Ist dies eine Datei-Header / Magic-Nummer?

2206
Hammer Bro.

Ich habe 120.000 Dateien (tatsächlich mehr; dies ist nur eine beliebige Teilmenge) eines unbekannten Typs. Linux fileerkennt sie nicht (nicht unbedingt Linux-Dateien) und auch keine anderen Methoden, die ich ausprobiert habe. Es gibt nur zwei Hinweise, die ich derzeit habe. Zum einen vermute ich, dass etwas Komprimierung eingesetzt wird - ich habe Metadaten, die behaupten, dass die Dateigrößen immer etwas größer sind als das, was ich beobachte.

Die andere ist, dass in 100.000 dieser Dateien die ersten 16 Bytes immer sind:

ff ee ee dd 00 00 00 00 01 00 00 00 00 00 00 00

Das sieht für mich wie eine Dateikopfzeile / magische Zahl aus, aber ich kann sie einfach nicht platzieren. Weiß jemand, welche Art von Dateien dies anzeigen würde? Kann mich alternativ jemand überzeugen, dass diese verdächtig häufig vorkommenden Bytes sicherlich keinen bestimmten Dateityp angeben?

AKTUALISIEREN

Ich kenne die genauen Reverse-Engineering-Details nicht, aber die meisten Dateien in unserem Fall sind Zips, nachdem die ersten 29 (?) Bytes ignoriert wurden. In der Praxis ist das Problem also gelöst (wir wissen, wie man die Dateien verarbeitet), aber theoretisch ist die Frage immer noch unbeantwortet - ich weiß nicht, welche Anwendung routinemäßig etwa 29 Byte an die Zips anfügt. [Ich bin nicht sicher, ob ich die Frage offen lassen sollte oder nicht.]

4
Was genau meinen Sie mit * Ich habe Metadaten, die besagen, dass die Dateigrößen immer etwas größer sind als das, was ich beobachte. *? Dennis vor 11 Jahren 0
Ich gehe davon aus, dass er diese Größen von einem anderen Kanal (zB in einer Datenbank) gelesen hat. Mechanical snail vor 11 Jahren 0

1 Antwort auf die Frage

3
Max

Vielleicht ca versuchen Sie TrID auf einige dieser Dateien zu verwenden
http://mark0.net/soft-trid-e.html
Vom TrID Website:

TrID ist ein Dienstprogramm, mit dem Dateitypen anhand ihrer binären Signaturen identifiziert werden können. Während es ähnliche Dienstprogramme mit fest codierter Logik gibt, hat TrID keine festen Regeln. Stattdessen ist es erweiterbar und kann trainiert werden, um neue Formate schnell und automatisch zu erkennen.

TrID hat viele Anwendungen: Ermitteln Sie, welche Art von Datei Ihnen per E-Mail gesendet wurde, Unterstützung bei der forensischen Analyse, Unterstützung bei der Wiederherstellung von Dateien usw.

TrID verwendet eine Datenbank mit Definitionen, die wiederkehrende Muster für unterstützte Dateitypen beschreibt. Da dies sehr häufig aktualisiert wird, wird es als separates Paket zur Verfügung gestellt. Laden Sie einfach TrID und dieses Archiv herunter und entpacken Sie es in demselben Ordner ...
...
...

Update
Nachdem Sie Ihr Update gelesen haben, dass es sich um Zip-Dateien mit 29 Byte vor ihnen handelt, stammen diese vorangestellten Bytes möglicherweise von einer Art "Störschub" aufgrund der Art und Weise, wie diese Dateien erhalten wurden.

Beispiel 1:
Möglicherweise wurden diese Dateien aus einer großen Einzeldateisicherung eines Dateiservers extrahiert. (Wenn Sie beispielsweise eine Serversicherung mit NTBackup in einer einzelnen Datei durchführen, kann NTBackup tatsächlich einige Attributdaten vor den Daten voranstellen in den Dateien enthalten)

Beispiel 2:
Vielleicht wurden diese Dateien aus einer DB extrahiert, wo sie wie ein BLOB-Objekt gespeichert wurden

Beispiel 3:
Möglicherweise wurden diese Dateien aus einem RAW-CD / DVD-Image extrahiert (die vorangestellten Bytes können auf eine falsche Interpretation des Dateioffset- / Dateisystems zurückzuführen sein)

Es gibt unendlich viele Hypothesen ... Wenn Sie wissen, woher diese Dateien stammen, können Sie einige Tests durchführen, um zu sehen, ob es ein Dienstprogramm / Software / Tool / DB / Server gibt, in dem sich ZIP-Dateien befinden andere Datei / Datenstruktur, diese 29 Bytes voranstellen.

Interessanter Nutzen, aber es scheint auch nicht zu wissen. Hammer Bro. vor 11 Jahren 0

Verwandte Probleme