Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:
# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc
Ein geeigneter Suchbefehl um nach Images zu suchen:
find . -type f -print0 | xargs -0 file | egrep -i –color ‘(VMware4|VMware3|Qemu Image|Sun VirtualBox|innotek Virtualbox|Microsoft Virtual PC|x86 boot sector)’