TimeStamp von hex in lesbares Format umwandeln?

Antworten
tramp20
Frischling
Frischling
Beiträge: 26
Registriert: 29.06.2016, 08:31

TimeStamp von hex in lesbares Format umwandeln?

Beitrag von tramp20 » 15.01.2020, 14:44

Hallo,
kann das jemand hier auflösen oder wo könnte ich das nachlesen:

"TimeStamp"=hex:e4,07,01,00,01,00,0d,00,0e,00,0c,00,25,00,9d,00

Steht in der Win10-Registry bei einem Treiber.

Danke.

Tante Google

TimeStamp von hex in lesbares Format umwandeln?

Beitrag von Tante Google » 15.01.2020, 14:44


Benutzeravatar
DK2000
Elite
Elite
Beiträge: 2138
Registriert: 03.04.2018, 00:07
Geschlecht:

Re: TimeStamp von hex in lesbares Format umwandeln?

Beitrag von DK2000 » 15.01.2020, 16:03

Wenn es etwas kürzer wäre, aber in der Länge?

Könnte etwas von 01.01.2020 sein. Aber bei der Zeit? 13:14:12. Ob das passt? Und die letzten beiden Wörter könnten Millisekunden sein, bekomme ich aber nicht so wirklich decodiert.

Was für ein Treiber ist das denn?

tramp20
Frischling
Frischling
Beiträge: 26
Registriert: 29.06.2016, 08:31

Re: TimeStamp von hex in lesbares Format umwandeln?

Beitrag von tramp20 » 16.01.2020, 07:59

DK2000 hat geschrieben:
15.01.2020, 16:03

Könnte etwas von 01.01.2020 sein. Aber bei der Zeit? 13:14:12. Ob das passt?
Eher 13.01.2020.

Aber wie hast Du das dekodiert?
Wenn ich das aktuelle Datum/Zeit mit einem Unix-Timestamp Rechner umrechnen lasse, komme ich auf 1579161024 dez, und das ergibt 5E2015C0 hex.

Mit meinen angefragten Zahlen können die Unix-Timestamp Rechner nichts anfangen.

Mike2018
Frischling
Frischling
Beiträge: 22
Registriert: 06.04.2018, 01:42

Re: TimeStamp von hex in lesbares Format umwandeln?

Beitrag von Mike2018 » 16.01.2020, 20:01

[/quote]
Mit meinen angefragten Zahlen können die Unix-Timestamp Rechner nichts anfangen.
[/quote]

Windows verwendet ein anderes Format. Versuch 'mal, die Konvertierung nach einer Anleitung von Symantec durchzuführen, zu finden im Internet unter "Convert Endpoint Protection Manager syslog.log timestamp to standard timestamp".

Benutzeravatar
DK2000
Elite
Elite
Beiträge: 2138
Registriert: 03.04.2018, 00:07
Geschlecht:

Re: TimeStamp von hex in lesbares Format umwandeln?

Beitrag von DK2000 » 16.01.2020, 20:45

Windows verwendet auch das Unix Format. Aber das erkennt man auch.

e4,07,01,00,01,00,0d,00,0e,00,0c,00,25,00,9d,00 ist einfach nur eine Bytefolge, die eigentlich so gelesen wird:

Jahr: e4,07 = 0x07e4 = 2020
Monat: 01,00 = 0x0001 = 1
Tag: 01,00 = 0x0001 = 1
Stunde: 00,0d = 0x000d = 13
usw.

Warum Du jetzt von 13.01.2020 ausgeht, ist nicht ganz klar, da 13 das 00,0d wäre. Aber wenn das Monat ist, was ist dann das 01,00,01,00?

Finde da jetzt aber auch keine Informationen seitens Microsoft, was da drin stehen soll.
Habe da bei mir mal nachgeschaut, ob ich da etwas vergleichbares finde:

e3,07,0c,00,03,00,19,00,10,00,34,00,00,00,13,02

Gerätemanager sagt dazu: 28.12.2019 20:25:58

Jahr (e3,07) und Monat (0c,00) passen, aber der Tag schon nicht mehr.

Eventuell mal das WDK installieren, ob es da irgendwelche Infos dazu gibt. So wie früher scheint das nicht mehr zu klappen.
Bei Symantec geht es um Ticks. Die werden aber auch so direct in der Registry als QWORD gespeichert:

Code: Alles auswählen

"Timestamp"=hex(b):0c,3d,47,99,7e,9f,d4,01
Das kann man dann in der Powershell leicht umrechen:

Code: Alles auswählen

$bytes = [byte[]](0x0c,0x3d,0x47,0x99,0x7e,0x9f,0xd4,0x01)
$Int64Wert = [System.BitConverter]::ToInt64($bytes, 0)
[datetime]::FromFileTime($Int64Wert)
Samstag, 29. Dezember 2018 14:58:38 (UTC)

Das ist auch dokumentiert: https://docs.microsoft.com/de-de/dotnet ... mework-4.8

Das lässt sich aber auf den langen Eintrag nicht anwenden. Da kommt immer Müll raus, da einfach zu lang.

tramp20
Frischling
Frischling
Beiträge: 26
Registriert: 29.06.2016, 08:31

Re: TimeStamp von hex in lesbares Format umwandeln?

Beitrag von tramp20 » 17.01.2020, 06:11

Vielen Dank für Deine Bemühungen.
Ich werde dies alles mal in Ruhe anschauen und testen.

Antworten