Forum: PC Hard- und Software Unbekannte Datei untersuchen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Konrad T. (Gast)


Angehängte Dateien:
  • preview image for 1.png
    1.png
    24,2 KB, 485 Downloads

Bewertung
0 lesenswert
nicht lesenswert
Hallo

Hab auf unserem NAS eine mir unbekannte Datei entdeckt, etwa 15GB groß, 
ohne Dateiendung. Im HEX Editor sieht man, dass etwa die ersten 10KB der 
Datei leer sind, also lauter 00. Dann kommen ein paar KB abwechselnd FF 
und 00. Und danach sind offensichtlich Daten.

Hab ich eine Möglcihkeit heruaszufinden um was es sich hier handelt? Ist 
es ein Image einer NTFS Partition, evtl mit Bitlocker verschlüsselt, ist 
es ein Zip Archiv, Video Datei..

Das meiste der Datei ist komplettes HEX Wirrwarr. An einigen Stellen 
kann man aber eine gewisse Struktur erkennen, wie z.B. im Anhang.

Gibt es Programme die nicht nur den Header anschauen, sondern die Datei 
selbst nach entsprechenden Strukturen durchsuchen?

von NAS-Z (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Lösche sie erstmal, ohne Backup.
In ein paar Tage wirst Du Dich spontan daran errinnern was und wozu sie 
war und hier die nächste Frage stellen: wie sie zurückzuhaben ist... ;-)

$ man file

Alle Entpacker haben eine "list"-Option: probiere die doch einfach 
durch. Die Entpacker sagen dir schon ob sie damit was anstellen können.
Ditto Medienabspieler.

Wie lautet der Dateinamen? Ist er nichtssagend?

von Max D. (max_d)


Bewertung
0 lesenswert
nicht lesenswert
binwalk ?

von NAS-Z (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Bist Du der einzige NAS-user?
Wann wurde die Datei angelegt? In welchem Verzeichnis?
Hat dein NAS kein Journal, wo zu dieser Datei etwas Metainfo anzugucken 
ist?
Ist es die swap-Datei/das page-file vom System
Eine binäre Temporärdatei irgendeines Prozesses?
Spool-file einer Druckschlange?

von oszi40 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Konrad T. schrieb:
> etwa 15GB von 2016

Benenne sie um und warte ab bis der Fehler auftritt. Wahrscheinlich 
irgendeine Sicherung od. Image von der Größe her?

von Markus M. (adrock)


Bewertung
0 lesenswert
nicht lesenswert
Sieht für mich aus wie eine Mediendatei. Diese 4 Buchstabenkürzel sehen 
aus wie "Tags" die man in Medienformaten verwendet um die Informationen 
zu identifizieren, TAKE, SHOT, SCEN, SUBT und CAMR lässt auf ein 
Videoformat schließen.

von ● Des I. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
ich lese da "FREE"

- gabs da irgendwo kostenlose Software?

:-]

ja, Video. Davon könnte es was sein

: Bearbeitet durch User
von ● Des I. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
TIMC 00:12:35:05


= TIMECODE in Stunden, Minuten, Sekunden, Frame?

: Bearbeitet durch User
von Achim H. (anymouse)


Bewertung
0 lesenswert
nicht lesenswert
Konrad T. schrieb:
> Hab auf unserem NAS eine mir unbekannte Datei entdeckt, etwa 15GB groß,
> ohne Dateiendung.

Wie sehen die ersten (sagen wir 50) Bytes aus? Häufig finden sich direkt 
am Anfang "Magische Zahlen" zur Typidentifizierung

https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)#Magische_Zahlen_zur_Kennzeichnung_von_Dateitypen

von Marek N. (bruderm)


Bewertung
0 lesenswert
nicht lesenswert
Defintiv eine Video-Datei.
GOP = Group of Pictures
YUV = Farbmodell
Take, Shot, Scene, Camera, Project, Timecode...
Jag die mal durch GSpot: https://en.wikipedia.org/wiki/GSpot

von Christoph db1uq K. (christoph_kessler)


Bewertung
0 lesenswert
nicht lesenswert
https://docs.microsoft.com/en-us/sysinternals/downloads/strings

Das listet alle aufeinanderfolgenden Bytes auf, die nach ASCII (jetzt 
auch Unicode?) aussehen. Am einfachsten leitet man die Ausgabe in ein 
Textfile um, bei 15 GByte wird das aber etwas länglich.

von Gustl B. (-gb-)


Bewertung
0 lesenswert
nicht lesenswert
Was steht denn in den ersten paar Bytes?

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Gustl B. schrieb:
> Was steht denn in den ersten paar Bytes?

Konrad T. schrieb:
> Im HEX Editor sieht man, dass etwa die ersten 10KB der Datei leer sind,
> also lauter 00.

von Tip (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Lad' mal irgendwo hoch. Ist bestimmt lustig.

Beitrag #6331567 wurde von einem Moderator gelöscht.
von NAS-Z (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Also nach all den Indizien auf Video: kauf ein paar Tüten voll 
Frauenfummels.
Bei so "vergessenen" Videodateien fehlen die gerne mal...

von Gustl B. (-gb-)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Konrad T. schrieb:
>> Im HEX Editor sieht man, dass etwa die ersten 10KB der Datei leer sind,
>> also lauter 00.

etwa Eine Datei bei der auch die ersten wenigen Bytes leer sind ist 
sehr seltsam. Da steht normalerweise der Dateityp.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Gustl B. schrieb:
> Eine Datei bei der auch die ersten wenigen Bytes leer sind ist sehr
> seltsam.

Da geb' ich dir allerdings Recht. Da müsste der TE schon genauer werden 
(bspw. die ersten 100 KB hier als Anhang posten).

: Bearbeitet durch Moderator
von Konrad T. (Gast)


Angehängte Dateien:
  • preview image for 2.png
    2.png
    2,28 KB, 357 Downloads

Bewertung
0 lesenswert
nicht lesenswert
das ist das erste was in der Datei steht, danach kommt wieder eine Weile 
lang 00

von Gustl B. (-gb-)


Bewertung
0 lesenswert
nicht lesenswert
Komisch. Wenn die großteils leer ist, dann kannst du die wunderbar 
komprimieren. Du bist dir sicher, dass das eine echte Datei ist und 
nicht sowas wie eine Auslagerungsdatei/Swapfile/Hybernate-RAM-Abbild für 
16 GByte RAM?

von michael_ (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
NAS-Z schrieb:
> Wie lautet der Dateinamen? Ist er nichtssagend?

Keine Antwort ist auch eine Antwort.

Vielleicht wäre es dann ganz einfach.

von K. S. (the_yrr)


Bewertung
0 lesenswert
nicht lesenswert
jag die mal durch eine recovery Software falls das wirklich ein Abbild 
oder Ähnliches sein sollte. PhotoRec oder Autopsy funktionieren ganz 
gut, von EaseUS gibts auch was.

von Wegstaben V. (wegstabenverbuchsler)


Bewertung
0 lesenswert
nicht lesenswert
Datei einfach kopieren und umbenennen, z.B. nach <irgendwas>.mp4
Dann mit VLC öffnen.

im besten Fall kommt die Ansage "das ist eine jpg Datei, soll ich die 
umbenennen"

von michael_ (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Warum denn umbenennen?
Was sagen eigentlich die Dateieigenschaften?

von c-hater (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Gustl B. schrieb:

> Komisch. Wenn die großteils leer ist, dann kannst du die wunderbar
> komprimieren. Du bist dir sicher, dass das eine echte Datei ist und
> nicht sowas wie eine Auslagerungsdatei/Swapfile/Hybernate-RAM-Abbild für
> 16 GByte RAM?

Auf sowas in der Art würde ich auch tippen.

Außerdem würde ich darauf tippen, dass der TO ein Troll ist, ansonsten 
hätte er nämlich zumindest auf die mehrfache Nachfrage hin den 
Dateinamen rausgerückt...

von oszi40 (Gast)


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
>> Du bist dir sicher, dass das eine echte Datei ist und
>> nicht sowas wie eine Auslagerungsdatei/Swapfile/Hybernate-RAM-Abbild für
>> 16 GByte RAM?
>
> Auf sowas in der Art würde ich auch tippen.

Könnte sein, wenn man genauer nachsieht.

von michael_ (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
c-hater schrieb:
> Außerdem würde ich darauf tippen, dass der TO ein Troll ist, ansonsten
> hätte er nämlich zumindest auf die mehrfache Nachfrage hin den
> Dateinamen rausgerückt...

Hat Angst, dass jemand sagt, das sehe ich mir auch jede Woche an.

Man könnte ja den Namen auch mal aufs Internet loslassen.

von Peter M. (r2d3)


Bewertung
0 lesenswert
nicht lesenswert
Hallo Konrad T.,

Durchsuche einfach mal Deine NAS-Festplatten mit den Schlüsselbegriffen 
aus Deinem Hexdump. Dann musst Du nur noch zu den Fundsektoren die 
Dateieinträge ermitteln.

von Konrad T. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
mal ein Update und Antworten zu den aufgekommenen Fragen:


- umbennen in mp4 hat nix gebracht, VLC hat nix damit anfangen können

- Swapfile oder ähnliches ist es zeimlich sicher nicht, sowas hab ich 
noch nie auf das NAS (oder sonstwohin) kopiert

- Das File ist anscheinend von 2018. Dateiname ist 201, ohne Endung

- Dateieigenschaften enthalten weiter nichts interessantes


ich hab nun festgestellt, dass in der Datei immer wieder ein ähnlicher 
Bereich wie im ersten Beitrag enthalten ist:
"DATE....c2016-01-14..TIME...."
mehr oder weniger gleichmäßig über die gesamte Datei hinweg verteilt, 
insgesamt 1200 mal. Die Daten davor und danach sind aber immer 
unterschiedlich

außerdem ist mir aufgefallen, dass bei den besagten Bereichen immer 
Office1 steht. Soweit ich mich erinnern kann hatte ein PC bei uns 2018 
diese Bezeichnung...

von michael_ (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Dann lösch den Mist!

von Marc (Gast)


Bewertung
0 lesenswert
nicht lesenswert
versuche es mal mit

TrID - File Identifier

https://mark0.net/soft-trid-e.html

von Manfred (Gast)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
> Dann lösch den Mist!

Das wäre für Deinen äußerst hilfreichen Beitrag die optimale Lösung.

Konrad T. schrieb:
> umbennen in mp4 hat nix gebracht, VLC hat nix damit anfangen können

Unbekannte Dateien schaue ich mir (unter Windows) mit HxD-HexEditor an, 
bei üblichen Formaten lässt sich am Anfang meist der Typ erkennen.

Auf den Quatsch von  michael_ (Gast) bezogen: Datei umbennen, z.B nach 
[Dateiname]_Datum und abwarten, was passiert, nicht leichtfertig 
löschen.

> Office1 steht. Soweit ich mich erinnern kann hatte ein PC bei uns 2018
> diese Bezeichnung...

Backupfiles dieses Rechners?

von michael_ (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Manfred schrieb:
> michael_ schrieb:
>> Dann lösch den Mist!
>
> Das wäre für Deinen äußerst hilfreichen Beitrag die optimale Lösung.

Was willst du mit einem Backup für einen Rechner, den es seit zwei 
Jahren nicht mehr gibt?

> Auf den Quatsch von  michael_ (Gast) bezogen: Datei umbennen, z.B nach
> [Dateiname]_Datum und abwarten, was passiert, nicht leichtfertig
> löschen.

Hä?

>> Office1 steht. Soweit ich mich erinnern kann hatte ein PC bei uns 2018
>> diese Bezeichnung...
>
> Backupfiles dieses Rechners?

Braucht man nicht mehr.
Und wenn es diesen PC noch gibt, ist das Backup hoffnungslos veraltet.
Und kann doch leicht nachgeholt werden.

von Gustl B. (-gb-)


Bewertung
0 lesenswert
nicht lesenswert
Wächst die Datei? Vielleicht ist es irgendeine Art Logfile das 2018 
angelegt wurde und in das jetzt regelmäßig geschrieben wird.

von oszi40 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
>> Backupfiles dieses Rechners?
>
> Braucht man nicht mehr.
> Und wenn es diesen PC noch gibt, ist das Backup hoffnungslos veraltet.
> Und kann doch leicht nachgeholt werden.

Das könnte auch ein tragischer Irrtum werden. Wertvolle, gelöschte Daten 
wirst Du in einem taufrischen Backup nicht mehr finden. Ein fehlender 
Vertrag über xxxx€ könnte teuer werden. Archivierungspflichten z.B.: 
https://www.lexware.de/artikel/aufbewahrungsfristen/

von michael_ (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Nun habe ich mal im Internet nach dem Dateinamen 201 gesucht.

Lieber TO, hast du einen QNAP "Turbo Station" TS-201?
Dann kann es eine Systemdatei sein. Die dürfte aber geschützt sein.

Schau dann mal ins Handbuch.

von Erwin D. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
> Braucht man nicht mehr.
> Und wenn es diesen PC noch gibt, ist das Backup hoffnungslos veraltet.
> Und kann doch leicht nachgeholt werden.

Du scheinst ja als einziger eine funktionierende Glaskugel zu haben und 
weißt deshalb ganz genau, daß es sich um ein altes Backup handelt.
Verleihst du die Kugel auch?

von John (Gast)


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Konrad T. schrieb:
> Dateiname ist 201

Warum sagst du das nicht gleich in deinem ersten Beitrag?

Auf deiner NAS läuft mit ziemlicher Sicherheit Linux als Betriebssystem.
Und 201 ist die User ID vom System.

Wie bereits vermutet wurde, glaube ich auch, dass es sich um eine 
System-/Swap-/etc.-Datei deines NAS-Betriebssystems handelt.

Gruß
John

von Manfred (Gast)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
> Was willst du mit einem Backup für einen Rechner,
> den es seit zwei Jahren nicht mehr gibt?

Kennst Du jemanden, der Dir beim Lesen hilft? Es ist nicht bekannt, was 
diese Datei beinhaltet, Backup ist eine reine Spekulation.

Erwin D. schrieb:
> Du scheinst ja als einziger eine funktionierende Glaskugel zu haben und
> weißt deshalb ganz genau, daß es sich um ein altes Backup handelt.

Das ist eben michael_ , wie er öfter mit zweifelhaften Ratschlägen 
auftritt.

Kein halbwegs intelligenter Mensch wird eine unklare Datei löschen! Man 
kann sie umbenennen und warten, ob es danach irgendwo klemmt oder 
einfach in Ruhe lassen, solange man keine Platznot hat.

von michael_ (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Erwin D. schrieb:
> Du scheinst ja als einziger eine funktionierende Glaskugel zu haben und
> weißt deshalb ganz genau, daß es sich um ein altes Backup handelt.
> Verleihst du die Kugel auch?

Ich verleihe die Glaskugel für 500€ pro Stunde. Irgendwelche Haftung 
durch Benutzung der Glaskugel wird von mir nicht übernommen.

von michael_ (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
John schrieb:
> Konrad T. schrieb:
>> Dateiname ist 201
>
> Warum sagst du das nicht gleich in deinem ersten Beitrag?

Weil man sich hier die Salamischeiben noch selber abschneiden muß.
Richtig wäre gewesen:
- Name des NAS
- Betriebssystem
- In welchem Verzeichnis liegt die Datei
- Erstellungsdatum, letzte Änderung...
- Da ja LINUX, die Dateiattribute

Da wäre sofort auch klar, ob es eine Systemdatei ist. Die mit Sicherheit 
vom PC aus nicht löschbar ist.

Manfred schrieb:
> Das ist eben michael_ , wie er öfter mit zweifelhaften Ratschlägen
> auftritt.
>
> Kein halbwegs intelligenter Mensch wird eine unklare Datei löschen! Man
> kann sie umbenennen und warten, ob es danach irgendwo klemmt oder
> einfach in Ruhe lassen, solange man keine Platznot hat.

Und du bist vom Haß zerfressen!
Wenn sie nun wie erkannt, eine Systemdatei ist, kann man sie weder 
umbenennen oder löschen.
Also keine Gefahr.
Man sollte schon wissen, was man für Dateien hat und wo die sich 
rumtreiben.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.