LanguageCómo identificar archivos desconocidos
Casi todos los usuarios de computadoras eventualmente encuentran algún archivo extraño en sus discos duros y se preguntan qué demonios es, porque no está asociado con ningún software actual y ¿cómo llegó allí en primer lugar?
Estos archivos pueden ser restos de programas desinstalados hace mucho tiempo, documentos enviados por amigos y hechos en un programa del que nunca siquiera has oído hablar, o en el peor de los casos, pueden ser virus disfrazados como archivos "desconocidos" o últimamente archivos cifrados por algún ransomware, por ejemplo CryptoWall o TeslaCrypt.
Este artículo cubre tres formas útiles en que los usuarios pueden determinar el origen y propósito de algunos de sus archivos desconocidos.
Tres métodos de análisis de archivos desconocidos
N.º 1 - Consultar la base de datos de File-Extensions.org basada en la extensión del archivo
La mejor manera de identificar archivos sería, por supuesto, simplemente mirar su extensión y consultar nuestra base de datos File-Extensions.org para ella.
Esto debería darte suficiente información para descubrir qué tipo de archivo es y qué programa necesitas para trabajar con él. Por supuesto, puedes encontrar otros sitios web similares, pero el nuestro es probablemente el más grande y extenso, cubriendo más de 30.000 tipos de archivos.
En la gran mayoría de los casos esto será suficiente, pero a veces el sufijo original del archivo puede haber sido renombrado o faltar completamente y necesitarás la ayuda de utilidades especiales de análisis de archivos para identificar un archivo desconocido determinado.
N.º 2 - Usar TrID - File Identifier
TrID es un programa excelente para un análisis rápido de tus archivos. Es bastante sencillo de usar, solo descárgalo junto con las definiciones (cópialas a la carpeta del programa) y ejecútalo vía línea de comandos (cmd.exe) con la sintaxis adecuada que ejecuta el análisis de tu archivo e intentará determinar su contenido.
El autor del programa, Marco Pontello, actualiza la base de datos regularmente, por lo que cubre un gran número (6401 en este momento) de varios tipos de archivos y debería contener la mayoría de los tipos de archivos comúnmente usados. Puedes descargarlo gratis, solo no olvides descargar también las definiciones (.trd file).
Para demostrar cómo funciona, hemos renombrado un documento aleatorio de Microsoft Word (.doc) y eliminado la extensión, por lo que el nombre resultante del archivo fue simplemente "unknown" y lo analizamos con TrID. Puedes ver los resultados en la captura de pantalla a continuación.
Bastante acertado, considerando que era un documento de Word con una tabla insertada.
También puedes usar la versión en línea de TrID directamente desde tu navegador web sin necesidad de instalar nada. Esto puede ser útil cuando estás en otra plataforma que no sea Windows, para que no tengas que complicarte con nada.
Esta también es una buena manera de verificar si un archivo es realmente lo que parece ser, especialmente si sospechas de su origen. Es especialmente útil para desenmascarar archivos adjuntos peligrosos en correos electrónicos con extensiones renombradas en un intento de engañar a los usuarios para que los abran.
Sin embargo, si TrID no resuelve el misterio sobre el tipo de archivo desconocido, hay una última opción que puedes intentar para identificar el archivo.
N.º 3 - Usar un visor hexadecimal para analizar tus archivos
Puedes usar cualquiera de los visores hexadecimales disponibles para obtener la información que necesitas, pero si buscas una mejor herramienta para el propósito de análisis de archivos, recomendamos FileAlyzer.
FileAlyzer es mucho más que un simple visor hexadecimal. Permite un análisis básico de archivos y muestra todo tipo de propiedades del contenido, incluyendo el volcado hexadecimal.
El programa también puede interpretar la estructura del contenido y reconocer qué tipo de archivo es (texto, gráficos, multimedia, HTML, XML, PE y más). Una vez más, es una descarga gratuita, por lo que definitivamente vale la pena probarlo.
Una de las características más importantes para identificar tipos de archivos desconocidos es el código HEX que es único para cada formato de archivo.
Lo primero que deberías intentar es copiar el primer bloque en la tabla HEX y buscarlo en Google. Muchos sitios ofrecen bases de datos extensas con códigos HEX, por lo que la búsqueda en Google generalmente arroja resultados útiles.
Por supuesto, puedes consultar manualmente bases de datos HEX en sitios web como, por ejemplo:
Wikipedia Tabla de firmas de archivos
La base de datos de File-Extensions.org también tiene información de códigos HEX, pero solo para los tipos de archivos más comunes.
Solo un ejemplo para todos. En nuestra captura de pantalla a continuación, puedes ver el bloque de código HEX inicial FF D8 FF E0, típico para imágenes JPEG, aunque el archivo que abrimos con FileAlyzer era un .dat y no un archivo .jpg.
Otra cosa interesante sobre el análisis de archivos es que FileAlyzer también muestra pestañas adicionales (Bitmap, Image, EXIF, etc.) relacionadas con formatos gráficos. Esto solo confirma que nuestro archivo de muestra era en realidad una imagen JPEG común con la extensión renombrada de jpg a dat.
Por supuesto, puedes usar cualquier visor HEX que desees, pero FileAlyzer tiene un potencial mucho mayor para ayudarte a identificar tus archivos desconocidos.
Conclusión
Como puedes ver, las tres formas de identificar archivos desconocidos son viables, pero cada una puede ser útil en un escenario algo diferente y proporciona otro conjunto de pistas para identificar con éxito tipos de archivos desconocidos.
A veces solo tendrás suerte parcial y tendrás que resolver el rompecabezas pieza por pieza hasta que finalmente descubras qué tipo de archivo es tu archivo misterioso.