gonzalezbravoenrique/file-type-identification

# Identificación de tipos de archivos en Kali Linux con `file` El comando `file` en Linux permite identificar el tipo real de un archivo analizando su contenido interno, no únicamente su extensión. Esto es especialmente útil en: - Análisis forense - Ciberseguridad - Malware analysis - Ingeniería inversa - Archivos sin extensión - Archivos renombrados para ocultar su contenido # Sintaxis básica (kali㉿kali)-[~] $ file nombre_archivo # Ejemplo práctico Tenemos varios archivos dentro de la carpeta `unknown`: Resultado: Backdoor.Win32.Netbus.Keyhook muestra1unknown muestra2unknown muestra3unknown muestra4unknown muestra5unknown script1.js wb64.64 wb64.exe # Identificación de archivos ## 1. Archivo PowerPoint Resultado: muestra1unknown: Microsoft PowerPoint 2007+ ### Interpretación El archivo es una presentación de Microsoft PowerPoint moderna (`.pptx`). Aunque no tenga extensión, `file` detecta su firma interna. ## 2. Archivo de texto Resultado: muestra2unknown: ISO-8859 text, with CRLF line terminators ### Interpretación El archivo es un documento de texto plano: - Codificación: ISO-8859 - Saltos de línea: CRLF (Windows) ## 3. Ejecutable PE32 de Windows Resultado: muestra3unknown: PE32 executable for MS Windows 4.00 (GUI), Intel i386, 4 sections ### Interpretación Es un ejecutable de Windows: - Formato PE32 - Arquitectura Intel x86 - Aplicación gráfica (GUI) Probablemente un `.exe`. ## 4. Documento Word Resultado: muestra4unknown: Microsoft Word 2007+ ### Interpretación Documento Microsoft Word moderno (`.docx`). ## 5. Documento PDF Resultado: muestra5unknown: PDF document, version 1.5, 4 page(s) ### Interpretación Archivo PDF: - Versión 1.5 - 4 páginas ## 6. Malware PE32 Resultado: Backdoor.Win32.Netbus.Keyhook: PE32 executable for MS Windows 4.00 (DLL), Intel i386, 7 sections ### Interpretación El archivo parece ser malware tipo Backdoor para Windows. Características detectadas: - Ejecutable PE32 - DLL de Windows - Arquitectura Intel x86 - 7 secciones internas # ¿Por qué es importante `file`? Muchos archivos maliciosos: - Ocultan su extensión - Cambian el nombre - Se hacen pasar por documentos - Intentan evadir análisis básicos Ejemplo: factura.pdf.exe O incluso: factura Con `file` podemos identificar su verdadero contenido. # Opciones útiles ## Mostrar tipo MIME Resultado: muestra5unknown: application/pdf ## Analizar todos los archivos de una carpeta ## Análisis recursivo # Relación con análisis forense y SOC El comando `file` es muy utilizado en: - SOC - DFIR - Malware Analysis - Threat Hunting - Reverse Engineering Porque permite: - Detectar archivos sospechosos - Validar extensiones falsas - Clasificar muestras rápidamente - Automatizar triage inicial # Comandos complementarios ## Ver strings internas ## Ver hash SHA256 ## Ver cabecera hexadecimal # Conclusión El comando `file` es una herramienta fundamental en Linux y Kali Linux para identificar el contenido real de cualquier archivo. No depende de la extensión, sino de las firmas internas y estructura binaria del archivo, lo que lo convierte en una herramienta esencial para análisis forense y ciberseguridad.