Hoy veremos como Averiguar la extensión real de un archivo
En criptografía y técnicas anti-forenses no es raro que se intente ocultar la extensión real de un archivo para que no se pueda ver el contenido del mismo, pero, esta técnica no siempre puede resultar sencilla de hacer, y si no se tiene experiencia lo mas seguro es que se terminen por poder descubrir la extensión del archivo.
Por lo general en gran parte de los archivos en el principio de su código en hexadecimal podemos encontrar la extensión real del archivo.
En este archivo png vemos que la extension real del archivo es pdf
¿Que programas necesitaremos?
Para este ejemplo usaremos Hex Edit que es un editor hexadecimal.
Con este editor podremos tanto ver como editar cualquier contenido en hexadecimal, esto nos permitirá entre otras cosas descifrar mensajes ocultos en ficheros donde aparentemente no hay nada.
Este programa siempre lo podemos descargar desde la página oficial de Hex Edit desde este mismo enlace o simplemente buscando lo en Google, siempre desde la página oficial.
Abrir y editar los archivos
Para abrir un archivo para ver su contenido Hexadecimal solo tenemos que abrir Hex Edit y arrastrar el archivo a la aplicación.
Arrastrando archivo a hex edit
Archivo arrastrado a hex edit
Vemos que en las cabeceras del mensaje tenemos información EXIF con información extra sobre el archivo, aun que tal vez la extensión verdadera del archivo se vea mejor con un archivo PDF.
Este método no funciona con todos los archivos pero si que nos ayudará a identificarlos mejor en una auditoria.