In machen Programmen haben wir bei der Speicherung die Möglichkeit, aus einer Vielzahl von Dateiendungen zu wählen.

Mit jeder installierten Applikation werden während des Setups auch die Dateiendungen im Betriebssystem entsprechend hinterlegt.
Als Windows Benutzer unter Windows 7 und Windows 8 kann man die Liste der vorkonfigurierten Standardprogramme unter „Systemsteuerung – Standardprogramme“ ansehen und ändern.

Auf Basis der Dateiendung und des hinterlegten Programmes zum Öffnen einer Datei hilft es uns bei der täglichen Arbeit, dass das richtige Programm für unsere Datei gewählt wird.

Jetzt gibt es schlaue Nutzer, die einfach die Dateiendung umbenennen, um Dateien zu verschleiern. Diese Möglichkeit von „Data-hiding“ hilft nur gegen den normalen PC-Benutzer. Als IT-Gutachter und Computerforensiker verlassen wir uns natürlich nicht auf Eingaben von Benutzern. Um herauszufinden, worum es sich handelt, wird in der Datei selbst dies protokolliert. Diese Kennzeichnung kann man selbstverständlich auch verändern, aber dies erfordert schon vertiefende IT-Kenntnisse. In der Computerforensik werden wir mit sogenannten „File Signatur Datenbanken“ unterstützt.

Es existieren zwei Organisationen (ITU-T), welche weltweit die Dateiendungen und die dazugehörigen Metadateninformationen verwalten. Encase beziehungsweise jeder Hex-Editor kann eine Datei speziell öffnen und den Fileheader auslesen.
Mit Hilfe der File-Signatur-Datenbank werden von jeder Datei auf einem Rechner die Header-Informationen ausgelesen und mit der File-Signatur-Datenbank abgeglichen. In der Computerforensik werden pro Datei die folgenden vier Eigenschaften pro Datei als Ergebnis gespeichert: Match, Alias, unknown, Bad Signatur.

Der Wert „Match“ wird in EnCase verwendet, wenn die Dateierweiterung und der Fileheader einer Datei übereinstimmen. Dies bedeutet zum Beispiel, dass es sich bei einer Datei mit der Dateierweiterung CFM.DOC wirklich um eine Winword Datei handelt. Dies ist der Regelfall.

Der Wert „Alias“ wird in EnCase gespeichert, wenn der Fileheader nicht zur Dateierweiterung passt, aber die Dateierweiterung jedoch bekannt ist. Dies könnte zum Beispiel wie folgt im Dateisystem gespeichert sein: Die Winword Datei CFM. DOC wird manuell zur Datei CFM.DLL umbenannt und in das Windows Verzeichnis kopiert. Bei einer manuellen Durchsicht besteht wenig Erfolg, diese Datei als Winword zu identifizieren und die geheime Nachricht darstellen zu können.

Der Wert „unknown“ wird in EnCase verwendet, wenn weder der Dateiheader noch die Dateierweiterung bekannt sind.

Der Wert „Bad Signatur“ wird in EnCase gespeichert, wenn der Fileheader nicht bekannt ist aber die gewählte Dateiendung bekannt wäre.