Magic Sequence-Dateierkennung

#0
09.09.2004, 12:22
...neu hier

Beiträge: 2
#1 HI Leute

Jede Datei enthält innerhalb der ersten bytes eine sogenannte Magic Sequence (Magic Byte | Magic Number). Diese wird bei der Definition des Dateiformats durch die Entwickler festgelegt. Virenscanner verwenden teilweise die Magic Sequence zur sicheren Identifizierung des Dateiformates (weil manche Formate können keine Viren enthalten und dadurch spart sich der Virenscanner unter Umständen ein Menge Arbeit).

Meine Frage ist nun: Wie machen die Virenscanner das??
Wie kann man das Format einer Datei finden und erkennen??

Ich brauche ganz, ganz dringend Informationen darüber. Wisst ihr irgendetwas darüber, kennt ihr jemanden der darüber was weiß, kennt ihr Bücher oder Links in denen ich etwas darüber finde??

Jede auch nochso winzige Information würde mir weiterhelfen!!

Danke - Anika
Seitenanfang Seitenende
09.09.2004, 12:34
Moderator

Beiträge: 7804
#2 Naja, sie lesen Header und andere Informationen aus. Manchmal ist es sehr einfach herauszufinden, was fuer ein Format es ist, manchmal, bei irgendwelchen EXE-Packern, ist es schwerer. Meistens reicht schon ein Hexeditor aus um es herausufinden. Was genau willst du wissen, bzw was willst du machen. Ein paar mehr informationen waeren nicht schlecht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.09.2004, 12:59
Member

Beiträge: 3306
#3 http://www.astro.keele.ac.uk/~rno/Computing/File_magic.html

Kriegt man wie schon oben gesagt über einen Hexeditor raus. Unter *nix gibt es den File-Befehl, der einem die Arbeit abnimmt, für Windows ist mir nichts ähnliches bekannt, weil man dort ja mit Dateiendungen arbeitet.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
09.09.2004, 15:00
...neu hier

Themenstarter

Beiträge: 2
#4 HI

Danke für eure schnellen antworten.
Was ich darüber alles rausfinden soll weiß ich auch nicht so genau. Fest steht ich soll ca. 1 DIN A4 Seite schreiben.
Drin stehen sollte so etwas wie:
-wie kommmt ein Virenscanner oder auch Hexeditor an die Informationen ran und wie wertet er sie aus?
-wie ist eine datei ausgebaut und wie heißen die einzelnen Teile? (welche funktion haben sie?)
-kann man die magic number fälschen? Wenn ja, kann das ein virenscanner merken

und was noch so zum thema passt...
Seitenanfang Seitenende
09.09.2004, 21:02
Member

Beiträge: 3306
#5 Wie der da ran kommt? Na der ließt die Datei binär ein und nimmt die ersten 4 Bytes um in einer Tabelle nachzusehen, was für eine Datei das ist. Ausführbare Dateien scannt er dann, Archive entpackt er und den Rest ignoriert er.

Öhm die einzelnen Teile? Header, Datenteil und Footer schätzungsweise. Am Anfang stehen halt diverse Metadaten (Dateityp, Zugriffsrechte, Größe, Timestamps usw.) dann die eigentlichen Nutzdaten und am Schluß ein EOF. Glaub ich zumindest ;)

Fälschen kann man das sicher, aber da sich das OS auch dran orientiert ist ein gefakter nicht-ausführbarer Wurm, wirklich nicht ausführbar. Kannst ja mal irgendeine kleine exe hernehmen, mit ´nem Hexeditor das MZ am Anfang raus machen und schauen wie Windows motzt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: