Mi è accaduto in passato di aver a che fare con file dall’estensione esotica, sconosciuta, che non si associa a nessuna applicazione. Altre volte mi sono invece imbattuto in file senza estensione: ancora più difficile.
In questo articolo illustro un paio di strumenti e una tecnica che possono aiutarvi a scoprire il tipo di file, con e senza estensione, o file camuffati, tipo immagini con estensione .dll o .exe.
Se avete un file dall’estensione sconosciuta e non sapete come aprirlo consiglio di usare http://filext.com/. E’ un sito che contiene un database ricchissimo di estensioni.
Inserendo l’estensione che cerchiamo nel campo di ricerca in alto a sinistra, otteniamo una serie di informazioni che possono aiutarci a identificare il file. Le informazioni sono abbastanza esaustive e vanno a spiegare checos’è ilfile, il tipo MIME, le eventuali applicazioni in grado di leggerlo.
Questo per quanto riguarda i file con estensione sconosciuta. Potrebbero esserci altri casi però. File senza estensione per esempio. Oppure file alla quale l’estensione è stata deliberatamente modificata.
Una tecnica artigianale per scoprire di che tipo di file si tratta un file senza estensione è quella di aprirlo con un editor esadecimale (come WinHex, ma anche PsPad permette di aprire file in esadecimale) e identificarne la firma. Cos’è la firma di un file? E’ la sequenza dei primi caratteri.
Per esempio, se ad un eseguibile (.exe) viene modificata l’estensione in .jpg, cercando di travestire il file in un’immagine, la firma rimane quella di un file eseguibile, ovvero 4D 5A, i primi caratteri che compaiono in tutti i file eseguibili. Unjpg avrebbe dovuto avere come firma FF D8 FF.
Per ottenere le firme dei file si può usare ancora http://filext.com/: tra le informazioni sui file c’è anche la firma (Identifying Characters).
Questo principio è stato ampliato da Marco Pontello che ha realizzato un software in grado di riconoscere i file analizzandoli e cercando, oltre alla firma, altre caratteristiche comuni a quel tipo di file. I fileexe hanno particolarità che non si trovano nei file mp3 o doc, e così via.
Il programma creato da Pontello è TrID file identifier ed è un programma da linea di comando. Esiste anche una versione con interfaccia grafica Tridnet. Infine c’è anche una versione online, utilizzabile dal browser:TrID Online.
Analizzare i file con TrID è semplicissimo: si passa al programma il file da analizzare e TrID mostra una (o una serie di) possibilità, il cui valore è dato da una percentuale. Più la percentuale è alta più l’identificazione è precisa. Se prendete un’immaginepng e la rinominate .exe TrID non ci casca, mostrerà comunque il reale tipo di file ovvero immagine png.
Hi, many interesting informations about file formats and file extensions are at http://www.file-extensions.org.