Verschlüsselte Datei

[P0!NT3R]

Guten Tag,
ich habe eine Frage inbezug auf eine Datei, welche verschlüsselt ist, und da ich mich im Verschlüsselungsverfahren nicht so gut auskenne, dachte ich mir, dass ich doch einmal hier nachfragen sollte.
Kann mir hier einer sagen, wie das gekryptet ist, falls es überhaupt gekryptet ist?

Datei:

Quote:

öá 7`Ö ÖØ ü "?ñU´#?è-?ödÃë0?*Í<j?Ðþ/_?¿ñ&#036;Uu©Ú
?&#036; ?ôfË?®~Ý0¤åJ©Ñe¹â8q?Ô3d?Æô&V?¨Ü
=r

Vorkommen sollten folgende Strings (vielleicht auch aufgeteilt):

Quote:

- 69.51.102.231:4105
- Land_of_Eden_(ET)
- 69.51.102.202:4105
- Foretold_Strife_(GMT)

PS: Ich hoffe doch mal, dass das wirklich encrypted ist...
Ich kann mit dem Inhalt der Datei nämlich gar nichts anfangen :?

[wiz]

Vorerst mal habe ich von Kryptographie keine Ahnung. Ich würde ganz ohne zu Denken sagen, dass es sich um eine billige xor-Verschlüsselung handelt, so wie das aussieht. Dann aber hab ich mir mal die Textlänge angeschaut, der Plaintext ist je nach dem wie ich die Liste da interpretiere rund 88 Zeichen, das verschlüsselte aber EXAKT 100 Byte. Das kann ja Zufall sein, aber ist das vielleicht nicht eher ein Hash?
Ansonsten kann man glaube ich ohne große Kenntnisse schwer rauskriegen, wie das verschlüsselt wird.

[reijin]

puuuh
grundsätzlich ist es eine ewige arbeit einen verschlüsselungs Algo rückgängig zu machen....
zudem ist es in dem fall wohl besser du lädst die datei hoch, nicht das was der Editor anzeigt
wo haste die datei her?
je nachdem kann man den Algo aus dem Programm/Spiel extrahieren und rückgängig machen.
es gibt aber auch sachen wie "MD5" die sich so weit ich weiß nichtmal rückgängig machen lassen.

//EDIT//
vermutlich handelt es sich um einen Hash - und keinen billigen CRC32 ;D

[P0!NT3R]

Hi,
ich wollte mal eure Hilfe erbitten..
Und zwar habe ich das folgende Paket bei einem Online Rollenspiel aufgenommen, und fände es nett, wenn einer mal all die ihm bekannten Decryption Methoden bei diesem Paket anwenden könnte


Aufgenommen mit Ethereal

Hexadezimal:

Quote:

8d c9 73 00 72 6d 0b 07 78 e5 20 4d 4b 7c 7a d7 21 9f 62 dc a0 03 80 46 09 e1 89 63 c3 35 b0 a5 05 ce ed ca 48 59 5b f2 2b 56 39 29 19 3f 11 3d 92 77 de b1 0b 39 73 0e e9 c5 0e d9 7a 60 86 2f 13 7e 26 86 a2 fc 54 5f f5 bf e8 7c 59 26 29 65 37 5f a7 4f 95 2b a5 1d 21 ad f8 fe c4

ASCII (SonderSonderzeichen wurden automatisch durch einen Punkt ersetzt)

Quote:

........s.rm..x.MK|z.!.b....F...c.5......HY[.+V9).?.=.w...9s.....z`./.~&...T_...|Y&)e7_.O.+..!....

Vorkommen müssten:
112233
und/oder
aabbcc

[NoName]

du weisst schon das verschlüsselung in der regel auf schlüssel basieren und du ohne die gar nix machen kann?

und wird dir mit sicherheit niemand sagen können wie die verschlüsseln wenn du hier ne paar werte postet und was drin vorkommen müsste.

[wiz]

Ich habe das Gefühl Pointer ist die Absurdität seiner Fragen nicht bewusst. Abgesehen davon liest er nicht, was man ihm antwortet. Damit hat sich die Sache erledigt.

Im Übrigen: Nein, MD5 kann man natürlich nicht (eindeutig) zurückführen. Eine 16-Byte Kette hat endlich viele Kombinationen, aber Quelltexte die es zu hashen gilt gibt es unendlich viele. Alleine schon deshalb gibt es auch unendlich viele Kollisionen. Schön dabei ist auch der Gedanke, was wäre wenn. Würde sich jede Datei in einen 16-Byte-Hash bringen und eindeutig zurückführen, bräuchten wir kein DSL

[P0!NT3R]

Was?...
Dass man MD5 nicht auf den Ursprung zurück verfolgen kann, war mir klar.
Man könnte jedoch eine Datenbank anlegen, ein Programm, in der Art eines Bruteforcers, erstellen, und die Hash-Werte von allen möglichen Kombinationen mit dessen Hilfe in die DB eintragen. Dann macht man sich ein PHP skript, das aus einem Input den MD5 Hash-Wert errechnet, die Datenbank abgeht, und jeden einzelnen Hash mit diesem vergleichen.
Also ein Lookup, man müsste nur Achthundert Milliarden Jahre warten um die DB zu erstellen und dann nochmal länger, um das Ergebnis zu bekommen

Da es viele Server Emulatoren gibt, und deren Developer ja auch irgendwie an die Entkryptung gekommen sind,
dachte ich, dass manche Leute darin geübt sind.
Und da ich es nicht bin, habe ich Hilfe erbittet.

Quote:

Ich habe das Gefühl Pointer ist die Absurdität seiner Fragen nicht bewusst.

Aus der Wortwahl wiz' entnehme ich, dass er mir sagen will, dass es so gut wie unmöglich sei, aber dann frage ich mich, ob solche Server Emulator Developer sich die Entschlüsselungsverfahren ausgedacht haben, und es zufällig sogar richtig war. Oder ob sie doch abends, vor dem Schlafengehen, sich die Verpackung des Spiels unter ihr Kopfkissen gelegt haben, in der Hoffnung, dass sie die Decryption-Funktion in ihren Träumen ereilt, und es dann auch noch so vorfiel.

[wiz]

Du hast offenbar keine Ahnung, wovon du redest. Nicht, dass ich jemals ein Serveremulator geschrieben habe, aber rein vom Traffic werden die allerwenigsten schlau, vor allem wenn davon auszugehen ist, dass der Traffic verschlüsselt ist. Was also hälst du davon einfach mal die entsprechende Binary zu reverse engineeren und schauen wie zustande kommt, was gesendet wird?
Und wenn du schon dabei bist, mal ausnahmsweise DEINE Finger schmutzig zu machen, wäre es ganz sinnvoll, wenn du die jeweilige Binary auf Kryptographie-Signaturen checkst, und das ist eine Frage von etwa drei Klicks. PEiD+KANAL sind deine Freunde. Damit kannst du zumindest schonmal sagen, welche denn in Frage kommen.

Abgesehen davon möchte ich dir jetzt mal direkt davon abraten, es auch nur zu versuchen. Offensichtlich ist dir ebenfalls nicht bewusst, dass du die Spielelogik nicht vom Traffic ablesen kannst. Entweder du nimmst dir jetzt mal ein halbes Jahr Zeit und reverse engineerst das Spiel von vorne bis hinten oder du lässt es. Was du vom Traffic ablesen kannst sind allermeistens nur ZUSTÄNDE des Spiels, du brauchst aber die ZUSTANDSÄNDERUNGEN genauso.

Edit: Wenn wir schon dabei sind: Ich hab zufälligerweise gestern den Traffic von BattlEye untersucht und geschaut was passiert. Hier ein Auszug davon (unverschlüsselt!):

Code:

(<< = gesendet, >> = empfangen)
>> 0x00 
<< 0x00 0x00 
>> 0x01 0x01 0x00 0x00 0x00 
<< 0x01 
>> 0x01 0x00 0x10 0x40 0x00 0x00 0xC7 0x19 0x00 
<< 0xA2 0xAC 0x45 0xB0 0xA8 0x4B 0x74 0xA6 0xE9 0xDE 0x78 0xD8 0x36 0x97 0x80 0xF2

So Sherlock, sag doch mal vom Traffic her, wofür was steht. Ich meine, ist ja unverschlüsselt, das schaffst du!

Geht nicht. Und was hab ich getan? Die jeweilige Empfangsroutine reverse engineered und geschaut wie die Pakete behandelt werden. Und exakt das gleiche musst du tun.

[reijin]

kann dir nur zustimmen - es ist kein zufall, dass es sich bei Emudevelopers immer um TEAMS handelt^^
Da muss nämlich das gesamte spiel nachvollzogen werden.
und dann eine Logische antwort auf jede Info die vom Spiel kommt generiert werden.

[P0!NT3R]

Ok, danke für eure Antworten und Hilfe.
Ich werde mir irgendwann einmal etwas zu Reverse Engineering durchlesen, komme dann wieder und erbitte erneut fremde Hilfe, zum Beispiel in Form eines Hinweises, was noch zu lernen ist, oder in Form von Informationen, die mir den genauen Ablauf einer solchen Analyse deuten und nahelegen.

Irgendwann... in ferner Zukunft...

Edit zu wiz' Edit:
Als ich mir das gerade noch einmal genauer durchgelesen habe, ist mir das Thema zu den Packets ein wenig klarer geworden (denke ich), jedoch, was ich auch denke, ist, dass das eher weniger mit der Kryptographie zu tun hat.
Einen unverschlüsselten Login kann man mehr oder weniger einfach nachbauen, indem man die Accountdaten ersetzt, jedoch wofür z.B. außenstehende Bytes stehen, ist schwer heraus zufinden.
Z.B. ein fiktiver Item Use
Packet[0] : Packet Größe 2 Byte
Packet[2] : Packet Identifikation 2 Byte
Packet[4] : Item ID 4 Byte
Packet[8-x] : Item Name x Bytes
Packet[x+1] : Char Level 2 Bytes
Packet[x+2] : heutiges Datum 4 Byte
Packet[x+3] : xyz a Bytes

Habe ich anhand deines Textes die Kernaussage, welche oben steht, richtig interpretiert?
Wenn ja, hat das doch wenig mit der Enkryption zu tun..

[wiz]

Richtig. Die Bytes die du sniffst können für alles mögliche stehen. Du weißt nicht, wie du sie gruppieren sollst (sind die ersten zwei Bytes ein short? Ist am Anfang ein einzelnes Byte? Oder gar ein DWORD? Double?), geschweige denn wofür sie stehen. Man kann natürlich mit mühsamer Kleinarbeit probieren, wie sich bei gleichen Paketen die Bytes ändern aber alles in allem ist es mit Sicherheit einfacher einfach dem Client beim Bauen des Pakets über die Schultern zu schauen, denn wie gesagt, sobald der Traffic verschlüsselt ist, kannst du das ganze so gut wie vergessen. Es ist nichtmal so, dass das gleiche Paket jedes Mal gleich aussehen muss (wenn verschlüssel!)
Und das heißt, du musst das Spiel reverse engineeren, was anderes bleibt dir nicht übrig.
Alles in allem ist das aber wirklich eine ziemlich aufwendige Sache.

Und jetzt noch kurz eine Anekdote zu meinem Edit oben.
Dort habe ich etwa ein 5-Byte-Paket empfangen. Man könnte nun annehmen das wäre ein 1-Byte-Header (etwa Paket-ID) und 4 Byte Nutzlast, eine Adresse etwa.
Das Fiese ist, dass hier nicht jedes Byte gelesen wird, sondern in diesem Falle die Information darin steckt, dass das Paket a) 5 Bytes lang ist und b) das 2. Byte von den Fünfen überhaupt was bewirkt.
Das bedeutet ich hätte mir stundenlang den Kopf zerbrochen was wohl die 3 Bytes am Ende bedeuten - und in Wahrheit sind sie völlig ohne Bedeutung!

[P0!NT3R]

Ja, danke und das hab ich jetzt verstanden
Trotzdem wollte ich ja eigentlich wissen, wie das encrypted ist...
Das kann man über Reverse Engineering herausfinden?
Könntest du, da ich mich damit überhaupt nicht auskenne, auch wenn ich von vielen Seiten gehört habe, wie toll und nützlich das sei, mir vielleicht im Groben sagen, was man als Ergebnis bekommt, wenn man beim Zurückentwickeln alles richtig gemacht hat, und, ohne große Einzelheiten, wie man nun das Resultat seiner Mühe bearbeiten muss, um das Verschlüsselungsverfahren eines Klienten zu bekommen...
Das wäre nett, danke

[nehl]

Quote:

Originally posted by P0!NT3R@Jul 2 2007, 01:30
Ja, danke und das hab ich jetzt verstanden
Trotzdem wollte ich ja eigentlich wissen, wie das encrypted ist...
Das kann man über Reverse Engineering herausfinden?
Könntest du, da ich mich damit überhaupt nicht auskenne, auch wenn ich von vielen Seiten gehört habe, wie toll und nützlich das sei, mir vielleicht im Groben sagen, was man als Ergebnis bekommt, wenn man beim Zurückentwickeln alles richtig gemacht hat, und, ohne große Einzelheiten, wie man nun das Resultat seiner Mühe bearbeiten muss, um das Verschlüsselungsverfahren eines Klienten zu bekommen...
Das wäre nett, danke

Am besten Dekompilierst du es per Laufzeit, z.B. mit OllyDbg.

Wenn nun Daten empfangen werden, müsstest du ungefähr herausfinden wie das Programm mit den empfangenen Daten umgeht.

[wiz]

Ja, entweder beim Empfangen den Code verfolgen, was mit den Daten geschieht, oder beim Versenden eben zurücktracen bis dahin, wo das Gesendete entstanden ist.

Wenn du also die Teile im Code findest (Eingabe, Verschlüsselungsroutine, Ausgabe), dann kannst du mit Erfahrung die Verschlüsselungsroutine identifizieren. Jede Verschlüsselungsroutine hat ihre Eigenheiten, dazu musst du diese halt alle kennen. Aber genau das kann auch KANAL (Krypto Analyzer, PEiD-Plugin), und das sagt dir auch, wo die Referenzen zur jeweiligen Routine sind!

Ich habe beispielsweise in einem Ziel zuletzt eine Verschlüsselungsroutine gehabt. Hätte ich ein umfangreicheres Wissen zu Hashing-Funktion hätte ich alleine schon an 4 seltsamen DWORDs erkennen können, dass hier MDx oder SHA-x am Werk ist, weil das deren Eigenheit ist. Hab ich aber nicht, stattdessen sagte mir PEiD+KANAL "Da steckt MD5 drin!" - tada!

Abgesehen davon: Du musst den Text gar nicht mehr entschlüsseln wenn du den Punkt findest, wo es vor dem Absenden noch Plaintext ist, bzw. wenn du den Punkt findest wo es nach dem Empfangen wieder Plaintext ist. Schreib dir einen Hook und gut ist. Exakt das gleiche hab ich gemacht. Der Traffic von BattlEye oben lief über ein anderes Programm, das den Verkehr verschlüsselt. Ich hab halt dort angesetzt, wo BattlEye das ganze dem Spiel übergibt bzw. davon bekommt. Dazu musste ich halt ein eigenen Sniffer schreiben aber das ist an sich nicht schwer!