Qual è lo scopo / funzione dei file ".ßßß"?

168

Durante il tentativo di copiare il contenuto di un'unità USB da 16 GB, ho ricevuto un avviso che non c'era abbastanza spazio libero. Controllando le proprietà dell'albero delle cartelle sull'unità USB, ho trovato un gran numero di file ".ßßß" che dichiarano di essere intorno a 3,5 GB ciascuno, per un totale di circa 908 GB (che non penso sia possibile su un Unità da 16 GB).

screenshot of the files in question

Ovviamente c'è qualcosa da fare qui, ma non riesco a trovare alcun riferimento a questo tipo di file online.

Quando provo a eliminare questi file, richiedono l'autorizzazione dell'amministratore (che fornisco). Tuttavia, lanciano un errore "Accesso ai file negato" e dichiarano che ho bisogno dell'autorizzazione dall'ammistratore ...

Qualcuno sa qual è lo scopo di questi file e come rimuoverli?

windows  file-transfer 
Arne
fonte
17
Questo sembra malware, possibilmente utilizzando tecnologie di diffusione USB o offuscamento di contenuti / nomi di file per distruggere i dati. Non è assolutamente niente di normale o atteso. Anche la dimensione del file sembra essere così grande.
confetti
69
Penso che il tuo disco, o almeno il filesystem su di esso, potrebbe essere brindisi.
Ignacio Vazquez-Abrams
8
Questo ... sembra corruzione dei FS. Prova a correre chkdsk o Repair-Volume sul disco?
bwDraco
3
È questa unità dalla Cina? Hanno usato per cambiare FW per segnalare dimensioni più grandi del reale. Se la fine è stata raggiunta, la scrittura inizia all'avvio, ignorando in tal modo le FS.
JIV
4
@MrLister Among molti post di blog e articoli ( 0 1 2 ) ci sono due citazioni di Andrew Huang (di Xbox jailbreaking fame) in pagine 151-152 e 292-293 del suo libro "The Hardware Hacker", uno dei capitoli in cui analizza tutti i tipi di parti elettroniche contraffatte.
grawity

Risposte:

437

Molto probabilmente questi non sono file reali ma il risultato della corruzione del filesystem.

  • Normalmente non è possibile avere più file con nomi identici.
  • I loro nomi (ßßßßßßßß.ßßß) corrispondono ai byte esadecimali E1 E1 E1 ... nella tabella codici 437 (che era la tabella codici MS-DOS predefinita e quindi la tabella codici FAT / FAT32 predefinita quando i nomi di file lunghi non sono in uso).
    (Il personaggio non è la beta greca ma il tedesco S minuscole e nitide . Il punto non è effettivamente memorizzato nel FAT, ma aggiunto dal sistema operativo durante la lettura, quindi non viene danneggiato.)
  • Le loro dimensioni sono vicine a 3 789 677 025 byte, che è nuovamente 0xE1 E1 E1 E1 in esadecimale.
    (Sono circa 3 700 856,469 kilobyte; Windows probabilmente arrotonda.)

Tutti i segni indicano una parte della tabella del file master del filesystem che viene riempita con il byte 0xE1, che potrebbe essere causato dal software (come scollegare il mid-write), ma potrebbe indica anche che la memoria flash stessa sta morendo.

La corruzione indotta dal software può essere spesso eliminata utilizzando il controllo degli errori del disco di Windows (chkdsk). O riformattare semplicemente l'unità (dopo aver copiato i file reali da esso).

Ma soprattutto per le unità più economiche e / o molto usate, è molto probabile una scarsa memoria flash. Non usare più questa unità per file importanti.

grawity
fonte
47
La tua teoria sembra solida, basata sul tema ricorrente del byte E1. Da allora ho formattato l'unità e tutto appare beh ... ma probabilmente non userò più questa unità per scopi mission-critical. Grazie per l'intuizione!
Arne
8
E1 = 1110 0001 - Ciò significa che è una sequenza disallineata di set di 4 bit e 4 bit cancellati ripetuti più volte.
Victor Stafusa
7
Possibilmente. Leggermente più probabile, penso, che sia una normale sequenza di un bocconcino scelto arbitrariamente seguito dalla sua inversa. (Non che mi dica molto in entrambi i modi, dato che non so nulla della produzione di memorie flash).
grawity
4
In realtà, in CP437, il carattere 225 è tutti e due S affilata e beta greca.
IllidanS4
1
@ IllidanS4: Poiché Windows gestisce solo i nomi di file Unicode (convertendo automaticamente CP437 in Unicode durante la lettura del FAT) e Unicode sceglie di mappare 0xE1 a U + 00DF ("LATIN SMALL LETTER SHARP S"), questo è inequivocabilmente quello che tutti i programmi Windows display , indipendentemente dalla doppia definizione originale.
grawity
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.