El objetivo de este post es saber de qué forma ejecutar o poder leer un archivo no reconocido por nuestro sistema operativo, para ello nos vamos a centrar en analizar sus cabeceras.

Este tipo de proceso es muy frecuente cuando se analizan los comportamientos de códigos maliciosos, ya que muchas veces se descargan archivos sin extensión que luego son transformados en una segunda etapa de ejecución, o directamente guardan configuraciones para personalizar una infección en una muestra.

A continuación te muestro un ejemplo de error que se produce cuando queremos abrir un archivo que no se corresponde con la estructura de su extensión:

Para desenmarcarar este tipo de técnicas lo más fácil es utilizar alguna herramienta. En el mercado tenemos herramientas como TrIDNet, Locate Opener, Smart File Advisor o Identify.

Tambien podemos utilizar algún servicio de Internet que realice un estudio de manera automática, indicando de qué archivo se trata o cuál sería la extensión más probable (como se puede advertir en la imagen inferior).

Una de las herramientas más fáciles de utilizar es TrIDNet.

Una vez bajada e instalada la aplicación, debemos también instalar sus últimas firmas, lo que nos permitirá reconocer más de 6.000 diferentes patrones en cabeceras de archivos.

Seleccionando el archivo a estudiar, y haciendo clic en la casilla de “Analizar!”, obtendremos los resultados deseados en cuestión de segundos, indicándonos en este caso la probabilidad más alta por los patrones encontrados:

Como vemos en la imagen superior, este software detectó la extensión de un archivo de ofimática como es el .DOCX.

En nuestro laboratorio forense contamos con las herramientas más actuales y potentes del mercado.

En esta ocasión, ha sido nuestro perito informático en Sevilla el encargado de llevar a cabo este trabajo de investigación con la finalidad de descubrir qué archivos se ocultan tras posibles extensiones manipuladas.