檔案格式鑑識與魔術數字查詢引擎

File Signature (Magic Number) Lookup 檔案魔術數字辨識工具

透過分析檔案前幾個位元組的 Magic Number(魔術數字),快速辨識真實檔案格式, 不再只依賴副檔名進行判斷。適用於數位鑑識、資安分析、格式驗證等場景。

拖曳檔案到此處

僅讀取前 64 Bytes,大型檔案也能即時分析

常見問題 (FAQ)

什麼是魔術數字 (Magic Number)?
Magic Number(魔術數字,又稱檔案簽名)是位於檔案開頭位置的固定位元組序列,用來唯一標識檔案格式。例如 JPEG 檔案的開頭永遠是 FF D8 FF,PNG 則以 89 50 4E 47 開頭。作業系統與應用程式透過這些位元組判斷如何正確解析檔案內容。
為什麼不能只看副檔名判斷檔案格式?
副檔名只是一段文字標籤,任何人都可以隨意更改。駭客常將惡意程式偽裝成 .jpg.pdf,繞過安全檢查。Magic Number 是檔案本身的二進位特徵,無法透過重新命名偽造。因此,數位鑑識與資安分析都依賴 Magic Number 而非副檔名。
如何辨識偽裝檔案?
使用本工具的「上傳檔案」功能上傳可疑檔案,系統會自動讀取其 Magic Number 並比對真實格式。如果結果顯示的格式與副檔名不符(例如副檔名為 .jpg 但 Magic Number 顯示為 ZIP),則表示該檔案已被重新命名偽裝,應謹慎處理。本工具會自動標示此類不一致情況。
ZIP 容器格式是什麼?為什麼 DOCX、APK、EPUB 都是 ZIP?
Microsoft Office 2007 之後的檔案(DOCX、XLSX、PPTX)、Android 安裝包(APK)、電子書(EPUB)等格式,本質上都是一個包含多個 XML 檔案與資源的 ZIP 壓縮容器。它們的 Magic Number 都是 50 4B 03 04(ZIP 簽名)。若要進一步區分,需分析容器內部結構,例如檢查是否存在 [Content_Types].xmlAndroidManifest.xml 等特徵檔案。
所有 Magic Number 都在檔案開頭嗎?
不一定。大多數格式的 Magic Number 位於偏移量 0(檔案開頭),但也有例外。例如 TAR 歸檔檔的 Magic Number 位於偏移量 257 位元組處(字串 ustar),ISO 9660 光碟映像的識別字串位於偏移量 32769。本工具會自動檢測不同偏移量的 Magic Number,確保辨識準確性。
本工具會上傳我的檔案到伺服器嗎?
完全不會。本工具是純前端應用,所有檔案讀取與分析都在您的瀏覽器中進行,僅讀取檔案前 64 個位元組,不會將任何資料傳輸至網路。您可以放心用於分析機密檔案。
常見的 Magic Number 有哪些?
以下是幾個最常見的檔案簽名:
FF D8 FF — JPEG 圖片
89 50 4E 47 — PNG 圖片
25 50 44 46 — PDF 文件
50 4B 03 04 — ZIP 壓縮檔
4D 5A — Windows EXE 執行檔
7F 45 4C 46 — Linux ELF 執行檔
CA FE BA BE — Java Class 類別檔

了解 Magic Number:檔案格式辨識的基石

什麼是 Magic Number?

Magic Number(魔術數字),也稱為 File Signature(檔案簽名),是檔案格式標準中定義的一組固定位元組,位於檔案特定偏移位置(通常為開頭)。這些位元組就像檔案的「DNA」,能夠唯一地標識其真實格式,不受副檔名影響。

例如,任何符合標準的 PDF 檔案,其前 4 個位元組必定是 25 50 44 46(即字串 "%PDF")。任何 PNG 圖片的開頭 8 位元組必定是 89 50 4E 47 0D 0A 1A 0A

為什麼不能只靠副檔名?

副檔名(如 .jpg、.exe、.pdf)僅是檔案系統中的一個標籤屬性,任何人都可以透過重新命名隨意更改。Windows 預設隱藏已知副檔名的設定更是讓使用者難以察覺。一個真正的惡意軟體可能被命名為 document.pdf.exe,而 Windows 只顯示 "document.pdf",誤導使用者點擊。

Magic Number 則無法偽造——除非攻擊者徹底偽造整個檔案格式,否則無法改變內部位元組的結構。因此,資訊安全領域中,Magic Number 檢查是最基礎也是最可靠的檔案驗證手段之一。

如何辨識偽裝檔案?

使用本工具分析可疑檔案時,請遵循以下步驟:

  1. 透過「上傳檔案」標籤上傳可疑檔案
  2. 觀察結果中的「檔案格式」與實際副檔名是否一致
  3. 若出現「⚠️ 副檔名與實際格式不一致」警告,應高度警惕
  4. 使用「複製 Signature」功能記錄證據,或下載 JSON / TXT 報告留存

典型的偽裝案例是將惡意執行檔偽裝成圖片或文件檔案。例如,一個名稱是 photo.jpg 的檔案,若其 Magic Number 為 4D 5A(MZ 可執行檔簽名),則實際上是 Windows 執行檔。

常見檔案格式分類

🖼️ 圖片格式

JPEG、PNG、GIF、BMP、WebP、TIFF、HEIC、AVIF、ICO、PSD、SVG

📦 壓縮與歸檔

ZIP、RAR、7z、GZip、BZip2、XZ、TAR、Zstandard

📄 文件格式

PDF、DOC/DOCX、XLS/XLSX、PPT/PPTX、RTF、ODT、EPUB

⚙️ 執行檔

Windows EXE/DLL、Linux ELF、macOS Mach-O、Java Class、APK

🎵 音訊格式

MP3、WAV、FLAC、OGG、AAC、WMA、MIDI、Opus

🎬 影片格式

MP4、AVI、MKV、WebM、MOV、FLV、WMV、3GP