Versteckte Botschaft in Hex-Editor Fragment

Ich habe als Rätselaufgabe ein Fragment in Hex-Editor Format bekommen, in dem eine Botschaft (Text, Bild, Ton, ?) versteckt ist, das es zu finden gilt. Eventuell ist das codiert, oder es ist eine bestimmte Logik versteckt oder was auch immer) Fakt ist, das ich es nicht finde und Profihilfe brauche, was ich damit noch alles anfangen könnte?:rolleyes:
Eine Datei soll es nicht unbedingt sein, habe diverse Dateiendungen bereits ausprobiert...
Hier ist die Originalversion dieses Rätsels:

0000 00 17 31 88 de 51 00 05 5d dd 15 72 08 00 45 00 ..1..Q.. ]..r..E.
0010 00 54 00 00 40 00 40 01 f1 34 c0 a8 64 01 c0 a8 .T..@.@. .4..d...
0020 64 22 08 00 a3 65 5e 1b 00 04 1c 2d 32 4b b9 ff d"...e^. ...-2K..
0030 03 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ........ ........
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 ........ .. !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,- ./012345
0060 36 37



Jede Hilfe oder Idee wird dankbar angenommen und verfolgt, Euer riddle
 
Zuletzt bearbeitet:
Hey,

Schonmal versucht, jedes byte mit 1,2,3,4,5,... zu XOR'en ?
XOR ist ja quasi die einfachste verschlüsselung..


MfG
 
Hallo, Alter Hacker

ich glaube die Spur ist gut, weil die zweite Hälfte der Daten der Schlüssel zu der ersten Hälfte sein könnte. Habe die hex Daten der ersten Hälfte als verschlüsselten Input in ein descryption tool eingegeben und den zweiten Teil als 1 2 3 4 5 bis 49 als Schlüssel.
Hattest du das so gemeint???
Geht nicht weil die Meldung kommt, daß SALT aus den verschlüsselten Daten nicht extrahiert werden konnte weil der String zu kurz sei ???

Könntest du das auch mal probieren, vielleicht habe ich einen Fehler gemacht?? Vielen Dank - es geht bestimmt nur um die erste Hälfte der Daten, in denen der zu suchenden Begriff verborgen ist... Da bin ich mir jetzt sehr sicher...
riddle
 
Ja so in etwa hab ich das gemeint, aber anscheinend kommt nichts sinnvolles raus.
Ich hab mal kurz ein Prog gecodet, aber da kommt auch nur Murks raus, also es wird glaub ich kein einfaches XOR sein^^.
Außer es kommt kein Text raus sondern irgendwelche binären Dateien, dann wirds für dich noch lustiger vom Aufwand her^^

Code:
#include <stdio.h>
#include <windows.h>
using namespace std;

const char input[] = "\x00\x17\x31\x88\xde\x51\x00\x05\x5d\xdd\x15\x72\x08\x00\x45\x00\x00\x54\x00\x00\x40\x00\x40\x01\xf1\x34\xc0\xa8\x64\x01\xc0\xa8\x64\x22\x08\x00\xa3\x65\x5e\x1b\x00\x04\x1c\x2d\x32\x4b\xb9\xff\x03\x00\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a";
const int  input_length = 0x64;

int main()
{
    printf("[XOR]");
    for(int key = 1; key < 255; key++){
        printf("\n\nKey: %d\n\n",key);
        for(int i = 0; i < input_length; i++){
            printf("%c", input[i]^key);
        }
    }


    printf("[CAESAR]");
    for(int key = 0; key <= 64; key++){
        printf("\n\nKey: %d\n\n",(key-32));
        for(int i = 0; i < input_length; i++){
            printf("%c", input[i] + (key-32));
        }
    }

    printf("\n\n\nUsing bytes since 0x31 as key\n\n");
    for(int key = 0; key <= 0x3A; key++){//in der Datei sind die bytes nach 0x31 alle von 0x00 bis 0x3A aufsteigend
        printf("%c", input[key] ^ key);
    }
    printf("\n\nDone\n");
    return 0;
}
 
Kannst du dein Programm nochmal laufen lassen, aber ohne die letzten 3 bytes: x38\x39\x3a

oder machts das nichts aus?? Ich hatte die 3 dazugebastelt, weil mir jemand sagte, da fehlten 3 bytes - war aber wohl eine falsche Fährte.

Wie sehen die binären Daten aus, die rauskommen??
besten Gruss, riddle
 
Schmeiß 'n C++- Compiler an und guck ;)
Machste dann a' la programm > ausgabedatei und dann guckst du dir die austgabedatei an.
Nicht wundern dass die so groß ist, der testet ja quasi alle möglichen Kombinationen.
 
Man kann den Code in zwei Fragmente aufteilen:

Fragment - #1
Code:
0000  00 17 31 88 de 51 00 05  5d dd 15 72 08 00 45 00   ..1..Q.. ]..r..E.
0010  00 54 00 00 40 00 40 01  f1 34 c0 a8 64 01 c0 a8   .T..@.@. .4..d...
0020  64 22 08 00 a3 65 5e 1b  00 04 1c 2d 32 4b b9 ff   d"...e^. ...-2K..
0030  03 00

Fragment - #2
Code:
----  -- -- 08 09 0a 0b 0c 0d  0e 0f 10 11 12 13 14 15   ........ ........
0040  16 17 18 19 1a 1b 1c 1d  1e 1f 20 21 22 23 24 25   ........ .. !"#$%
0050  26 27 28 29 2a 2b 2c 2d  2e 2f 30 31 32 33 34 35   &'()*+,- ./012345
0060  36 37

Die Gesamtlänge des Fragmentes ist 98.
Die Länge des Fragment's #1 ist 50, des Fragment's #2 ist 48.

Handelt es sich bei dieser Botschaft um ein Bild, so könnte man unter der Annahme, dass das Bild unkomprimiert im 24 ODER 16 Bit Format vorliegt, ein 4 x 4 ODER 5 x 5 Großes Bild daraus konstruieren.
Weiters wäre dann noch zu klären, ob die Pixeldaten verschlüsselt sind.
Wichtig anzumerken ist, dass in den Pixeldaten auch durch Steganographie andere Botschaften in verschiedensten Formaten versteckt sein könnten. Da sich da aber kein allzugroßer Speicher bietet, schätze ich mal, falls alle zuvor genannten Kriterien erfüllt sind, es sich dabei um eine Textnachricht höchstwahrscheinlich handeln wird.

Ton: Hierzu habe ich leider nichts beizutragen. Hab mich nie damit genau beschäftigt.

Text: Nun, die Frage bleibt weiterhin - wie ist der Text verschlüsselt...
Edit#1: Übrigens, mir fällt gerade auf, dass das Fragment #1 mit 0 endet. Das könnte auf eine Nullterminierung hinweisen, wenn dieses Byte nicht verschlüsselt vorliegt.

Vlt regt diese simple Analyse jmd an.

Edit#2: Ich habe mir die Mühe gemacht, das Fragment #1 als ein Bild zu interpretieren und diese als Anhänge hochgeladen. Wie man sieht, sieht man nichts (Muster/Buchstaben/Offensichtlicheres). Das könnte aber auch daran liegen, dass es im verschlüsselten Format vorliegt.
Also ganz ausschließen kann ich im Moment nicht, dass es ein Bild sein kann.

Wahrscheinlich ists aber eh nur ein Text, der irgendwie verschlüsselt ist oder einfach etwas Unverschlüsseltes, mir Unbekanntes...

MfG
 
Zuletzt bearbeitet:
Keine geheime Botschaft

Es handelt sich höchstwahrscheinlich um ein Ethernet II Paket. Nicht genau analysiert, aber möglicherweise ein "Ping" Request (Protocol Type = 01: ICMP). Top Secret!
 
Oh mein Gott xD Vllt sollte man echt erstmal mit gesundem "Administratorverstand" dran gehen bevor man irgendwas kryptologisches vermutet, ty josh xD
Code:
0000  00 11 6b 15 da ac 00 1d  91 0c af 90 01 00 45 00   ..k..... ......E.
0010  00 54 98 eb 00 00 80 01  29 6d c0 a8 7b 01 c0 a8   .T...... )m..{...
0020  7b fe 08 00 2d 42 01 00  11 00 61 62 63 64 65 66   {...-B.. ..abcdef
0030  67 68 69 6a 6b 6c 6d 6e  6f 70 71 72 73 74 75 76   ghijklmn opqrstuv
0040  77 61 62 63 64 65 66 67  68 69 6a 6b 6c 6d 6e 6f   wabcdefg hijklmno
0050  70 71 72 73 74 75 76 77  61 62 63 64 65 66 67 68   pqrstuvw abcdefgh
0060  69 6a                                              ij
(Beispielping von 192.168.123.1 -> 192.168.123.254)
Würde sagen, NSA-Geheimmaterial entdeckt!!!! :D
Nämlich (in deinem Fall) eiinen Ping von 192.168.100.1 an 192.168.100.34
 
Zuletzt bearbeitet:
Lol ja, so kann man das auch sehen. Ich habs nicht sehen können, da ich nicht weiß, wie ICMP Pakete aufgebaut sind...

aber wenn du ein wenig übst und deine Bild-Interpretation benutzt und anhand des Bildes dann herausbekommst, von welcher zu welcher IP gepingt wird, DANN hast du dir hier sicherlich irgend nen Ehrentitel verdient! :D
 
Zurück
Oben