LanguageCome identificare file sconosciuti
Quasi ogni utente di computer trova prima o poi qualche file strano sui propri dischi rigidi e si chiede che diavolo sia, perché non è associato a nessun software attuale e come sia arrivato lì in primo luogo?
Questi file possono essere residui di programmi disinstallati da tempo, documenti inviati da amici creati con un programma di cui non avete mai sentito parlare, oppure nel peggiore dei casi, potrebbero essere virus mascherati da file "sconosciuti" o recentemente archivi crittografati da qualche ransomware, ad esempio CryptoWall o TeslaCrypt.
Questo articolo copre tre modi utili con cui gli utenti possono determinare l'origine e lo scopo di alcuni loro file sconosciuti.
Tre metodi per l'analisi di file sconosciuti
N°1 - Controlla il database di File-Extensions.org basato sull'estensione del file
Il modo migliore per identificare i file sarebbe naturalmente guardare la loro estensione e consultare il nostro database di File-Extensions.org.
Questo dovrebbe darti informazioni sufficienti per scoprire che tipo di file è e quale programma serve per aprirlo. Naturalmente puoi trovare altri siti simili, ma il nostro è probabilmente il più grande e completo, coprendo oltre 30.000 tipi di file.
Nella stragrande maggioranza dei casi questo sarà sufficiente, ma a volte la vera estensione del file potrebbe essere stata rinominata o mancare completamente e avrai bisogno dell'aiuto di utility speciali per l'analisi dei file per identificarlo.
N°2 - Usa TrID - File Identifier
TrID è un eccellente programma per un'analisi rapida dei tuoi file. È molto semplice da usare, basta scaricarlo insieme alle definizioni (copia queste nella cartella del programma) e avviarlo da linea di comando (cmd.exe) con la sintassi appropriata che esegue l'analisi del file e cercherà di determinarne il contenuto.
L'autore del programma, Marco Pontello, aggiorna regolarmente il database, che al momento contiene un gran numero (6401 a oggi) di vari tipi di file e dovrebbe includere la maggior parte dei tipi di file comunemente usati. Puoi scaricarlo gratuitamente, ricordati solo di scaricare anche le definizioni (.trd).
Per mostrare come funziona, abbiamo rinominato un documento casuale di Microsoft Word (.doc) e tolto l'estensione, così il file risultante si chiamava solo "unknown" e lo abbiamo analizzato con TrID. Puoi vedere i risultati nello screenshot qui sotto.
Risultato molto accurato, considerando che era un documento Word con una tabella inserita.
Puoi anche usare la versione online di TrID direttamente dal tuo browser senza installare nulla. Questo è utile se sei su altra piattaforma rispetto a Windows, così non dovrai preoccuparti di installare niente.
Questo è anche un buon metodo per verificare se un file è davvero quello che sembra, specialmente se sospetti sulla sua origine. Utile per smascherare allegati e-mail pericolosi con estensioni modificate per ingannare gli utenti.
Tuttavia, se TrID non risolve il mistero del tuo file sconosciuto, c'è un'ultima opzione che puoi provare per identificarlo.
N°3 - Usa un visualizzatore esadecimale per analizzare i tuoi file
Puoi usare qualsiasi visualizzatore Hex disponibile per ottenere le informazioni di cui hai bisogno, ma se cerchi uno strumento migliore per l'analisi dei file, ti consigliamo FileAlyzer.
FileAlyzer è molto più di un semplice visualizzatore esadecimale. Permette un'analisi di base dei file e mostra vari tipi di proprietà del contenuto, incluso l'hex dump.
Il programma può anche interpretare la struttura del contenuto e riconoscere che tipo di file è (testo, grafica, media, HTML, XML, PE e altro). Anche questo è un download gratuito, quindi vale sicuramente la pena provarlo.
Una delle caratteristiche più importanti per identificare file sconosciuti è il codice HEX unico di ogni formato file.
La prima cosa da fare è copiare i primi valori nella tabella HEX e cercarli su Google. Molti siti offrono database estesi con codici HEX, quindi una ricerca su Google di solito fornisce risultati utili.
Naturalmente puoi controllare manualmente i database HEX su siti web come, ad esempio:
Wikipedia Tabella delle firme file
Il database di File-Extensions.org contiene anch’esso informazioni sui codici HEX, ma solo per i tipi di file più comuni.
Un solo esempio per tutti. Nello screenshot qui sotto, puoi vedere il blocco di codici HEX iniziali FF D8 FF E0, tipico per immagini JPEG , anche se il file aperto con FileAlyzer era un .dat e non un .jpg.
Un'altra cosa interessante nell'analisi file è che FileAlyzer mostra anche schede aggiuntive (Bitmap, Image, EXIF ecc.) relative ai formati grafici. Questo conferma che il file di esempio era davvero una comune immagine JPEG con estensione rinominata da jpg a dat.
Naturalmente puoi usare qualsiasi visualizzatore HEX, ma FileAlyzer ha un potenziale molto maggiore per aiutarti a identificare i tuoi file sconosciuti.
Conclusione
Come puoi vedere, tutti e tre i metodi per identificare file sconosciuti sono validi, ma ciascuno può essere utile in scenari leggermente diversi e fornisce un diverso set di indizi per identificare con successo file sconosciuti.
A volte avrai solo fortuna parziale e dovrai risolvere il puzzle pezzo per pezzo fino a scoprire finalmente che tipo di file è il tuo misterioso file.