Question Quel est le but / la fonction des fichiers ".ßßß"?


En essayant de copier le contenu d'un disque USB de 16 Go, j'ai reçu un avertissement indiquant qu'il n'y avait pas assez d'espace libre. En vérifiant les propriétés de l’arborescence des dossiers sur le lecteur USB, j’ai trouvé un grand nombre de fichiers ".ßßß" se réclamant d’environ 3,5 Go chacun, pour un total d’environ 908 Go (ce qui, à mon avis, ne serait pas possible sur un disque dur). 16 Go de disque).

screenshot of the files in question

Évidemment, il se passe quelque chose ici, mais je ne trouve aucune référence à ce type de fichier en ligne.

Lorsque j'essaie de supprimer ces fichiers, ils demandent l'autorisation de l'administrateur (que je fournis). Cependant, ils lancent ensuite une erreur "File Access Denied" et déclarent que je dois obtenir l'autorisation du gestionnaire de fichiers ...

Est-ce que quelqu'un sait quel est le but de ces fichiers et comment les supprimer?


168
2017-08-01 17:58


origine


Cela ressemble à des logiciels malveillants, utilisant éventuellement des technologies de diffusion USB ou un obscurcissement du contenu / des noms de fichiers pour détruire les données. Ce n'est absolument pas normal ou prévu. La taille du fichier semble aussi seulement être grande. - confetti
Je pense que votre disque, ou du moins le système de fichiers, pourrait être grillé. - Ignacio Vazquez-Abrams
Cela ressemble à la corruption de FS. Essayer de courir chkdsk ou Repair-Volume sur le lecteur? - bwDraco
Est-ce que ce lecteur vient de Chine? Ils avaient l'habitude de changer de FW pour rapporter une taille plus grande que réelle. Si end a été atteint, l'écriture commence au début, remplaçant ainsi FS. - JIV
@MrLister Parmi beaucoup articles de blog et articles (0  1  2) il y a deux mentions d'Andrew Huang (de la renommée de Xbox jailbreaking) dans pages 151-152 et 292-293 de son livre "The Hardware Hacker", l'un des chapitres où il analyse toutes sortes de pièces électroniques contrefaites. - grawity


Réponses:


Très probablement, ce ne sont pas des fichiers réels mais le résultat d'une corruption du système de fichiers.

  • Il n'est normalement pas possible d'avoir plusieurs fichiers portant des noms identiques.
  • Leurs noms (ßßßßßßßß.ßßß) correspondent aux octets hexadécimaux E1 E1 E1 ... dans la page de code 437 (qui était la page de codes MS-DOS par défaut et donc la page de codes FAT / FAT32 par défaut lorsque les noms de fichiers longs ne sont pas utilisés).
    (Le personnage n'est pas le bêta grec mais l'allemand forte minuscule S. Le point n'est pas réellement stocké dans le FAT, mais ajouté par le système d'exploitation lors de la lecture, de sorte qu'il ne soit pas corrompu.)
  • Leurs tailles sont proches de 3 789 677 025 octets, ce qui correspond encore à 0xE1 E1 E1 E1 en hexadécimal.
    (Cela fait environ 3 700 856 469 kilo-octets; Windows est probablement arrondi.)

Tous les signes indiquent une partie de la table des fichiers maîtres de votre système de fichiers remplie par l'octet 0xE1 mai être causé par un logiciel (tel que le débranchement à mi-écriture), mais mai indiquent également que la mémoire flash elle-même est en train de mourir.

La corruption induite par logiciel peut souvent être nettoyée en utilisant la vérification des erreurs de disque de Windows (chkdsk). Ou reformatez simplement le disque (après avoir copié vos vrais fichiers).

Mais en particulier pour les lecteurs moins chers et / ou fortement utilisés, une mauvaise mémoire flash est très probable. N'utilisez plus ce lecteur pour les fichiers importants.


434
2017-08-01 18:12



Votre théorie semble solide, basée sur le thème récurrent de l'octet E1. J'ai depuis formaté le lecteur et tout apparaît Eh bien ... mais je ne vais probablement pas utiliser ce lecteur à des fins critiques. Merci pour la perspicacité! - Arne
E1 = 1110 0001 - Cela signifie qu'il s'agit d'une séquence mal alignée d'ensembles de 4 bits et de 4 bits effacés à plusieurs reprises. - Victor Stafusa
Peut-être. Je pense qu’il est légèrement plus probable qu’il s’agisse d’une séquence normale d’un quartet choisi arbitrairement, suivi de son inverse. (Non pas que cela me dise beaucoup de choses, car je ne connais rien à la fabrication de mémoire flash.) - grawity
En fait, dans CP437, le caractère 225 est tous les deux forte S et bêta grecque. - IllidanS4