LanguageComo identificar arquivos desconhecidos
Quase todo usuário de computador eventualmente encontra algum arquivo estranho em seus discos rígidos e se pergunta o que diabos é aquilo, porque não está associado a nenhum software atual e como foi parar ali em primeiro lugar?
Esses arquivos podem ser restos de programas desinstalados há muito tempo, documentos enviados por amigos e feitos em um programa que você nunca nem ouviu falar, ou no pior dos cenários, podem muito bem ser vírus disfarçados como arquivos "desconhecidos" ou recentemente arquivos criptografados por algum ransomware, por exemplo CryptoWall ou TeslaCrypt.
Este artigo cobre três maneiras úteis de como os usuários podem determinar a origem e o propósito de alguns de seus arquivos desconhecidos.
Três métodos de análise de arquivos desconhecidos
Nº 1 – Verificar o banco de dados do File-Extensions.org com base na extensão do arquivo
A melhor forma de identificar arquivos seria, claro, apenas olhar para a extensão do arquivo e consultar nosso banco de dados File-Extensions.org para ela.
Isso deve fornecer informações suficientes para descobrir que tipo de arquivo é e qual programa você precisa para trabalhar com ele. Você pode, claro, encontrar outros sites similares, mas o nosso é provavelmente o maior e mais extenso, cobrindo mais de 30.000 tipos de arquivo.
Na grande maioria dos casos isso será suficiente, mas às vezes o sufixo original do arquivo pode ter sido renomeado ou estar completamente ausente e você precisará da ajuda de utilitários especiais de análise de arquivos para identificar um determinado arquivo desconhecido.
Nº 2 – Usar TrID - File Identifier
TrID é um excelente programa para análise rápida dos seus arquivos. É bastante simples de usar, basta baixá-lo junto com as definições (copie-as para a pasta do programa) e iniciar pelo prompt de comando (cmd.exe) com a sintaxe correta que executa a análise do seu arquivo e tentará determinar seu conteúdo.
O autor do programa, Marco Pontello, atualiza o banco de dados regularmente, então ele cobre um grande número (6401 até o momento) de vários tipos de arquivos e deve conter a maioria dos tipos de arquivos comumente usados. Você pode baixá-lo gratuitamente, apenas não esqueça de baixar também as definições (.trd).
Para demonstrar como funciona, renomeamos um documento aleatório do Microsoft Word (.doc) e removemos a extensão, então o arquivo resultante se chamou apenas "unknown" e o analisamos com o TrID. Você pode ver os resultados na captura de tela abaixo.
Bastante preciso, considerando que era um documento Word com uma tabela inserida.
Você também pode usar a versão on-line do TrID diretamente do seu navegador sem precisar instalar nada. Isso pode ser útil quando você está em outra plataforma que não Windows, assim não precisa se preocupar com instalações.
Esta também é uma boa forma de verificar se algum arquivo é realmente o que aparenta ser, especialmente se você suspeita de sua origem. Particularmente útil para desmascarar anexos de e-mail perigosos com extensão de arquivo renomeada na tentativa de enganar o usuário a abrir.
Entretanto, se o TrID não resolver o mistério sobre o seu tipo de arquivo desconhecido, há uma última opção que você pode tentar para identificar o arquivo.
Nº 3 – Usar um visualizador hex para analisar seus arquivos
Você pode usar qualquer visualizador Hex disponível para obter as informações que precisa, mas se estiver procurando por uma ferramenta melhor para fins de análise de arquivos, recomendamos o FileAlyzer.
FileAlyzer é muito mais do que um simples visualizador hex. Ele permite uma análise básica dos arquivos e mostra todo tipo de propriedades do conteúdo, incluindo o dump hex.
O programa também pode interpretar a estrutura do conteúdo e reconhecer que tipo de arquivo é (texto, gráficos, mídia, HTML, XML, PE e mais). Mais uma vez, é um download gratuito, portanto vale a pena experimentar.
Uma das características mais importantes para identificar tipos de arquivos desconhecidos é o código HEX que é único para cada formato de arquivo.
A primeira coisa que você deve tentar é copiar os primeiros bytes na tabela HEX e simplesmente pesquisá-los no Google. Muitos sites oferecem bancos de dados extensos com códigos HEX, então a busca no Google geralmente traz resultados úteis.
Você pode, claro, consultar manualmente bancos de dados HEX em sites como, para citar alguns exemplos:
Wikipedia Tabela de Assinaturas de Arquivos
O banco de dados do File-Extensions.org também tem informação sobre códigos HEX, mas apenas para os tipos de arquivo mais comuns.
Apenas um exemplo para todos. Na nossa captura de tela abaixo, você pode ver o código HEX inicial FF D8 FF E0, típico de imagens JPEG, mesmo que o arquivo que abrimos com o FileAlyzer fosse um .dat e não um .jpg.
Outra coisa interessante sobre a análise de arquivos é que o FileAlyzer também mostra abas adicionais (Bitmap, Imagem, EXIF etc.) relacionadas a formatos gráficos. Isso apenas confirma que nosso arquivo de exemplo era de fato uma imagem JPEG comum com extensão renomeada de jpg para dat.
Claro, você pode usar qualquer visualizador HEX que desejar, mas o FileAlyzer tem muito mais potencial para ajudá-lo a identificar seus arquivos desconhecidos.
Conclusão
Como pode ver, as três formas de identificar arquivos desconhecidos são viáveis, mas cada uma pode ser útil em cenários um pouco diferentes e oferece um conjunto diferente de pistas para identificar com sucesso tipos de arquivos desconhecidos.
Às vezes você terá apenas sorte parcial e terá que resolver o quebra-cabeça pedaço por pedaço até finalmente descobrir que tipo de arquivo seu arquivo misterioso é.