Tutoriales

Detecte fácilmente: identifique fácilmente cada tipo de archivo

Mientras trabajábamos en análisis forense digital, nos enfrentamos a diferentes tipos de archivos. De nuestra experiencia personal podemos decir que no es fácil. Existen numerosos tipos de archivos. Cuando obtenemos un archivo de dispositivos sospechosos sin extensión de archivo entonces es muy difícil hacerse una idea del tipo de archivo. Hay algunas utilidades en Linux como expediente puede hacer el trabajo, pero puede que no sea perfecto y con menos información.

En esta guía detallada hablaremos sobre «Solo reconoce«alias»LOS«. Detect It Easy o DIE es multiplataforma Programa de reconocimiento de tipo de archivo. Aparte de Linux (leer Kali Linux en nuestro caso) también está disponible para Windows y Mac OS.

LOS existe en tres versiones. Versión básica (“DIE”), versión lite (“DIEL”) y versión terminal (“DIEC”). Los tres utilizan las mismas firmas, que se encuentran en la carpeta «db». Cuando abra esta carpeta, se encontrarán subcarpetas anidadas («Binary», «PE» y otras). Los nombres de las subcarpetas corresponden a los tipos de archivos. El DIE primero determina el tipo de archivo y luego carga todas las firmas una tras otra que están en la carpeta correspondiente. Actualmente el programa define los siguientes tipos:

  1. Archivos ejecutables MSDOS MS-DOS.
  2. Archivos PE ejecutables Windows.
  3. Archivos ELF ejecutables Linux.
  4. Ejecutables MACH Mac OS.
  5. Binario todos los demás archivos.

La instalación de «Detect It Easy» en Kali Linux también es muy fácil. Primero, necesitamos instalar algunas dependencias para hacer esto con el siguiente comando:

sudo apt install qtbase5-dev qtscript5-dev qttools5-dev-tools git build-essential qtchooser

Las dependencias se instalarán en breve como podemos ver en la siguiente captura de pantalla:

Instale dependencias para una fácil detección

Ahora necesitamos descargar «Detect It Easy» de GitHub usando el siguiente comando:

git clone --recursive https://github.com/horsicq/DIE-engine

Esto puede llevar algún tiempo dependiendo de la velocidad de Internet y el rendimiento del sistema. Como podemos ver en la siguiente captura de pantalla:

Solo localícelo, clonando desde GitHub

Ahora tenemos que navegar a nuestro directorio descargado / clonado recientemente simplemente usando el siguiente comando:

cd DIE-engine

Ahora necesitamos ejecutar el script de compilación con el siguiente comando:

bash -x build_dpkg.sh

Podemos ver que el script de compilación se está ejecutando en la siguiente captura de pantalla:

Solo debes saber que se está ejecutando un script

Esto puede llevar algún tiempo dependiendo del rendimiento del sistema. Necesitamos una pausa para el café, déjelo terminar.

Una vez hecho esto, necesitamos instalar el paquete deb en nuestro sistema Kali Linux. Para hacer esto, necesitamos ejecutar el siguiente comando:

sudo dpkg -i release/die_*.deb

En la captura de pantalla a continuación, podemos ver que el proceso de instalación está completo. No lleva más tiempo que crear un guión.

la instalación en Kali Linux

Nuestra instalación ya está completa. Ahora pasemos a usar «Detect It Easy» en nuestro sistema e intentemos identificar algunos tipos de archivos.

Primero, necesitamos algunos archivos, especialmente no archivos con extensiones, que nos ayudarán a conocer los tipos de archivos. De lo contrario, sabemos que .exe es una aplicación de Windows y .py es un programa de Python. Aquí colocamos un archivo llamado «Video» en nuestro escritorio que no tenía extensión de archivo.

tipo de archivo desconocido en nuestro escritorio

Algunos de nosotros podemos asumir que es un archivo de video. Veamos qué reconoce «Detect It Easy».

Podemos usar tanto la línea de comandos como la interfaz gráfica de usuario, no importa si queremos que nuestro trabajo esté terminado. Usaremos el siguiente comando para conocer el tipo de archivo del archivo llamado «Video» en nuestro escritorio.

diec Video

Como ya estamos en el directorio del escritorio, no necesitamos establecer nuestra ruta de archivo, solo usamos el nombre. Sin embargo, si nuestro directorio de trabajo es diferente de la ubicación del archivo, necesitamos usar la ruta del archivo. Por cierto, en la siguiente captura de pantalla podemos ver el resultado la C Comando utilizado para la utilidad de línea de comando DIE.

Tipo de archivo reconocido por Detect it easy

De la captura de pantalla anterior, podemos entender fácilmente que este ‘video’ no es un archivo de video sino un archivo de instalación de Microsoft (archivo exe para Windows).

Por otro lado, podemos usar la versión GUI de «Detect It Easy» simplemente usando el siguiente comando en nuestro terminal:

die

Ahora el GRAMOgráfico User ILa interfaz de «Detect It Easy» se abre en nuestro frente, como podemos ver en la siguiente captura de pantalla:

Solo reconozca su interfaz gráfica de usuario
LA interfaz gráfica

Aquí podemos seleccionar un archivo de nuestra computadora y seleccionar «Escanear» para escanearlo.

LA GUI explicó

Es muy rápido y fácil de usar. Podemos ver cosas diferentes aquí. MIME, hash, cadenas, etc. para un análisis detallado.

Nota: Solo reconoce se crea principalmente para analizar archivos ejecutables, por lo que sus funciones están más relacionadas con archivos de programa, p. ej. B. sobre la determinación de la arquitectura. Pero también hay soporte para otros binarios.

Así es como instalamos «Solo reconoce«en nuestro sistema y conoce todo tipo de Tipos de datos (especialmente archivos de programa) con nuestro Kali Linux Sistema.

¿Te encantan nuestros artículos? Asegúrate de eso Síguenos A Gorjeo y GitHub publicamos actualizaciones de artículos allí. A unirse a nosotros KaliLinuxIn Familia ven a nosotros Grupo de telegramas. Estamos tratando de construir una comunidad para Linux y ciberseguridad. Siempre estamos felices de ayudar a todos en el como sección. Como sabemos, nuestra sección de comentarios siempre está abierta a todos. Leemos cada comentario y siempre respondemos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba