Desenmascarar la extensión de un archivo según sus cabeceras

Análisis de audios

En este artículo, nuestro perito informático en Sevilla nos explica cómo desenmascarar la extensión de un archivo que ha sido manipulada. Probablemente te haya ocurrido que en algunas ocasiones has querido abrir o ejecutar un archivo que parece ser desconocido, corrupto, o que simplemente nuestro sistema operativo no lo reconoce. que fue hecho en otro sistema operativo, que tenía una extensión modificada o directamente que no tenía ninguna.

El objetivo de este post es saber de qué forma ejecutar o poder leer un archivo no reconocido por nuestro sistema operativo, para ello nos vamos a centrar en analizar sus cabeceras.

Este tipo de proceso es muy frecuente cuando se analizan los comportamientos de códigos maliciosos, ya que muchas veces se descargan archivos sin extensión que luego son transformados en una segunda etapa de ejecución, o directamente guardan configuraciones para personalizar una infección en una muestra.

A continuación te muestro un ejemplo de error que se produce cuando queremos abrir un archivo que no se corresponde con la estructura de su extensión:

Para desenmarcarar este tipo de técnicas lo más fácil es utilizar alguna herramienta. En el mercado tenemos herramientas como TrIDNet, Locate Opener, Smart File Advisor o Identify.

Tambien podemos utilizar algún servicio de Internet que realice un estudio de manera automática, indicando de qué archivo se trata o cuál sería la extensión más probable (como se puede advertir en la imagen inferior).

Una de las herramientas más fáciles de utilizar es TrIDNet.

Una vez bajada e instalada la aplicación, debemos también instalar sus últimas firmas, lo que nos permitirá reconocer más de 6.000 diferentes patrones en cabeceras de archivos.

Seleccionando el archivo a estudiar, y haciendo clic en la casilla de “Analizar!”, obtendremos los resultados deseados en cuestión de segundos, indicándonos en este caso la probabilidad más alta por los patrones encontrados:

Como vemos en la imagen superior, este software detectó la extensión de un archivo de ofimática como es el .DOCX.

En nuestro laboratorio forense contamos con las herramientas más actuales y potentes del mercado.

En esta ocasión, ha sido nuestro perito informático en Sevilla el encargado de llevar a cabo este trabajo de investigación con la finalidad de descubrir qué archivos se ocultan tras posibles extensiones manipuladas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LLAMAR