![[HaBo]](/styles/default/logoklein.png){kind=small}
sodala, hätt ma ne aufgabe fuer die profis hier in sachen krypto, weil ich mich selber net so ganz auskenn (tu zwar alles, mich zu informieren aber hab net so viele anhaltspunkte)
also, folgendes problem (bisschen ausschweifender erläutert):
in unserer schule hat so ein scherzkeks (den ich sehr wohl kenne) die kompletten pcs mit nem selbergeschriebenen keylogger infiziert, der praktisch alles loggt und die logs dann auf dem schuleigenen server speichert. das eigentliche problem ist, dass diese logs verschluesselt sind, und ich bis jetzt nicht rausfinden konnte, wie.
folgende anhaltspunkte hab ich:
die logs beginnen immer mit
danach folgen sehr viele timestamps a la " [11:29:00]" (mit tabstopp davor) und insgesamt sehr viele "[" und "]"
so, meine frage ist jetz: ist es möglich, anhand dieser anhaltspunkte ein solches file zu entschluesseln oder den schluessel herauszufinden, insbesondere wenn die verschluesselung triple-des oder aes ist?
habe versucht, den code des keyloggers zu reversen, nachdem ich den dummen packer umgangen habe, bekomme ich jetzt jedoch endlose borland-library-aufrufe aus denen man genausowenig schlau wird.
ich hab mal ein solches log angehängt, aber das einzige was ich bis jetzt herausgefunden habe ist, dass sämtliche dateien mit 39 05 00 00 (hex) beginnen.
naja, falls irgenwer ne idee hat, sacht bescheid ;-)
anmerkung: die dateien im anhang sind nicht die selben, sondern nur beispiele fuer eine ver- und eine entschluesseltes file!)
also, folgendes problem (bisschen ausschweifender erläutert):
in unserer schule hat so ein scherzkeks (den ich sehr wohl kenne) die kompletten pcs mit nem selbergeschriebenen keylogger infiziert, der praktisch alles loggt und die logs dann auf dem schuleigenen server speichert. das eigentliche problem ist, dass diese logs verschluesselt sind, und ich bis jetzt nicht rausfinden konnte, wie.
folgende anhaltspunkte hab ich:
die logs beginnen immer mit
wobei in der ersten zeile der computername verändert ist oder die erste zeile komplett fehlt, in der zweiten zeile das datum variiert, die dritte jedoch ziemlich gleich bleibt.
danach folgen sehr viele timestamps a la " [11:29:00]" (mit tabstopp davor) und insgesamt sehr viele "[" und "]"
so, meine frage ist jetz: ist es möglich, anhand dieser anhaltspunkte ein solches file zu entschluesseln oder den schluessel herauszufinden, insbesondere wenn die verschluesselung triple-des oder aes ist?
habe versucht, den code des keyloggers zu reversen, nachdem ich den dummen packer umgangen habe, bekomme ich jetzt jedoch endlose borland-library-aufrufe aus denen man genausowenig schlau wird.
ich hab mal ein solches log angehängt, aber das einzige was ich bis jetzt herausgefunden habe ist, dass sämtliche dateien mit 39 05 00 00 (hex) beginnen.
naja, falls irgenwer ne idee hat, sacht bescheid ;-)
anmerkung: die dateien im anhang sind nicht die selben, sondern nur beispiele fuer eine ver- und eine entschluesseltes file!)
