[HaBo]

adler05 · 07.07.08, 10:49

hi,
hatte mich im Board eingelesen und erhoffte das ich eine Antwort finden könnte.. wie es aussieht habe ich keine gefunden ;). Umso mehr hoffe ich das ihr mir helfen könnt.

Es geht sich um Folgendes:

1. Vor ungefähr 14 Tagen hat sich eine Verschlüsselung einer Datei geändert, die bis dato so aussah (Ausschnitt eines Teils aus der Verschlüsselten Datei ):

Code:

  D0   C6   CD   DD    80  C6   DD   D6

function die das entschlüsselt

Code:

        // Hex-Werte   D0   C6   CD   DD    80  C6   DD   D6
	int Dezi[8] = {208, 198, 205, 221, 128, 198, 221, 214};	
	char Buchstabe;
	int p = 0xAA;

	for(int i = 0; i < 8; i++) {
		Buchstabe = char(Dezi[i] ^ (p & 0xFF));
		p += 1;
		
		cout << Buchstabe;
	}
	
	// Ausgabe zmap.img entschlüsselt

betrachten wir die Hex-Werte
alt: D0 C6 CD DD 80 C6 DD D6
neu: 46 68 F2 79 C8 3C 00 46

Schlage mich jetzt seit 3 Tagen mit dem mist rum, komme einfach nicht weiter.

Frage an euch:
1. da die Datei (regulär) während des ausführens die Daten entpackt, muss es doch in der exe eine bestimmte stellen geben die diese Daten entpackt.. sprich mit Assemble könnte man diese stelle finden?

2. wie hätte man sonst die Konstante 0xFF bekommen.

3. gibt es Programme die so was entschlüsseln könnten?

danke im voraus

Lesco · 07.07.08, 11:40

Ist der Klartext der Datei gleich geblieben oder hat sich der auch verändert(kann man das vielleicht im Programm sehen)?
Wenn er gleich geblieben ist, kannst du versuchen deinen Algorithmus rückwärts anwenden, um zu sehen, ob sich vielleicht nur p geändert hat. Allerdings könnte es auch sein, dass der Algorithmus komplett verändert wurde.

Zitat:

Frage an euch:
1. da die Datei (regulär) während des ausführens die Daten entpackt, muss es doch in der exe eine bestimmte stellen geben die diese Daten entpackt.. sprich mit Assemble könnte man diese stelle finden?

Ja, das wäre die sicherste Methode. Ich empfehle dafür IDA(es gibt eine Freeware-Version) oder OllyDbg.

Zitat:

3. gibt es Programme die so was entschlüsseln könnten?

Völlig automatisiert ohne Informationen über den Algorithmus und die Daten ist sowas nicht möglich(OTP).

Anzeige

- Anzeige -

07.07.08, 11:43

3 Sachen hierzu:

1.
Ja es ist mit Sicherheit möglich auf 0xFF zu schließen wenn ich mich beim Disasseblieren bemühe.

2.

Zitat:

Code:

 Buchstabe = char(Dezi[i] ^ (p & 0xFF));

muss das nicht so aussehen?

Code:

 Buchstabe += char(Dezi[i] ^ (p & 0xFF));

oder so:

Code:

 Buchstabe = Buchstabe + char(Dezi[i] ^ (p & 0xFF));

3. Was zum Teufel soll denn eine AND-Verknüpfung mit 0xFF bringen?

0xAA & 0xFF = 0xAA

11111111
10101010
&_______
10101010

adler05 · 07.07.08, 12:48

@Easyrider
Buchstabe ist kein String, sonst würde es gehen

@Lesco
Werde die Exen vergleichen..

danke

Lesco · 07.07.08, 13:30

Zitat:

Original von Easyrider
3. Was zum Teufel soll denn eine AND-Verknüpfung mit 0xFF bringen?

0xAA & 0xFF = 0xAA

11111111
10101010
&_______
10101010

Manche C-Compiler machen sonst Ärger, wegen der impliziten Konvertierung von char nach int: Wenn der char nicht unsigned ist und das erste Bit gesetzt ist, kann es passieren, dass dies als Vorzeichen gesehen wird und dann auf das int übertragen wird. Versuch in Assembly einfach mal movsx eax,al mit al=0xff auszuführen, das Ergebnis ist dann nämlich nicht eax=0x000000ff.
Als Umweg kann man entweder &0xff schreiben oder den char als unsigned deklarieren(dann müsste eigentlich movzx verwendet werden).

Anzeige

- Anzeige -

07.07.08, 10:49	#1 (permalink)
adler05 Registriert seit: 07.07.08 Likes: 0	Entschlüsseln, wie? Anzeige hi, hatte mich im Board eingelesen und erhoffte das ich eine Antwort finden könnte.. wie es aussieht habe ich keine gefunden ;). Umso mehr hoffe ich das ihr mir helfen könnt. Es geht sich um Folgendes: 1. Vor ungefähr 14 Tagen hat sich eine Verschlüsselung einer Datei geändert, die bis dato so aussah (Ausschnitt eines Teils aus der Verschlüsselten Datei ): Code: D0 C6 CD DD 80 C6 DD D6 function die das entschlüsselt Code: // Hex-Werte D0 C6 CD DD 80 C6 DD D6 int Dezi[8] = {208, 198, 205, 221, 128, 198, 221, 214}; char Buchstabe; int p = 0xAA; for(int i = 0; i < 8; i++) { Buchstabe = char(Dezi[i] ^ (p & 0xFF)); p += 1; cout << Buchstabe; } // Ausgabe zmap.img entschlüsselt betrachten wir die Hex-Werte alt: D0 C6 CD DD 80 C6 DD D6 neu: 46 68 F2 79 C8 3C 00 46 Schlage mich jetzt seit 3 Tagen mit dem mist rum, komme einfach nicht weiter. Frage an euch: 1. da die Datei (regulär) während des ausführens die Daten entpackt, muss es doch in der exe eine bestimmte stellen geben die diese Daten entpackt.. sprich mit Assemble könnte man diese stelle finden? 2. wie hätte man sonst die Konstante 0xFF bekommen. 3. gibt es Programme die so was entschlüsseln könnten? danke im voraus

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP entschlüsseln...	maniman2	Cryptography & Encryption	10	25.10.08 21:43
Api entschlüsseln	sd333221	Code Kitchen	10	29.10.06 20:03
inx entschlüsseln	NaTaZ	Cryptography & Encryption	0	24.10.06 19:04
DES Entschlüsseln?	Grayson	Cryptography & Encryption	1	04.06.05 15:17
jpg entschlüsseln	Sino	Windows	6	30.12.04 16:14

07.07.08, 12:48	#4 (permalink)
adler05 Themenstarter Registriert seit: 07.07.08 Likes: 0	@Easyrider Buchstabe ist kein String, sonst würde es gehen @Lesco Werde die Exen vergleichen.. danke

[HaBo]

Entschlüsseln, wie?