Rohdatenvergleich mit CI Hex Viewer

Datenvergleich ist eine der Hauptaufgaben bei Datenanalyse. Mehrere ähnliche Dateien, Dateien vor und nach Änderungen, sogar Fragmente desselben Datenspeichers werden bei der Datenanalyse nach Unterschiede untersucht. Die Analyse nach Unterschiede in rohen Daten kann ein unentbehrliches Teil auch für Datenrettung werden, besonders wenn es um manuelle Datenwiederherstellung wie etwa von RAID geht.

In diesem Artikel wird ein Beispiel für Datenvergleich von zwei .bmp-Dateien im Programm CI Hex Viewer angeführt. Eine der Dateien ist beschädigt und durch Betriebssystem unzugänglich. Der praktische Zweck des Vergleiches ist die Ursache für Dateibeschädigung festzustellen und sie zu lösen. Dadurch kann die beschädigte Datei wiederhergestellt werden.

Im Laufe von Datenvergleich werden die folgenden Handlungen vorgenommen:


Die beiden Dateien werden ins Programm geladen. Dazu drücken wir auf den Knopf und wählen die nötigen Dateien aus.







Tools und wählen wir aus dem Drop-Down-Menü.




Die beiden Dateien werden im Tool zum Datenvergleich geöffnet. Dazu drücken wir im Tool auf den Knopf Zum Vergleich hinzufügen.




Jetzt kann die Datenanalyse angefangen werden. Das Programm zeigt die unterschiedlichen Bereiche der beiden Dateien, indem diese Bereiche hervorgehoben werden.




Zum Vergleich von zwei .bmp-Dateien wird nur ein Bitmap nötig. Deshalb braucht man nur den Bereich vom Offset 0x00 bis zum Offset 0x32 (50 erste Bytes). Der weitere Datenbereich kann im Programm ausgeblendet werden. Zum Ausblenden des unnötigen Bereiches wählt man das Tool Komponente editieren und setz den nötigen Bereich zum Anschauen im Programm.




Der Bereich kann auch durch Markieren eingeschränkt werden. Zur Einschränkung des Bitmaps hervorheben wir den Datenbereich vom 0x00 bis 0x32 und drücken wir Nur dieses Fragment vergleichen am Boden des Programmfensters.




Mit den Pfeilen Vorheriger Unterschied und Nächster Unterschied kann man von einem Unterschied auf den Anderen übergehen.




Nach der Analyse von der Dateikennung werden die ersten zwei Bytes für die weitere Analyse nicht nötig, deshalb kann der Vergleichsbereich noch verkürzt werden. Dazu stellen wir den Cursor auf den dritten Byte und drücken wir Diese Komponente von hier aus vergleichen am Boden des Programmfensters in den beiden Vergleichskomponenten.




Nach dem Ende von Analyse des Bitmaps öffnen wir den ganzen Datenbereich wieder. Dazu drücken wir auf den KnopfZur vollen Quelle.



Fazit:

In unserem Beispiel unterschiedlich sind die hexadezimalen Werte der Dateikennung. Es lässt sich leicht feststellen, dass der beschädigten Datei zwei Bytes am Anfang fehlen. Nach Modifizierung nötiger Daten lässt sich die Datei leicht wiederherstellen. Weitere unterschiedliche Daten wie Dateigröße, Anfang von Bilddateien, Auflösung usw. soll für jede der Dateien spezifisch sein und wird für weitere Rettung beschädigter Datei nicht kritisch.




Legal notes     Privacy policy     Support     Contact    
Copyright © 2004-2015 LLC SysDev Laboratories. All rights reserved.