Mientras trabajábamos en análisis forense digital, nos enfrentamos a diferentes tipos de archivos. De nuestra experiencia personal podemos decir que no es fácil. Existen numerosos tipos de archivos. Cuando obtenemos un archivo de dispositivos sospechosos sin extensión de archivo entonces es muy difícil hacerse una idea del tipo de archivo. Hay algunas utilidades en Linux como expediente puede hacer el trabajo, pero puede que no sea perfecto y con menos información.
En esta guía detallada hablaremos sobre «Solo reconoce«alias»LOS«. Detect It Easy o DIE es multiplataforma Programa de reconocimiento de tipo de archivo. Aparte de Linux (leer Kali Linux en nuestro caso) también está disponible para Windows y Mac OS.
LOS existe en tres versiones. Versión básica (“DIE”), versión lite (“DIEL”) y versión terminal (“DIEC”). Los tres utilizan las mismas firmas, que se encuentran en la carpeta «db». Cuando abra esta carpeta, se encontrarán subcarpetas anidadas («Binary», «PE» y otras). Los nombres de las subcarpetas corresponden a los tipos de archivos. El DIE primero determina el tipo de archivo y luego carga todas las firmas una tras otra que están en la carpeta correspondiente. Actualmente el programa define los siguientes tipos:
- Archivos ejecutables MSDOS MS-DOS.
- Archivos PE ejecutables Windows.
- Archivos ELF ejecutables Linux.
- Ejecutables MACH Mac OS.
- Binario todos los demás archivos.
La instalación de «Detect It Easy» en Kali Linux también es muy fácil. Primero, necesitamos instalar algunas dependencias para hacer esto con el siguiente comando:
Las dependencias se instalarán en breve como podemos ver en la siguiente captura de pantalla:
Ahora necesitamos descargar «Detect It Easy» de GitHub usando el siguiente comando:
Esto puede llevar algún tiempo dependiendo de la velocidad de Internet y el rendimiento del sistema. Como podemos ver en la siguiente captura de pantalla:
Ahora tenemos que navegar a nuestro directorio descargado / clonado recientemente simplemente usando el siguiente comando:
Ahora necesitamos ejecutar el script de compilación con el siguiente comando:
Podemos ver que el script de compilación se está ejecutando en la siguiente captura de pantalla:
Esto puede llevar algún tiempo dependiendo del rendimiento del sistema. Necesitamos una pausa para el café, déjelo terminar.
Una vez hecho esto, necesitamos instalar el paquete deb en nuestro sistema Kali Linux. Para hacer esto, necesitamos ejecutar el siguiente comando:
En la captura de pantalla a continuación, podemos ver que el proceso de instalación está completo. No lleva más tiempo que crear un guión.
Nuestra instalación ya está completa. Ahora pasemos a usar «Detect It Easy» en nuestro sistema e intentemos identificar algunos tipos de archivos.
Primero, necesitamos algunos archivos, especialmente no archivos con extensiones, que nos ayudarán a conocer los tipos de archivos. De lo contrario, sabemos que .exe es una aplicación de Windows y .py es un programa de Python. Aquí colocamos un archivo llamado «Video» en nuestro escritorio que no tenía extensión de archivo.
Algunos de nosotros podemos asumir que es un archivo de video. Veamos qué reconoce «Detect It Easy».
Podemos usar tanto la línea de comandos como la interfaz gráfica de usuario, no importa si queremos que nuestro trabajo esté terminado. Usaremos el siguiente comando para conocer el tipo de archivo del archivo llamado «Video» en nuestro escritorio.
Como ya estamos en el directorio del escritorio, no necesitamos establecer nuestra ruta de archivo, solo usamos el nombre. Sin embargo, si nuestro directorio de trabajo es diferente de la ubicación del archivo, necesitamos usar la ruta del archivo. Por cierto, en la siguiente captura de pantalla podemos ver el resultado la C Comando utilizado para la utilidad de línea de comando DIE.
De la captura de pantalla anterior, podemos entender fácilmente que este ‘video’ no es un archivo de video sino un archivo de instalación de Microsoft (archivo exe para Windows).
Por otro lado, podemos usar la versión GUI de «Detect It Easy» simplemente usando el siguiente comando en nuestro terminal:
Ahora el GRAMOgráfico User ILa interfaz de «Detect It Easy» se abre en nuestro frente, como podemos ver en la siguiente captura de pantalla:
LA interfaz gráfica |
Aquí podemos seleccionar un archivo de nuestra computadora y seleccionar «Escanear» para escanearlo.
Es muy rápido y fácil de usar. Podemos ver cosas diferentes aquí. MIME, hash, cadenas, etc. para un análisis detallado.
Nota: Solo reconoce se crea principalmente para analizar archivos ejecutables, por lo que sus funciones están más relacionadas con archivos de programa, p. ej. B. sobre la determinación de la arquitectura. Pero también hay soporte para otros binarios.
Así es como instalamos «Solo reconoce«en nuestro sistema y conoce todo tipo de Tipos de datos (especialmente archivos de programa) con nuestro Kali Linux Sistema.
¿Te encantan nuestros artículos? Asegúrate de eso Síguenos A Gorjeo y GitHub publicamos actualizaciones de artículos allí. A unirse a nosotros KaliLinuxIn Familia ven a nosotros Grupo de telegramas. Estamos tratando de construir una comunidad para Linux y ciberseguridad. Siempre estamos felices de ayudar a todos en el como sección. Como sabemos, nuestra sección de comentarios siempre está abierta a todos. Leemos cada comentario y siempre respondemos.