🗃️ Detect It Easy – Как легко определить любой тип файла

Обзоры

Во время проведения форензики мы сталкивались с различными типами файлов.

Из нашего личного опыта мы можем сказать, что это нелегко.

Существует множество типов файлов.

Если мы получили файл с подозреваемого устройства без расширения, то очень трудно составить представление о типе файла.

Есть некоторые утилиты в Linux, например, file can, которые могут сделать эту работу, но это может быть не идеальным решением и не дать достаточно информации.

В этом подробном руководстве мы расскажем о программе “Detect It Easy”, она же “DIE”.

Detect It Easy или DIE – это кроссплатформенная программа для обнаружения типов файлов.

Помимо Linux (в нашем случае Kali Linux), она также доступна для Windows и Mac OS.

DIE существует в трех версиях.

Базовая версия (“DIE”), версия Lite (“DIEL”) и терминальная версия (“DIEC”).

Все три версии используют одни и те же сигнатуры, которые находятся в папке “db”.

Если вы откроете эту папку, то обнаружите вложенные подпапки (“Binary”, “PE” и другие).

Названия вложенных папок соответствуют типам файлов.

Сначала DIE определяет тип файла, а затем последовательно загружает все сигнатуры, которые лежат в соответствующей папке.

В настоящее время программа определяет следующие типы:

  • MSDOS Исполняемые файлы MS-DOS.
  • PE исполняемые файлы Windows.
  • ELF исполняемые файлы Linux.
  • MACH исполняемые файлы Mac OS.
  • Все остальные бинарники.

Установка Detect It Easy на Kali Linux

Установка “Detect It Easy” на Kali Linux также очень проста.

Прежде всего, нам нужно установить некоторые зависимости для его запуска с помощью следующей команды:

Теперь нам нужно скачать “Detect It Easy” с GitHub с помощью следующей команды:

git clone --recursive https://github.com/horsicq/DIE-engine

Теперь нам нужно перейти в наш недавно загруженный/клонированный каталог, просто используя следующую команду:

cd DIE-engine

Теперь нам нужно запустить скрипт сборки с помощью следующей команды:

bash -x build_dpkg.sh

Это может занять некоторое время в зависимости от производительности нашей системы.

После завершения нам нужно установить deb-пакет на нашу систему Kali Linux.

Для этого нам нужно выполнить следующую команду:

sudo dpkg -i release/die_*.deb

Теперь наша установка завершена.

Теперь мы переходим к использованию “Detect It Easy” в нашей системе и попытаемся определить некоторые типы файлов.

Использование Detect It Easy на Kali Linux

Сначала нам понадобятся файлы без расширения.

Иначе, мы знаем, что .exe – это приложение Windows, а .py – программа python.

Здесь у нас есть файл с именем “Video” на рабочем столе, который не имеет расширения.

Некоторые из нас могут предположить, что это может быть видеофайл, давайте посмотрим, что обнаружит “Detect It Easy”.

Мы можем использовать командную строку или графический интерфейс пользователя, это не имеет значения, наша работа должна быть сделана.

Мы используем следующую команду, чтобы узнать тип файла с именем ‘Video’ на нашем рабочем столе.

diec Video

С другой стороны, мы можем использовать GUI-версию “Detect It Easy”, просто используя следующую команду в терминале:

die

Теперь перед нами откроется графический интерфейс пользователя “Detect It Easy”!

Здесь мы можем выбрать файл с нашего компьютера и выбрать “Scan” для его сканирования.

Заключение

Он очень быстрый и простой в использовании.

Примечание: Detect It Easy в основном создан для анализа исполняемых файлов, поэтому его функции больше связаны с программными файлами, например, определение архитектуры.

Но есть поддержка и других двоичных файлов.

Добавить комментарий