Beiträge: 81
Themen: 4
Registriert seit: 04.08.2017
0 Über die Jahre habe ich schon so einige Diskettenimages gesammelt und von den wenigen eigenen Disketten selbst erstellt.
Allerdings würde gerne wissen, wie man diese am besten analysiert und ermittelt, ob sie unmodifiziert und von originalen Disketten stammen. Ich würde gerne verstehen, wie man das macht und mehr Informationen erhält um sie in Zukunft selbst analysieren zu können.
Ich beziehe mich bei dieser Frage eher auf die softwareseitige Analyse und nicht umbedings auf KryoFlux o.ä.
Bestimmte Schlüsselwörter tauchen dazu des öfteren hier im Forum auf, z.B Header, Timestamps der Dateien.
(@Heinrich Reich, hydr0x: Könnt ihr da bitte einen Einblick geben? Jedenfalls, hab ich von euch schon öfter im Forum Kommentare gelesen, die auf Fachwissen schließen lassen.  )
Beiträge: 564
Themen: 31
Registriert seit: 24.03.2009
0 Mir fehlt grade ein wenig die Zeit um was dazu aufzuschreiben, schreib mir doch bitte als Erinnerung ne PM, dann denke ich hoffentlich dran sobald es zeitlich passt (vermutlich erst Montag...)
Beiträge: 19.083
Themen: 606
Registriert seit: 24.01.2006
0 Es gibt RomRenamer / "Dateianalyser", die Dateien hashen können. Wenn Du ein Original Abbild erstellt hast, durchlaufen lassen, und die Werte speichern. So würde ich das machen. Der beste ist z.B. CLRMAME. Den kann mann dafür gut missbrauchen... der arbeitet u.A. mit MD5 Quersummen.
PS: Du bist übrigens mein Lieblingsuser in diesem Board!
Dieser Beitrag wurde nie editiert. Wozu auch... er ist wie immer perfekt und brillant.
Beiträge: 81
Themen: 4
Registriert seit: 04.08.2017
0 hydr0x schrieb:Mir fehlt grade ein wenig die Zeit um was dazu aufzuschreiben, schreib mir doch bitte als Erinnerung ne PM, dann denke ich hoffentlich dran sobald es zeitlich passt (vermutlich erst Montag...) Danke, nur kein Stress
Gadler schrieb:Es gibt RomRenamer / "Dateianalyser", die Dateien hashen können. Wenn Du ein Original Abbild erstellt hast, durchlaufen lassen, und die Werte speichern. So würde ich das machen. Der beste ist z.B. CLRMAME. Den kann mann dafür gut missbrauchen... der arbeitet u.A. mit MD5 Quersummen. Mit clrmamepro hatte ich tatsächlich bereits rumgespielt. Jedoch kann man damit nicht "in" die Images schauen (oder hab ich das was übersehen?). Da müsste man dann schon erst die Dateien extrahieren und die hashen lassen. Die Frage bleibt allerdings dann immer noch bestehen, wie testet man, ob die Dateien modifiziert wurden.
Beiträge: 2.827
Themen: 101
Registriert seit: 25.09.2005
0 Bobbin schrieb:Mit clrmamepro hatte ich tatsächlich bereits rumgespielt. Jedoch kann man damit nicht "in" die Images schauen (oder hab ich das was übersehen?). Da müsste man dann schon erst die Dateien extrahieren und die hashen lassen. Die Frage bleibt allerdings dann immer noch bestehen, wie testet man, ob die Dateien modifiziert wurden. Damit das funktioniert brauchst du natürlich eine Referenz. Irgendeine Datenbank, welche die Checksummen von unmodifizierten Images bereitstellt. Mit denen kannst du dann vergleichen.
Ansonsten kannst du natürlich mit einem Hexeditor in ein Image schauen. Diskettenimages sind in der Regel Raw gespeichert. Also einfach so wie die Bytes auf die Diskette geschrieben wurden. Um aus diesen Bytes Sinn zu machen, musst du das Format kennen, z.b. FAT beim DOS-PC. Dazu gibt es entsprechende Dokus, welche beschreiben wie dieses Format aufgebaut ist. Also wie die Dateien abgelegt sind, wie die Header aussehen, etc.
Beiträge: 19.752
Themen: 326
Registriert seit: 03.04.2008
0 Wie schon gesagt wurde, sind Vergleichsdaten für eine genaue Prüfung unerlässlich. Im Idealfall liegen die originalen Disketten vor. Jedoch kommt hier erschwerend hinzu, dass es sich bei Disketten um beschreibbare Datenträger handelt. Das heißt, die Daten könnten durch "ungeschützten Verkehr" (  ) verändert oder im schlimmsten Fall sogar beschädigt worden sein. Für eine optimale Prüfung braucht man also mehr als eine Quelle.
Wenn keine Vergleichsdaten vorliegen, dann bewegen wir uns weitestgehend im Bereich der Spekulation. In diesem Fall sucht man eher nach Indizien und kann keine 100%ige Aussage treffen. Es gibt dabei natürlich ein paar grobe Anlaufpunkte, die man stets prüfen kann und die eine erste Sortierung ermöglichen. Was uns diese Indizien aber letztendlich wirklich sagen ist eher eine Erfahrungssache. Denn nicht jeder Datenschnipsel ist zwangsläufig ein Beweis für "Echtheit oder Fälschung".
- Der erste Punkt auf der Prüfliste ist die Dateigröße. Floppy-Images sind normalerweise als Rohdaten gespeichert und demzufolge sollte die Dateigröße exakt die Anzahl an Bytes einer formatierten Diskette aufweisen. Dazu muss man die verschiedenen Typen von Disketten im Hinterkopf behalten (3,5 Zoll, 5,25 Zoll, High Density, etc.).
Allerdings gibt es auch komprimierte Image-Formate (z.B. IMZ), welche kleiner sind.
- Der nächste Prüfpunkt ist der Bootsektor (das, was wir bei Floppy-Images als Header bezeichnen - analog zu ROMs von Konsolen-Spielen). Dieser lässt sich mit diversen Prüftools auslesen. Im einfachsten Fall nimmt man einen Hex-Editor.
Das Thema ist jedoch ziemlich komplex und die genaue Beschreibung eines Floppy-Bootsektors, mit allen auslesbaren Informationen, würde wohl den Rahmen dieses Beitrages sprengen. Außerdem gibt es dafür bereits einschlägige Fachliteratur (angefangen bei wikipedia ). Ich beschränke mich deshalb hier nur auf eine der wichtigsten (und am leichtesten prüfbaren) Information: Die OEM ID.
Beim Einlesen eines Floppy-Images mittels Hex-Editor ist sie gleich in der ersten Zeile zu finden. Lautet sie "WINIMAGE" oder "IHC" kann man nahezu immer von veränderten Daten ausgehen (siehe Spoiler). Außerdem kann man noch prüfen, ob alle zugehörigen Images eines Spiels die gleiche OEM ID haben. Es ist normalerweise ungewöhnlich, wenn sich diese voneinander unterscheiden (allerdings nicht unmöglich ).
- Wenn man das Image schon im Hex-Editor geöffnet hat, wäre die Prüfung der Integrität von Dateisystem und Floppy-Daten (Kopierschutz, Bit-Fehler, etc.) der nächste Anlaufpunkt. Aber auch bei diesem Thema würde eine detaillierte Erklärung hier zu weit ausufern, denn die Charakteristika sind sehr vielfältig. Oftmals kann man hier, ohne Vergleichsdaten, ohnehin nur durch Erfahrungswerte eine Aussage treffen (und das auch nur begrenzt).
Mit Hinsicht auf das Datei-System ist zumindest die Prüfung der Funktion eine gute Orientierung: Ist das Image sauber auslesbar, kann man normalerweise von einem intakten Dateisystem ausgehen.
- Der letzte Prüfpunkt betrifft die im Image enthaltenen Dateien selbst. Für den Zugriff nimmt man entweder ein entsprechendes Image-Programm (Images immer nur schreibgeschützt öffnen!), einen Archiv-Entpacker (Rohdaten-Images lassen sich z.B. per 7zip öffnen) oder wieder einen Hex-Editor (wobei das ein wenig komplizierter ist ).
Bei der Prüfung muss man dann zwischen der reinen Datei-Integrität (Prüfsumme) und der gesamten Originaltreue (inkl. aller Datei-Eigenschaften) unterscheiden. Und an dieser Stelle wird die Sache nicht nur ebenfalls wieder sehr komplex, sondern hier scheiden sich auch die Geister hinsichtlich des Nutzens.
Zum Verständnis ist es zunächst wichtig zu wissen, dass die Prüfsumme einer Datei nicht von bestimmten Datei-Eigenschaften beeinflusst wird. Dazu zählen u.a. das Datei-Datum, die Datei-Attribute und sogar der Datei-Name. Das hängt einerseits mit dem grundsätzlichen Sinn einer Datei-Integritätsprüfung zusammen und andererseits damit, wie bestimmte Datei-Eigenschaften gespeichert werden (z.B. das Datum-Format).
Im Klartext bedeutet das, eine Datei kann "inhaltlich" absolut originalgetreu sein, aber aufgrund ihrer Datei-Eigenschaften ist sie trotzdem als Kopie identifizierbar. Für die reine Funktion macht das prinzipiell überhaupt keinen Unterschied, für die gesamte Originaltreue jedoch schon.
Das große Problem ist nun die Prüfung selbst. Da sich alle Datei-Eigenschaften relativ leicht verändern lassen, kommt man hier ohne Vergleichsdaten nicht effektiv weiter. Also kann man lediglich nachschauen, ob überhaupt etwas modifiziert wurde. Und dabei helfen wieder nur Erfahrungswerte weiter. Ein Datei-Datum jenseits der 90er Jahre wäre zum Beispiel ein ziemlich deutliches Indiz für eine Modifizierung. Und auch eine Unterscheidung in Groß-/Kleinschreibung ist bei Dateien der frühen DOS-Ära eher ungewöhnlich. Auch gewisse Zusatzinformationen (z.B. das VÖ-Datum eines Spiels) können bei der Prüfung helfen.
Die angesprochene Prüfung der Datei-Integrität lässt sich jedoch ausschließlich mit Hilfe von Vergleichsdaten durchführen. Ich persönlich nutze hierfür hashdeep, welches verschiedene Algorithmen anbietet (CRC32 & MD5 sind zwar schnell, aber leider nicht unfehlbar - Infos dazu bei wikipedia). Aufgrund der o.g. Einschränkungen ist es allerdings am sinnvollsten die Prüfsummen von gesamten Images zu vergleichen, die aus verschiedenen Quellen stammen bzw. von verschiedenen Nutzern erstellt wurden. Nach diesem Prinzip arbeiten auch Prüfsummen-Projekte, wie z.B. redump.org.
Abschließend möchte ich jedoch nicht unerwähnt lassen, dass derartige Prüfungen schnell in den Bereich des "Daten-Voodoo für Nerds" abdriften (  ). Eine Originaltreue ist zwar gut (und im Sinne der Daten-Konservierung auch wichtig), aber wer lediglich die reine Funktion im Sinn hat, wird mit der stinknormalen Warez-Kopie auch glücklich .
![[Bild: cgb-signaturwdjiq.png]](https://abload.de/img/cgb-signaturwdjiq.png)
Beiträge: 81
Themen: 4
Registriert seit: 04.08.2017
0 @Heinrich Reich:
Super, danke für deine sehr umfassende Antwort. Endlich hab ich eine Vorstellung was alles dahinter steckt. Ich habe jetzt mal ein paar Diskettenabbilder mir angesehen und da sind tatsächlich Unterschiede auszumachen.
Ich versuche gerade ein Python Skript zu entwickeln, welches mir die Informationen automatisch beschafft. Dabei ist mir deine Beschreibung sehr hilfreich.
Dann könnte ich die Abbilder entlich mal vernünftig katalogisieren. 
Beiträge: 9.282
Themen: 99
Registriert seit: 04.02.2011
Beiträge: 81
Themen: 4
Registriert seit: 04.08.2017
0 Dornfeld schrieb:Evtl. hilft dir auch die DAT-Datenbank dieses Projekts. Danke Dornfeld. Die scheinen da ein PDI Format zu nutzen. Ist nur etwas schwer überhaupt etwas über das Format zu finden...
Beiträge: 19.752
Themen: 326
Registriert seit: 03.04.2008
0 Bobbin schrieb:@Heinrich Reich:
Super, danke für deine sehr umfassende Antwort. Endlich hab ich eine Vorstellung was alles dahinter steckt. Ich habe jetzt mal ein paar Diskettenabbilder mir angesehen und da sind tatsächlich Unterschiede auszumachen.
[...] Freut mich, dass ich dir ein bisschen helfen konnte. Viele Dinge sieht man aber eben wirklich erst in der Praxis.
Beiträge: 9.282
Themen: 99
Registriert seit: 04.02.2011
0 Einer derr PDI-Schöpfer ist doch hier am Board unterwegs.
|
![[Bild: fyz2bla2s5sxc.gif]](https://www.abload.de/img/fyz2bla2s5sxc.gif)
