LanguageWie man unbekannte Dateien identifiziert
Fast jeder Computerbenutzer findet irgendwann seltsame Dateien auf seinen Festplatten und fragt sich, was zum Teufel das ist, weil sie keinem aktuellen Programm zugeordnet sind und wie sie überhaupt dorthin gekommen sind?
Solche Dateien können Überreste lange deinstallierter Programme sein, Dokumente, die dir von Freunden geschickt wurden und in einem Programm erstellt sind, von dem du noch nie gehört hast, oder im schlimmsten Fall können es Viren sein, die als „unbekannte“ Dateien getarnt sind, oder zuletzt Archive, die von Ransomware wie CryptoWall oder TeslaCrypt verschlüsselt wurden.
Dieser Artikel behandelt drei nützliche Methoden, mit denen Benutzer den Ursprung und Zweck ihrer unbekannten Dateien bestimmen können.
Drei Methoden zur Analyse unbekannter Dateien
Nr. 1 – Prüfe die File-Extensions.org Datenbank anhand der Dateiendung
Der beste Weg, Dateien zu identifizieren, ist natürlich, einfach auf ihre Dateiendung zu schauen und diese in unserer File-Extensions.org Datenbank nachzuschlagen.
Dies sollte dir genügend Informationen geben, um herauszufinden, um welche Art von Datei es sich handelt und welches Programm du zum Arbeiten damit benötigst. Natürlich kannst du auch andere ähnliche Websites finden, aber unsere ist wahrscheinlich die größte und umfangreichste und deckt über 30.000 Dateitypen ab.
In der überwiegenden Mehrzahl der Fälle ist das ausreichend, aber manchmal wurde die ursprüngliche Dateiendung umbenannt oder fehlt komplett, sodass du die Hilfe spezieller Datei-Analyse-Tools benötigst, um eine bestimmte unbekannte Datei zu identifizieren.
Nr. 2 – Verwende TrID – File Identifier
TrID ist ein exzellentes Programm zur schnellen Analyse deiner Dateien. Es ist ziemlich einfach zu benutzen, einfach herunterladen zusammen mit den Definitionsdateien (kopiere diese in den Programmordner) und starte es über die Befehlszeile (cmd.exe) mit der richtigen Syntax, die die Analyse deiner Datei ausführt und den Inhalt zu bestimmen versucht.
Der Autor des Programms, Marco Pontello, aktualisiert die Datenbank regelmäßig, sodass sie eine große Anzahl (6401 zum jetzigen Zeitpunkt) verschiedener Dateitypen abdeckt und die meisten gängigen Dateitypen enthalten sollte. Du kannst es kostenlos herunterladen, vergiss nur nicht, auch die Definitionsdatei (.trd) herunterzuladen.
Um zu demonstrieren, wie es funktioniert, haben wir ein zufälliges Microsoft Word-Dokument (.doc) umbenannt und die Endung entfernt, sodass die Datei nur „unknown“ hieß, und es mit TrID analysiert. Die Ergebnisse siehst du im Screenshot unten.
Ganz genau richtig, wenn man bedenkt, dass es ein Word-Dokument mit einer eingefügten Tabelle war.
Du kannst auch die Online-Version von TrID direkt in deinem Webbrowser ohne Installation verwenden. Das ist nützlich, wenn du eine andere Plattform als Windows nutzt und nichts installieren möchtest.
Dies ist auch eine gute Methode, um zu prüfen, ob eine Datei wirklich das ist, was sie vorgibt zu sein, besonders wenn du bezüglich ihres Ursprungs misstrauisch bist. Besonders hilfreich, um gefährliche E-Mail-Anhänge mit umbenannten Dateiendungen zu entlarven, die Benutzer zum Öffnen verleiten sollen.
Falls TrID das Rätsel um deine unbekannte Datei nicht löst, gibt es noch eine letzte Möglichkeit, die du versuchen kannst, um die Datei zu identifizieren.
Nr. 3 – Verwende einen Hex-Viewer zur Analyse deiner Dateien
Du kannst jeden verfügbaren Hex-Viewer verwenden, um die nötigen Informationen zu erhalten, aber wenn du ein besseres Tool zur Datei-Analyse suchst, empfehlen wir FileAlyzer.
FileAlyzer ist viel mehr als nur ein einfacher Hex-Viewer. Er ermöglicht eine grundlegende Analyse von Dateien und zeigt alle möglichen Eigenschaften des Inhalts, einschließlich des Hex-Dumps.
Das Programm kann auch die Struktur des Inhalts interpretieren und erkennen, um welchen Dateityp es sich handelt (Text, Grafik, Medien, HTML, XML, PE und mehr). Wiederum ist es ein kostenloser Download, also definitiv einen Versuch wert.
Eine der wichtigsten Eigenschaften zur Identifikation unbekannter Dateitypen ist der HEX-Code, der für jedes Dateiformat einzigartig ist.
Das Erste, was du versuchen solltest, ist den ersten HEX-Code in der Tabelle zu kopieren und einfach bei Google zu suchen. Viele Seiten bieten umfangreiche Datenbanken mit HEX-Codes, sodass eine Google-Suche oft hilfreiche Ergebnisse liefert.
Du kannst natürlich auch manuell HEX-Datenbanken auf solchen Websites prüfen, zum Beispiel:
Wikipedia File Signatures Table
Die File-Extensions.org Datenbank enthält auch HEX-Code-Informationen, allerdings nur für die gängigsten Dateitypen.
Ein Beispiel von vielen: Im Screenshot unten siehst du den HEX-Code-Block FF D8 FF E0, typisch für JPEG-Bilder, obwohl die mit FileAlyzer geöffnete Datei eine .dat und keine .jpg Datei war.
Eine weitere interessante Sache bei der Dateianalyse ist, dass FileAlyzer auch zusätzliche Registerkarten (Bitmap, Image, EXIF usw.) für Grafikformate anzeigt. Dies bestätigt nur, dass unsere Beispieldatei tatsächlich nur ein gewöhnliches JPEG-Bild war, dessen Endung von jpg in dat umbenannt wurde.
Natürlich kannst du jeden HEX-Viewer verwenden, den du möchtest, aber FileAlyzer hat ein viel größeres Potenzial, dir bei der Identifikation deiner unbekannten Dateien zu helfen.
Fazit
Wie du siehst, sind alle drei Methoden zur Identifikation unbekannter Dateien brauchbar, aber jede ist in unterschiedlichen Szenarien nützlich und liefert jeweils andere Hinweise, um unbekannte Dateitypen erfolgreich zu identifizieren.
Manchmal hast du nur teilweises Glück und musst das Puzzle Stück für Stück zusammensetzen, bis du endlich herausfindest, um welche Art Datei es sich bei deiner mysteriösen Datei handelt.