Existe um formato de arquivo equivalente ao Wireshark?

Bem, arquivos são realmente identificáveis por 'números mágicos' ou seqüências de cabeçalhos de arquivos específicos. No unix, existe uma ferramenta interna chamada file. Como alternativa, existe uma ferramenta chamada trid que faz a mesma coisa.

Há um artigo sobre o wiki forense que lista um bom número de outras ferramentas que você pode usar, se elas falharem .

Não, mas parece um excelente projeto de código aberto para começar.

O problema é que o wireshark é capaz de fazer isso porque os protocolos não mudam muito (eles não podem; os aplicativos não seriam capazes de acompanhar e a interoperabilidade não aconteceria). Isso não é verdade para formatos de arquivo, no entanto, que têm a tendência irritante de mudar com mais frequência.

Você deve verificar o comando 'file' (se ainda não o fez) que identifica os arquivos muito bem. Então você poderia puxar em alguns programas como identificar a partir do pacote ImageMagick que poderia ajudá-lo a quebrar arquivos.

Mas você logo perceberá que cada biblioteca deve ser puxada porque os arquivos são enormes e complexos e não são simples de serem divididos (diferentemente dos pacotes). Essa é a razão pela qual os aplicativos são tão grandes em primeiro lugar! Para manipular esses arquivos desagradáveis!

No projeto Wireshark, pensou-se em criar um "fileshark" que seria o tipo de programa que você está falando; alguns dissectores de carga útil, como os dissectores JPEG e GIF, no Wireshark são dissectores em formato de arquivo.

No entanto, existem alguns problemas que ainda não foram resolvidos; uma tentativa inicial de fileshark na base de código do Wireshark foi abandonada.