如何在Linux中查看文件类型？使用file命令判断文件格式和类型-LINUX-PHP中文网

file命令通过魔术数字和模式匹配识别文件类型，不依赖扩展名，结合-L、-z等选项可深入分析，是Linux下快速判断文件类型的首选工具。

如何在linux中查看文件类型？使用file命令判断文件格式和类型

在Linux中，想要快速而准确地识别一个文件的类型，

file

登录后复制

命令无疑是你的首选利器。它能透过文件表面，探究其内在本质，告诉你这究竟是一个文本文件、可执行程序、压缩包，还是其他什么特殊的东西，而这一切都不需要你真的去打开它。

解决方案

要查看Linux中文件的类型，最直接、最有效的方法就是使用

file

登录后复制

命令。它的基本用法非常简单，只需在命令后跟上你想检查的文件名即可。

比如，你可能有一个名为

my_script.sh

登录后复制

的文件，或者一个下载下来的

document.pdf

登录后复制

。你只需输入：

file my_script.sh
file document.pdf
file /bin/bash

登录后复制

通常，

file

登录后复制

命令会给你一个相当详细的描述，告诉你文件的分类，比如“ASCII text”、“ELF 64-bit LSB executable”、“PDF document”等等。这对于我们快速了解文件内容、决定如何处理它至关重要。

我个人在使用

file

登录后复制

命令时，特别喜欢它的一些选项，它们能让输出更符合我的需求：

-s
登录后复制
(special files): 当你想要查看块设备或字符设备文件时，这个选项就很有用了。比如，
```
file -s /dev/sda
```
登录后复制
可能会告诉你这是一个“block special”文件。
-L
登录后复制
(dereference symlinks): 默认情况下，
```
file
```
登录后复制
命令会告诉你一个符号链接（软链接）本身是个链接。但如果你想知道它实际指向的那个文件的类型，就得加上
```
-L
```
登录后复制
。这就像你问“这封信是什么？”和“这封信里写了什么？”的区别。
-z
登录后复制
(compressed files): 如果文件是压缩的，
```
file
```
登录后复制
通常能识别出来。但有时候，它会先解压一部分再判断内部内容。这个选项能让它更深入地查看压缩文件内部。
-i
登录后复制
(mime type): 有时候，我们更关心文件的MIME类型，这在Web服务或邮件附件处理中非常常见。
```
file -i my_image.jpg
```
登录后复制
可能会输出
```
image/jpeg; charset=binary
```
登录后复制
。

举个例子，假设我有一个名为

archive.tar.gz

登录后复制

的文件：

$ file archive.tar.gz
archive.tar.gz: gzip compressed data, last modified: Tue Nov 28 10:30:00 2023, from Unix, original size 123456789

$ file -i archive.tar.gz
archive.tar.gz: application/gzip; charset=binary

登录后复制

你看，同一个文件，不同的选项就能给我不同侧重的有用信息。这命令简直是Linux世界里的“文件侦探”。

file

登录后复制

命令是如何识别文件类型的？它背后的原理是什么？

说实话，

file

登录后复制

命令识别文件类型的方式远比我们想象的要巧妙，它可不是简单地看文件扩展名（虽然有时也会作为辅助）。它主要依赖于所谓的“魔术数字”（Magic Numbers）和文件内容的模式匹配。

简单来说，许多文件格式在文件的开头部分都有一串独特的字节序列，就像是它们的“身份证号码”或者“基因序列”，这些就是“魔术数字”。比如，PDF文件通常以

%PDF-

登录后复制

开头，JPEG文件以

FF D8 FF E0

登录后复制

这样的十六进制序列开始，而ELF（Executable and Linkable Format）可执行文件则以

7F 45 4C 46

登录后复制

（即ASCII码的

DEL E L F

登录后复制

）开头。

file

登录后复制

命令就是通过读取文件的这部分内容，然后将其与一个庞大的数据库进行比对。

这个数据库通常存储在

/etc/magic

登录后复制

或

/usr/share/file/magic

登录后复制

这样的路径下，里面包含了成千上万种文件类型的魔术数字和对应的描述规则。当

file

登录后复制

命令检查一个文件时，它会按顺序尝试匹配这些规则。如果找到匹配项，它就会输出对应的文件类型描述。

当然，如果文件没有明显的魔术数字，或者魔术数字被篡改了，

file

登录后复制

命令还会退而求其次，尝试通过检查文件内容的特定模式来推断。例如，如果它发现文件内容都是可打印的ASCII字符，并且没有明显的二进制特征，它可能会判断为“ASCII text”。对于脚本文件，它可能会寻找

#!

登录后复制

（shebang）行来判断是Bash脚本、Python脚本还是其他。

但这里有个小小的“缺点”或者说局限性：如果一个文件完全是空的，或者内容非常模糊，

file

登录后复制

命令可能就无法给出特别准确的判断，甚至可能直接说“empty”或者“data”。毕竟，巧妇难为无米之炊嘛。

除了

file

登录后复制

命令，还有哪些方法可以辅助判断文件类型，以及它们的应用场景？

虽然

file

登录后复制

命令很强大，但在实际工作中，我们往往会结合其他一些工具和经验来更全面地判断文件类型，尤其是在处理一些模糊不清或者需要更多上下文信息的文件时。

```
ls -l
```
登录后复制
命令： 这可能是最常用的辅助手段了。
```
ls -l
```
登录后复制
不仅能列出文件权限、所有者、大小和修改时间，最重要的是，它会用第一个字符告诉你文件是目录（
```
d
```
登录后复制
）、普通文件（
```
-
```
登录后复制
）、符号链接（
```
l
```
登录后复制
）、块设备（
```
b
```
登录后复制
）还是字符设备（
```
c
```
登录后复制
）等。这虽然不是判断具体格式，但能让你快速了解文件的基本性质。比如，看到
```
l
```
登录后复制
就知道是个快捷方式，后续可以考虑
```
file -L
```
登录后复制
。

文心大模型
百度飞桨-文心大模型 ERNIE 3.0 文本理解与创作

56

查看详情
查看文件扩展名（后缀）： 尽管
```
file
```
登录后复制
命令不依赖它，但在人类世界里，文件扩展名依然是判断文件类型最直观的方式。
```
document.pdf
```
登录后复制
、
```
image.png
```
登录后复制
、
```
archive.zip
```
登录后复制
，这些后缀通常能给我们一个初步的预期。当然，这并不是绝对可靠的，因为扩展名可以随意更改，恶意文件经常会伪装。但作为第一印象，它还是有价值的。
```
head
```
登录后复制
或
tail
登录后复制
命令：当
```
file
```
登录后复制
命令给出的信息不够详细，或者你想快速验证某个文本文件的内容时，
```
head -n 10 <filename>
```
登录后复制
（查看文件开头10行）或
```
tail -n 10 <filename>
```
登录后复制
（查看文件末尾10行）就派上用场了。通过查看文件的部分内容，你可能会发现XML标签、JSON结构、SQL语句、日志信息等，从而推断出文件类型。
```
strings
```
登录后复制
命令： 对于那些
```
file
```
登录后复制
命令判断为“data”或者“binary”的文件，
```
strings
```
登录后复制
命令能从二进制文件中提取出可打印的字符串。这在分析可执行文件、固件或者一些未知二进制文件时非常有用。你可能会从中发现版权信息、函数名、配置路径、错误消息甚至是一些隐藏的URL或命令字符串，这些都能帮助你猜测文件的用途。
```
stat
```
登录后复制
命令： 这个命令主要用于查看文件的元数据，比如文件的创建时间、修改时间、访问时间、大小、inode号等。虽然不能直接告诉你文件类型，但这些信息在某些场景下，比如追踪文件来源、判断文件是否被篡改时，能提供重要的上下文线索。例如，一个声称是今天创建的文件，
```
stat
```
登录后复制
却显示它在上个月就存在了，这就很可疑。
```
mimetype
```
登录后复制
命令 (如果系统有安装)： 有些系统会提供
```
mimetype
```
登录后复制
命令，它专门用于输出文件的MIME类型，与
```
file -i
```
登录后复制
类似，但在某些脚本中可能更方便使用。

结合这些工具，我们可以构建一个更全面的文件分析流程。比如，先用

ls -l

登录后复制

看基本属性，再用

file

登录后复制

判断类型，如果还是不确定，就用

head

登录后复制

或

strings

登录后复制

深入探究内容。

在处理未知或可疑文件时，如何结合

file

登录后复制

命令进行安全分析和初步判断？

在安全领域，识别文件类型是至关重要的第一步。一个未知或可疑的文件，其类型信息往往能为我们提供重要的线索，帮助我们判断其潜在的威胁。

file

登录后复制

命令在这里扮演着一个“预警员”的角色。

识别可执行文件： 当你收到一个自称是文档或图片的附件，但
```
file
```
登录后复制
命令却显示它是“ELF 64-bit LSB executable”或者“MS Windows executable”时，这无疑是一个巨大的红旗。恶意软件经常伪装成无害的文件来诱导用户运行。特别是Linux系统下，一个
```
.sh
```
登录后复制
脚本文件，如果
```
file
```
登录后复制
告诉你它是“ASCII text executable”，那就要特别小心了，因为它很可能就是个可执行脚本。
检测压缩包内的“惊喜”： 恶意软件也喜欢藏身于压缩包中。
```
file
```
登录后复制
命令可以告诉你一个文件是“Zip archive”、“gzip compressed data”等。这本身不是问题，但如果这个压缩包来自不可信来源，或者其内容与预期不符，你就需要进一步解压并在沙箱环境中检查其内部文件类型。例如，一个压缩包里不应该出现大量的可执行文件。
发现伪装文件： 攻击者常常通过更改文件扩展名来欺骗用户和一些简单防御系统。例如，一个恶意程序可能被命名为
```
document.jpg
```
登录后复制
。但当你运行
```
file document.jpg
```
登录后复制
时，如果它告诉你这是“ELF 64-bit LSB executable”而不是“JPEG image data”，那么恭喜你，你可能已经识破了一个潜在的威胁。
```
file -i
```
登录后复制
选项在这里尤其有用，因为它能直接给出MIME类型，这对于识别那些通过修改扩展名来混淆视听的文件非常有效。
结合
```
strings
```
登录后复制
寻找恶意特征： 对于
```
file
```
登录后复制
命令识别为二进制文件或数据的文件，如果其来源可疑，我会立即使用
```
strings
```
登录后复制
命令。我通常会寻找一些不该出现在正常文件中的字符串，比如：
- URL地址或IP地址，特别是指向未知或恶意网站的。
- 系统命令，如
```
rm -rf /
```
  登录后复制
  、
```
wget
```
  登录后复制
  、
```
curl
```
  登录后复制
  、
```
nc
```
  登录后复制
  （netcat）等，这些都可能是恶意操作的指示。
- 加密相关的关键字，如
```
AES
```
  登录后复制
  、
```
RSA
```
  登录后复制
  ，可能与勒索软件或数据窃取有关。
- 奇怪的API调用或库名，尤其是在非预期的二进制文件中。
警惕“data”或“empty”文件： 如果一个文件在预期应该有特定类型（如图片或文档）的情况下，
```
file
```
登录后复制
命令却仅仅显示“data”或者“empty”，这本身就是一个危险信号。它可能意味着文件被破坏、加密，或者更糟的是，它是一个通过特殊手段隐藏内容的恶意载荷。