LanguageJak identifikovat neznámé soubory
Téměř každý uživatel počítače nakonec najde na svých pevných discích nějaký podivný soubor a přemýšlí, co to sakra je, protože není spojen s žádným aktuálním softwarem a jak se tam vůbec dostal?
Také soubory mohou být pozůstatky dlouho odinstalovaných programů, dokumenty, které vám poslali přátelé a byly vytvořeny v programu, o kterém jste nikdy neslyšeli, nebo v nejhorším případě to mohou být viry maskované jako „neznámé“ soubory nebo nedávno archivy zašifrované nějakým ransomwarem, například CryptoWall nebo TeslaCrypt.
Tento článek pokrývá tři užitečné způsoby, jak uživatelé mohou určit původ a účel některých svých neznámých souborů.
Tři metody analýzy neznámých souborů
Č.1 - Zkontrolujte databázi File-Extensions.org podle přípony souboru
Nejlepším způsobem, jak identifikovat soubory, je samozřejmě podívat se na jejich příponu a zkontrolovat ji v naší databázi File-Extensions.org.
Toto by vám mělo poskytnout dostatek informací k zjištění, o jaký druh souboru se jedná a jaký program potřebujete k jeho práci. Samozřejmě můžete najít i jiné podobné weby, ale ten náš je pravděpodobně největší a nejrozsáhlejší, pokrývající přes 30 000 typů souborů.
Ve většině případů to bude stačit, ale někdy může být původní přípona souboru přejmenována nebo zcela chybět a budete potřebovat pomoc speciálních nástrojů pro analýzu souborů k identifikaci určitého neznámého souboru.
Č.2 - Použijte TrID - File Identifier
TrID je vynikající program pro rychlou analýzu vašich souborů. Je poměrně jednoduchý na použití, stačí si jej stáhnout spolu s definicemi (zkopírovat je do složky programu) a spustit jej přes příkazový řádek (cmd.exe) s příslušnou syntaxí, která provede analýzu vašeho souboru a pokusí se určit jeho obsah.
Autor programu, Marco Pontello, pravidelně aktualizuje databázi, takže pokrývá velké množství (aktuálně 6401) různých typů souborů a měla by obsahovat většinu běžně používaných typů souborů. Můžete si jej stáhnout zdarma, jen nezapomeňte stáhnout i definice (.trd soubor).
Abychom ukázali, jak to funguje, přejmenovali jsme náhodný dokument Microsoft Word (.doc) a odstranili příponu, takže výsledný název souboru byl jen „unknown“ a analyzovali jsme jej pomocí TrID. Výsledky můžete vidět na screenshotu níže.
Velmi přesné, vzhledem k tomu, že to byl Word dokument s vloženou tabulkou.
Můžete také použít online verzi TrID přímo z vašeho webového prohlížeče bez nutnosti cokoli instalovat. To může být užitečné, pokud jste na jiné platformě než Windows, takže nemusíte nic nastavovat.
Toto je také dobrý způsob, jak zkontrolovat, zda je nějaký soubor skutečně tím, za co se vydává, zejména pokud máte podezření na jeho původ. Zvláště užitečné pro odhalení nebezpečných e-mailových příloh s přejmenovanou příponou souboru, které mají uživatele oklamat k jejich otevření.
Pokud však TrID nevyřeší záhadu vašeho neznámého typu souboru, existuje ještě jedna poslední možnost, jak soubor identifikovat.
Č.3 - Použijte hex editor k analýze vašich souborů
Můžete použít jakýkoli dostupný hex editor, abyste získali potřebné informace, ale pokud hledáte lepší nástroj pro účely analýzy souborů, doporučujeme FileAlyzer.
FileAlyzer je mnohem víc než jen jednoduchý hex editor. Umožňuje základní analýzu souborů a zobrazuje různé vlastnosti obsahu, včetně hex dumpu.
Program také dokáže interpretovat strukturu obsahu a rozpoznat, o jaký typ souboru se jedná (text, grafika, média, HTML, XML, PE a další). Opět je to bezplatný download, takže rozhodně stojí za vyzkoušení.
Jednou z nejdůležitějších charakteristik pro identifikaci neznámých typů souborů je HEX kód, který je unikátní pro každý formát souboru.
První věc, kterou byste měli zkusit, je zkopírovat první bajty v HEX tabulce a jednoduše je vyhledat na Googlu. Mnoho webů nabízí rozsáhlé databáze HEX kódů, takže vyhledávání na Googlu obvykle přinese užitečné výsledky.
Samozřejmě můžete ručně kontrolovat HEX databáze na takových webových stránkách, například:
Wikipedia Tabulka podpisů souborů
Databáze File-Extensions.org také obsahuje informace o HEX kódech, ale pouze pro nejběžnější typy souborů.
Jako příklad. Na našem screenshotu níže můžete vidět začátek HEX kódu FF D8 FF E0, typický pro JPEG obrázky, i když soubor, který jsme otevřeli pomocí FileAlyzer, byl .dat a ne .jpg.
Další zajímavostí analýzy souboru je, že FileAlyzer také zobrazuje další záložky (Bitmap, Image, EXIF atd.) související s grafickými formáty. To jen potvrzuje, že náš vzorový soubor byl skutečně běžný JPEG obrázek s příponou přejmenovanou z jpg na dat.
Samozřejmě můžete použít jakýkoli hex editor, který chcete, ale FileAlyzer má mnohem větší potenciál vám pomoci s identifikací vašich neznámých souborů.
Závěr
Jak vidíte, všechny tři způsoby identifikace neznámých souborů jsou použitelné, ale každý může být užitečný v trochu jiném scénáři a poskytuje jinou sadu indicií k úspěšné identifikaci neznámých typů souborů.
Někdy budete mít jen částečné štěstí a budete muset skládat puzzle kousek po kousku, dokud nakonec nezjistíte, o jaký typ souboru se váš záhadný soubor jedná.