[HaBo]

heinzelJacKy

Anzeige

sodala, hätt ma ne aufgabe fuer die profis hier in sachen krypto, weil ich mich selber net so ganz auskenn (tu zwar alles, mich zu informieren aber hab net so viele anhaltspunkte)
also, folgendes problem (bisschen ausschweifender erläutert):
in unserer schule hat so ein scherzkeks (den ich sehr wohl kenne) die kompletten pcs mit nem selbergeschriebenen keylogger infiziert, der praktisch alles loggt und die logs dann auf dem schuleigenen server speichert. das eigentliche problem ist, dass diese logs verschluesselt sind, und ich bis jetzt nicht rausfinden konnte, wie.
folgende anhaltspunkte hab ich:
die logs beginnen immer mit

wobei in der ersten zeile der computername verändert ist oder die erste zeile komplett fehlt, in der zweiten zeile das datum variiert, die dritte jedoch ziemlich gleich bleibt.
danach folgen sehr viele timestamps a la " [11:29:00]" (mit tabstopp davor) und insgesamt sehr viele "[" und "]"
so, meine frage ist jetz: ist es möglich, anhand dieser anhaltspunkte ein solches file zu entschluesseln oder den schluessel herauszufinden, insbesondere wenn die verschluesselung triple-des oder aes ist?

habe versucht, den code des keyloggers zu reversen, nachdem ich den dummen packer umgangen habe, bekomme ich jetzt jedoch endlose borland-library-aufrufe aus denen man genausowenig schlau wird.
ich hab mal ein solches log angehängt, aber das einzige was ich bis jetzt herausgefunden habe ist, dass sämtliche dateien mit 39 05 00 00 (hex) beginnen.
naja, falls irgenwer ne idee hat, sacht bescheid ;-)
anmerkung: die dateien im anhang sind nicht die selben, sondern nur beispiele fuer eine ver- und eine entschluesseltes file!)

Angehängte Dateien

keylog.rar (32,3 KB, 77x aufgerufen)

Elderan

Hallo,
also wenn es 3DES oder AES ist, hast du sehr schlechte Karten. Die einzige Möglichkeit wäre den Quellcode zu disassemblieren und dann nach dem Key zu suchen.

Aber ich finde man kann seine Zeit sinvoller verwenden

heinzelJacKy

nuja, wahrscheinlich kann man das wirklich, aber ich benuetz es praktisch als einstieg in kryptographie und reverse-engineering, weil mich beides interessiert, hätt ja sein können dass noch n paar solche leute gibt.wahrscheinlich isses wirklich recht sinnlos, aber wenigstends besser als nen virus zu schreiben und den dann zu verbreiten, denk ich zumindest mal..

Elderan

Hallo,
ein guter Einstieg wäre z.B., wenn du selber mal bekannte Algorithmen implementierst (TEA und Blowfish sind recht leicht), allerdings ohne von fertigen Versionen abzugucken.
Natürlich musst du dann noch verstehen wie diese Algos. arbeiten.

heinzelJacKy

hm ok, momentan sehen die erfolgschancen fuer das "projekt" eh eher gering aus, da ich zwar mit reverse-engineering schon fuendig geworden bin, allerdings das ganze mit borland programmiert wurde, das heißt endlose library-calls und bekackte ansistring-objekte... in assembler net grad leicht zu lesen.
aber ich werd mich mal daran machen, sowas in der richtung zu implementieren wenn ich grad sonst nix vorhab