个下载点：
        http://www.skycn.com/soft/60937.html
        http://www.skycn.com/soft/61046.html




        大家好，小弟趁业余时间做了两个小工具出来，都是绿色免费的，可能对大家有些用途。另外，两个东西均在Windows XP、2003和Windows 7上测试通过，Vista没有环境没测试过，不过根据我以前在Vista下的编程经验，应该没有问题。
工具：NTFS数据流扫描专家 V1.0
简介：
        NTFS交换数据流是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多其他的数据流寄宿在主文件流中。

        虽然NTFS数据流在很久前就已经出现，但Windows自带的工具对它的支持却依然不够完善，比如说在资源管理器中无法看到其相关的任何信息，虽然它本身确实是真实存在的。

        由于种种特性，它非常适合被恶意程序或木马利用。恶意程序可以将自身寄宿在一些系统文件中，保证自己不会被删除，而在需要的时候可以将其释放执行。

        斯托夫NTFS数据流扫描专家是斯托夫安全实验室针对此种情况，专门推出的一款用于扫描和查杀NTFS数据流的辅助工具。使用该工具可以方便快速地扫描系统中存在的NTFS数据流，并且能够提示每个流的文件格式，支持将数据流内容导出为文件，支持一键清除等。


工具：斯托夫文件格式分析器 V1.0
简介：
        我们经常会需要知道一个文件的具体格式，比如说：别人发送给我们一个jpg文件，我们怀疑它可能并不是一个真正的图片文件，但却无法确认自己的判断。

        一般情况下，文件的扩展名可以给我们提供一定的参考信息，但并不准确，因为文件扩展名是可以被任意更改的，并且不会影响其运行。有些对计算机知识比较熟悉的高手可能会使用十六进制编辑器等工具打开软件，通过查看其内容来大体判断其格式。但这要求我们对常用的文件格式非常熟悉，而且也总有可能会判断错误。

        斯托夫文件格式分析器就是针对这种情况应运而生的，它采取特征码判断的方法，通过收集大量的文件格式特征码，在分析文件时将其与保存在数据库里的特征码进行匹配，最后按“可能性”列出匹配结果。

        事实证明，这种方法在目前对于绝大多数常见文件格式都可以准确判定，目前本软件可以检测出超过4000种的文件类型，检测结果准确率高达95%，而且数据库更新频繁，以后将会有更多的文件类型将被收录。


官方网站：www.stovesoft.com 呵呵，欢迎大家给小站带来点人气
华军下载：1, http://www.newhua.com/soft/108855.htm
              2, http://www.newhua.com/soft/108965.htm
推荐使用华军下载，因为我今天上午又升级了一下，修正了几个小BUG，重新提交后目前只有华军全部都是最新版了。
欢迎大家提出批评意见，也很想知道大家都缺少什么样的小工具，现在都不知道做什么好点了。

MagicFuzzX

严重支持原创，呼叫版主加技术值

xuye004

看看  呵呵 原创强大啊

dl123100

学习过楼主的驱动教程 支持一下

vionlee

支持原创工具

找不到新用户名

又有原创了

吴文骏

回复 6楼 找不到新用户名  的帖子


   

吴文骏

回复 7楼 吴文骏  的帖子谢谢楼主！！！！！！！！！



   

穿越星空

　　斯托夫文件格式分析器采用TRID内核及其数据库，其数据库已经很久没更新了吧？试了下，可以无限更新数据库。

nokyo

　　斯托夫文件格式分析器采用TRID内核及其数据库，其数据库已经很久没更新了吧？试了下，可以无限更新数据 ...
穿越星空 发表于 2010.9.28 21:31

nokyo

汗，刚才没有输入内容就直接不小心点了发布。
这个库还在更新，前几天还更新过，不过不是太快了，我中秋的时候用的版本能够识别4016种格式，过了几天再升级就能够识别4021种格式了，呵呵

nokyo

回复 4楼 dl123100  的帖子
呵呵，现在没怎么写驱动了，能够完成任务就足够，不再钻那个牛角尖了，技术只有能够解决问题才有意义。你写的那些工具也很强大哦，当初我还想写个的，一直没弄。

jshbkf

不错不错
需要这样的好帖子！

nokyo

回复 4楼 dl123100  的帖子
我想起来了，d123100是在XueTr的感谢名单上看到的，还被大牛特别感谢了，羡慕中

wo1234

灰狐的驱动学习笔记很有名～ ^_^  支持大牛

dl123100

回复 14楼 nokyo  的帖子


    只是碰巧遇上linxer那样特别的牛人

zsthileo

顶，支持原创！

425162926

好工具，可是识别率还是不行，对mp3文件判断不准确。mp3的文件头没那么复杂啊。
查看驱动文件显示的exe格式的百分比最高。如果判断不准是exe还是dll 还是sys等pe文件可以统一非pe文件啊。

yccar

支持原创！……

nokyo

好工具，可是识别率还是不行，对mp3文件判断不准确。mp3的文件头没那么复杂啊。
查看驱动文件显示的 ...
425162926 发表于 2010.9.29 18:11

感谢测试，我自己试了一下，对于mp3确实有些不太准确，有时候会报ATP或KOZ，MP3的可能性反而没有前两个高，不过仔细看了下类型说明，三者都是属于声音（audio）文件。
至于无法准确区分EXE、DLL、SYS，这个我也发现了，这个问题是由于三者的格式基本是完全一样的，只有细节不同。

顺便说下，这个东西不是分析文件头或PE格式之类的，而是通过收集特征码来判断的，所以可能会不太准确。比如说我查看一个文件，其开头第10个字节是0xAB，我就把它判定为xx格式的文件，这个准确度取决于数据库里搜集到的特征码的准确性，而数据库我由于库的作者没有提供接口，我也没办法修改，否则的话我还想把文件描述改成中文的呢，呵呵。

感谢你们的试用。