|
Verschlüsselte Dateien entschlüsseln Nachdem nun auch bei mir ein Trojaner - Ransom-HS oder Madrop-EKB - Dateien verschlüsselt hat (Namen und Inhalt), möchte ich mich mit dem Thema Verschlüsselung etwas genauer beschäftigen. Kann mir in diesem Forum jemand ein paar geeignete Links posten, wo ich - rein aus programmiertechnischer Sicht - etwas mehr zum Thema Verschlüsselung erfahren kann. Zum Beispiel: - welche bekannten Verfahren gibt es, um aus einem String mit Hilfe eines 2.Strings (Schlüssel) den verschlüsselten String zu erstellen (XOR kenne ich schon) FraWe Meine ersten Ergebnisse, beim Versuch, die verschlüsselten Dateien wieder herzustellen. Ansatz: XOR 1. Byte Original-Datei 80dez = 01010000 1. Byte verschlüsselte Datei 141 = 10001101 XOR-Wert ermitteln 01010000 Original 11011101 XOR 10001101 verschlüsselt Gegenprobe: 10001101 xor 11011101 ----------- 01010000 Jetzt habe ich das mit allen Bytes der Dateien gemacht. Ergebnis: - es sind nur die ersten 12288 Bytes verschlüsselt - die nachfolgenden sind unverschlüsselt - es gibt keine wiederkehrenden Folgen bei den XOR-Werten - die XOR-Werte sind bei jeder Datei anders D.h. wenn mit XOR verschlüsselt wurde, dann ist der Schlüssel 12288 Byte lang und pro Datei verschieden. Ich vermute, dass der Trojaner nicht mit XOR die Bytes verändert. Wer kennt noch andere Möglichkeiten, Bytes so zu ändern, dass man den Originalzustand wieder bekommen kann? |
Zitat:
http://www.trojaner-board.de/117921-...tml#post851418 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board