是否有办法检查文件数据是否加密？

Question

我想检查文件是否加密，是否有更好的方法来检查我们是否能检测到加密。

我已经用shannon熵来检查文件熵，这样我们就可以找到文件的熵，从而得出数据要么是加密的，要么是压缩的，或者是随机的，因为如果文件的熵很高，它可以声明这三个conditions

• But，，它不能区分压缩文件和加密文件，因为高熵可以导致这些条件中的任何一个(

)。

我们如何检测该文件是否加密？

Answer 1

理论上，您无法区分随机数据、加密数据和已被最大压缩的数据之间的区别。

然而，在现实生活中，压缩和加密的数据是以文件格式编码的，其中包含头部和其他低熵区域，您可以使用这些区域来识别它们。

一个很好的实现方法是查找大量您知道的标记，然后使用经验法则：

• 在开始的时候加密了一些低熵的东西，而
• 在开始的时候有长的低熵的东西(比如jpeg)，或者结尾的低熵的东西(比如zip)，或者在=>之间(比如音频/视频)压缩的小的低熵比特。

。

此外，压缩数据的整体熵，如果用be或trigram度量的话，将不会像加密数据那样高，因为压缩从来都不是完美的。