X-Ways Forensics 中的文件签名库和文件类型库

有朋友问"无法调用15.2版中的File Type Categories.txt"的解决方法。由于不知道他出现问题的具体情况，所以没有办法准确解答。

图文版: X-Ways Forensics 中的文件签名库和文件类型库

关于文件签名库的更详细说明，请看本人撰写的X-Ways Forensics /winhex 高级应用:理解文件签名库和文件类型库


目前X-Ways Forensics 15.2版本下，文件签名库和文件类型库有了区别。特别是文件签名库被区分为File Type Signatures Search.txt，(“通过文件签名搜索并恢复文件”时使用)和File Type Signatures Check Only.txt，（用于“依据文件签名校验文件真实类型”）。



File Type Categories.txt是用于解释文件扩展名的所属文件类型和分类的，如doc，表示为Office办公文档，属于“文字处理类”。此文件内容原本是英文的，用户可以自行翻译。只是注意不要破坏原有的文件格式就可以了。修改后，需要重新启动才可以调用修改后的File Type Categories.txt文件。


WinHex /X-Ways Forensics 预定义了各种文件签名类型，用户可以修改已经定义好的文件类型，也可以添加自己定义的文件类型。


可以修改 "File Type Signatures Search.txt"中的定义值，也可以是其他的同样格式的文件，名称为 "File Type Signatures *.txt"。修改的文件签名库或文件类型库可以同样被正常加载，也可以防止在升级时被新版本的文件覆盖。只有文件名中包含 "search"，才可以用于文件签名的搜索，否则只能用于磁盘快照中的文件签名校验。目前版本15.2可以支持 4096 个文件签名定义 (1024 个可用于搜索)。

如果你修改了这些文件，一定要以原始文件格式保存，不要仅仅以普通文本格式保存，必须以tab分隔符的文本格式保存，否则X-Ways Forenscis会无法识别文件格式和其中的文件扩展名定义。