Содержание
Во время проведения компьютерной криминалистической экспертизы мы имеем дело с множеством различными типов файлов. Если попадаются файлы без расширений — это усложняет анализ файла. В таких ситуациях, на помощь приходит инструмент Detect It Easy. Далее покажу, как определить тип файла в Linux с помощью утилиты Detect It Easy.
Еще по теме: Лучшие форензик дистрибутивы
Для определения типа файла в Linux существует утилита File, но нельзя ее назвать идеальной. Функционал Detect It Easy гораздо богаче.
Как определить тип файла в Linux с Detect It Easy
Detect It Easy (DIE) — это кроссплатформенный инструмент для определения типа файлов. Помимо Linux, он также доступен для Windows и Mac OS.
DIE существует в трех версиях:
- DIE — базовая версия.
- DIEL — облегченная версия.
- DIEC — консольная версия.
На данный момент утилита может определить следующие типы файлов:
- Исполняемые файлы MSDOS MS-DOS.
- PE исполняемые файлы Windows.
- Исполняемые файлы ELF Linux.
- Исполняемые файлы MACH Mac OS.
- Другие бинарные файлы.
Установка Detect It Easy в Kali Linux
Установить Detect It Easy в Kali Linux довольно просто. Прежде всего, нужно установить зависимости::
1 |
sudo apt install qtbase5-dev qtscript5-dev qttools5-dev-tools git build-essential qtchooser |
Теперь клонируем Detect It Easy из репозитория GitHub:
1 |
git clone --recursive https://github.com/horsicq/DIE-engine |
Переходим в папку DIE:
1 |
cd DIE-engine |
Запускаем скрипт сборки:
1 |
bash -x build_dpkg.sh |
Это может занять некоторое время в зависимости от производительности системы.
После завершения необходимо установить пакет deb:
1 |
sudo dpkg -i release/die_*.deb |
Установка завершена. Переходим к использованию Detect It Easy и попробуем узнать тип файла без расширения.
Использование Detect It Easy в Kali Linux
Для теста определим тип файла «Video», у которого отсутствует расширение файла.
Можно предположить, что это видеофайл. Давайте посмотрим, что скажет Detect It Easy.
Можно использовать как терминал, так и GUI (графический интерфейс). Для начала попробуем определить типа файла используя консоль. Чтобы узнать тип файла в Linux введем команду:
1 |
diec Video |
Поскольку мы уже находимся в каталоге Desktop, нет необходимости указывать путь к файлу, мы просто используем имя. Но в случае, если наш рабочий каталог отличается от местоположения файла, нужно использовать полный путь к файлу.
Из приведенного выше снимка экрана мы можем легко понять, что файл «Video» не является видеофайлом, это исполняемый exe-файл Windows.
Теперь попробуем узнать тип файла с помощью GUI, для запуска которого введем команду:
1 |
die |
Откроется графический интерфейс Detect It Easy:
Выбираем нужный файл нажав на три точки и нажимаем «Scan»:
После анализа, утилита отобразит много полезной и важной информации.
Заключение
Detect It Easy больше подходит для анализа исполняемых файлов, но есть также поддержка других бинарных файлов.
Вот как можно быстро получить информацию о файле в Kali (или любом другом дистрибутиве Linux), с помощью Detect It Easy.
Еще по теме: Как создать дамп оперативной памяти в Linux