Как определить тип файла в Linux с помощью Detect It Easy

d0ppl4r

Старшина
Сообщения
49
Реакции
33
Во время проведения компьютерной криминалистической экспертизы мы имеем дело с множеством различными типов файлов. Если попадаются файлы без расширений — это усложняет анализ файла. В таких ситуациях, на помощь приходит инструмент Detect It Easy. Далее покажу, как определить тип файла в Linux с помощью утилиты Detect It Easy.

Для определения типа файла в Linux существует утилита File, но нельзя ее назвать идеальной. Функционал Detect It Easy гораздо богаче.

Как определить тип файла в Linux с Detect It Easy
Detect It Easy (DIE) — это кроссплатформенный инструмент для определения типа файлов. Помимо Linux, он также доступен для Windows и Mac OS.

DIE существует в трех версиях:

  • DIE — базовая версия.
  • DIEL — облегченная версия.
  • DIEC — консольная версия.
На данный момент утилита может определить следующие типы файлов:

  • Исполняемые файлы MSDOS MS-DOS.
  • PE исполняемые файлы Windows.
  • Исполняемые файлы ELF Linux.
  • Исполняемые файлы MACH Mac OS.
  • Другие бинарные файлы.
Установка Detect It Easy в Kali Linux
Установить Detect It Easy в Kali Linux довольно просто. Прежде всего, нужно установить зависимости:

sudo apt install qtbase5-dev qtscript5-dev qttools5-dev-tools git build-essential qtchooser





Теперь клонируем Detect It Easy из репозитория GitHub:

git clone --recursive https://github.com/horsicq/DIE-engine


Переходим в папку DIE:

cd DIE-engine

Запускаем скрипт сборки:

bash -x build_dpkg.sh


Это может занять некоторое время в зависимости от производительности системы.

После завершения необходимо установить пакет deb:

sudo dpkg -i release/die_*.deb


Установка завершена. Переходим к использованию Detect It Easy и попробуем узнать тип файла без расширения.

Использование Detect It Easy в Kali Linux
Для теста определим тип файла «Video», у которого отсутствует расширение файла.


Можно предположить, что это видеофайл. Давайте посмотрим, что скажет Detect It Easy.

Можно использовать как терминал, так и GUI (графический интерфейс). Для начала попробуем определить типа файла используя консоль. Чтобы узнать тип файла в Linux введем команду:

diec Video

Поскольку мы уже находимся в каталоге Desktop, нет необходимости указывать путь к файлу, мы просто используем имя. Но в случае, если наш рабочий каталог отличается от местоположения файла, нужно использовать полный путь к файлу.


Из приведенного выше снимка экрана мы можем легко понять, что файл «Video» не является видеофайлом, это исполняемый exe-файл Windows.

Теперь попробуем узнать тип файла с помощью GUI, для запуска которого введем команду:

die

Откроется графический интерфейс Detect It Easy:


Выбираем нужный файл нажав на три точки и нажимаем «Scan»:


После анализа, утилита отобразит много полезной и важной информации.

Заключение
Detect It Easy больше подходит для анализа исполняемых файлов, но есть также поддержка других бинарных файлов.

Вот как можно быстро получить информацию о файле в Kali (или любом другом дистрибутиве Linux), с помощью Detect It Easy.