Herkunftsbestimmung von Dateien?

Hi

Gibt es eine Möglichkeit, wie man herausfinden kann, von welchem Programm oder Dienst eine Datei angelegt wurde?

Unter Eigenschaften findet man eigentlich nur die Angaben, wann die Datei oder das Dokument erstellt wurde.
Da ich nicht zu denjenigen gehöre, die jede Änderung täglich dokumentiert, weiß ich auch nicht, was ich z.B. „am Donnerstag, 10. April 2008, 18:21:51“ gerade gemacht habe?

Gruß Nino

hallo

Gibt es eine Möglichkeit, wie man herausfinden kann, von
welchem Programm oder Dienst eine Datei angelegt wurde?

keine wirklich eindeutige. aufgrund der dateiendung kann man manchmal dateien von standardsoftware halbwegs zuverlässig erkennen. teilweise nutzt eine software auch eine bestimmte konvention zum generieren von temporären dateinamen, wodurch man diese dateien relativ einfach der software zuordnen kann. ist aber alles „nicht so fix“, da die dateiendung ja frei gewählt werden kann und es oft überschneidungen gibt.

wenn du hingegen ständig neue dateien findest bzw. sich die datei immer wieder ändert, kannst du es mal mit dem filemon probieren (http://technet.microsoft.com/de-de/sysinternals/bb89…). der erkennt, welcher prozess auf welche dateien zugreift. der muss aber zum zeitpunkt des zugriffes laufen - also nix mit nachträglichen rausfinden.

hin und wieder hilft es auch, sich die datei mit notepad anzusehen. normalerweise ist nur binärer inhalt drinnen, den man ohne geübtes auge nicht interpretieren kann (und selbst ein geübtes auge hat mit vielen daten ein problem). manchmal steht aber auch was im klartext in der datei drinnen, was aufschluss über den zugehörigen prozess gibt. bsp: öffnest du eine pdf-datei mit notepad, steht schon ganz am anfang was von %PDF - selbst ohne die dateiendung „.pdf“ weiss man daher, dass es sich höchstwahrscheinlich um eine pdf-datei handelt.

lg
erwin