[HaBo]

sammy

Anzeige

Hallo,

ich benötige einen Tipp wie ich eine Datei analysieren
kann, die Verschlüsselt ist.
Wenn ich eine Datei habe, die keine Endung hat und
die in einem Texteditor nur datenmüll zeigt, also
eine Binärdatei ist.
Wie gehe ich nun vor um herauszufinden ob diese
Datei _überhaupt_ verschlüsselt ist, also ob es sich
nur um eine zip datei oder word datei handelt, kann
man also mithilfe einex zb. Hexeditor die Datei
identifizieren? Wenn ja wo befindet sich der Kopf,
bzw wieso am ende und nicht am anfang der DAtei?

Wenn ich nun herausgefunden habe, dass die
vorliegende Datei verschlüsselt ist, wie kann man
herausfinden mit welchem Algorithmus diese Datei
verschlüsselt wurde UND mit welchem
Verschlüsselungsgrad, also z.b. RC4 40 bit?

Danke
Gruß
Sam

blue

wenn es eine binärdatei ist dann disassemlieren.

bei doc,rar,zip,ace... kannst du es aus dem header lesen.

bei einer verschlüsselten datei wird es schwierig.

je besser eine verschlüsselung ist, desto mehr ähnelt das chiffrat einer zufälligen zeichenfolge. ich denke dass es daher recht schwer ist, herauszufinden, mit was etwas verschlüsselt wurde. Irgendwelche anhaltspunkte wird es zwar immer geben, aber ob das ein laie auch finden kann weiß ich nicht.

maddy

Hallo, ich hab as gleiche Problem.... suche bei Dateien nach magic-Bytes um sie zu Identifizieren, besonders schwer fällt mir das bei gepackten Dateien, vielleicht hat ja einer eine bereits vorliegende Liste mit Magic-Bytes...
danke

Gulliver

Ahja, und was soll man zb mit einer disassemblierten e-mail ? ^^

Im übrigen - nur weil es "unsinnige" zeichenfolgen sind muss es noch lange keine binärdatei sein (wobei letzlich alles irgendwie binärdateien sind).
Wenn du ein windows System hast dann besorg dir alle möglchen packprogramme, hänge jeweils die entsprechende endung hinter dein file und gehe alle programme durch. Ist es von einem dieser tools gepackt so wirst du das rausfinden. Header ansehen ist eine weitere möglichkeit.

Wenn sie dann "nur" vercryptet ist dann ist der beste weg - herrausfinden womit die datei verschlüsselt worden ist.
Ist das nicht möglich dann verschlüssel irgendwelche Dateien mit allen möglichen tools und versuche in den files dann eine art signatur etc zu finden und schaue nach ob es so was in deiner besagten datei gibt.
Sollte das alles nicht fruchten dann studiere mathematik und gehe diese sache wissenschaftlich an - nachdem du ein paar jahre intensiven Studiums diverser cryptoalgorithmen hinter dir hast

mfg

as3jg

Moin,

und wenn du unter Linux arbeitest, kannst du mit dem Kommando "file <datei>", wobei <datei> für dein "Binärfile" steht, mehr Informationen rausbekommen.

Ansonsten, wenn es einen "hd" gibt, mit "hd <datei> | more" oder wenn nicht, mit "od -c | more" die Datei dumpen und nach irgend welchen Hinweisen in Klarschift suchen.

So fällt z.B. auf, daß Zip-Dateien anscheinend mit den Buchstaben "PK" anfangen, *.gz-Files haben ganz vorne ein Inhaltsverzeichnis der enthaltenen Programme in Klarschrift, PDF-Files fangen anscheinend mit "%PDF" an, bei *.sdc-Files (Star Calc) findet man nach längerem Suchen den Text "Tabelle Star Calc 5.0". Etc.pp.