Cuando se está buscando por algún tipo de archivo en particular durante un análisis forenses, existe la probabilidad del nombre del archivo haya sido cambiado o la extensión sea errónea. Para tratar de solucionar esto es factible utilizar el comando “file”. El comando “file” evalúa cada uno de los argumentos definido para intentar clasificarlos. Se realizan tres conjuntos de pruebas; pruebas del sistema de archivos, pruebas “mágicas” y pruebas de lenguaje. La primera prueba exitosa causará la impresión del tipo de archivo.

Para la siguiente demostración se utilizará la imagen forense obtenida desde un disco flexible, la cual ha sido previamente montada.

Se ejecuta el comando “file” contra uno de los archivos para conocer su contenido.

$ file Docs/Law.doc

Si existe un gran número de archivos sin extensiones o las extensiones han sido cambiadas, se puede ejecutar el comando “file” sobre todos los archivos residentes en el dispositivo de almacenamiento (o directorio). Se debe recordar utilizar el comando “-exec” con sha1sum.

$ find . -type f -exec file {} \; > /tmp/listatipo.txt

Luego el comando “grep” puede ser utilizado para buscar una “cadena” dentro del archivo conteniendo los resultados.

$ grep image /tmp/listatipo.txt

De los resultados se puede resaltar la extensión inadecuada para el archivo de nombre “ouchy.dat”, pero aún así es identificado como una imagen JPEG. También anotar, algunas imágenes no se muestran en los resultados del comando “grep”, pues sus descripciones no contienen la palabra “image”. Existen además dos imágenes de mapas de bit Windows con extensiones “.jpg”, las cuales no se muestran en el listado de “grep”. Para solucionar esto se podría crear un archivo “mágico” o “etiquetar” el archivo original. Se etiqueta el archivo mágico original, editándolo para contener el identificador utilizado luego con el comando grep.

Fuentes:

http://linux.die.net/man/1/file
http://linux.die.net/man/1/grep
http://linux.die.net/man/1/find
http://linuxleo.com/