De todos los métodos actuales para ocultar algo, el más común y fácil de detectar es el renombramiento de la extensión de un archivo. Esto puede implicar ya sea renombrar el nombre completo de archivo, o únicamente la extensión del archivo, de tal manera se pueda ocultar cual programa puede accederlo. Aunque ahora se puede detectar el renombramiento de un archivo utilizando una diversidad de técnicas automáticas, se debe ser consciente de su impacto en la investigación, especialmente si no se tiene el tiempo para ejecutar estas herramientas (aunque se debe hacer esto en cualquier investigación). Si se está realizando una investigación, y se es consultado para revisar documentos de únicamente un cierto tipo, los archivos renombrados podrían tener como consecuencia el pasar por alto evidencia contenida en estos.

Firmas de Archivos

Las firmas de los archivos permiten determinar cual aplicación ha sido utilizada para crear el archivo, sin importar la extensión o el nombre del archivo. Las firmas del archivo se compara con algún aspecto único del archivo, típicamente la cabecera o parte final del archivo, contra una base de datos de firmas relacionadas hacia una extensión. Una firma en este caso significa una porción única de datos existente en cierto tipo de archivo, lo cual indica cual programa puede accederlo. Por ejemplo, un archivo de imagen GIF siempre contendrá un “GIF8” en la cabecera del archivo. Muchas herramientas pueden ser utilizadas para determinar la firma, y algunas están incorporadas en herramientas forenses.

Comando File

El comando “file” de Linux puede devolver el tipo del archivo de acuerdo a una base de datos de firmas. La base de datos utilizada por “file” es llamada “magic” y se encuentra típicamente en Linux en un directorio definido. Es factible definir también la utilización de un archivo personalizado, lo cual permite al profesional forense definir firmas o extensiones para su investigación.

Para el siguiente ejemplo se ha copiado un archivo de imagen “JPEG” (extensión JPG), hacia un archivo del mismo nombre pero con extensión “DLL”.

$ cp Rosario-Liberti-Alfa-Romeo-33s-4-1200x628.jpg Rosario-Liberti-Alfa-Romeo-33s-4-1200x628.dll
$ file Rosario-Liberti-Alfa-Romeo-33s-4-1200x628.dll

El resultado de ejecutar el comando “file” sobre el archivo de extensión DLL, no únicamente revela información sobre se trata de un archivo de imagen “JPEG”, sino también proporciona aspectos adicionales del archivo, como su resolución, densidad, tamaño, creador, etc.

Entonces el nombre de archivo o su extensión, no afecta la capacidad del comando “file” para detectar el verdadero tipo.

Fuentes:

https://linux.die.net/man/1/file
https://en.wikipedia.org/wiki/File_(command)
https://www.garykessler.net/library/file_sigs.html