Frage:
Bestimmen Sie den Verschlüsselungsalgorithmus
omghai2u
2013-03-31 08:12:12 UTC
view on stackexchange narkive permalink

Ich analysiere eine Software, die ihre Kommunikation über das Netzwerk zu verschlüsseln scheint, aber nicht SSL zu sein scheint. Wie kann ich leicht feststellen, welcher Verschlüsselungsalgorithmus verwendet wird, und möglicherweise den Schlüssel finden?

Nur um es klar zu machen. Möchten Sie den Verschlüsselungsalgorithmus anhand des Assembler-Codes des Verschlüsselungsalgorithmus oder nur anhand der verschlüsselten Pakete identifizieren?
@perror Ich habe Zugriff auf die Binärdateien und den daraus resultierenden Netzwerkverkehr. Also was immer einfacher ist. Die Verwendung der vorgeschlagenen IDA-Plugins hat mein unmittelbares Problem behoben. Gibt es jedoch eine einfachere Möglichkeit, dies zum späteren Nachschlagen ausschließlich auf der Grundlage des Netzwerkverkehrs zu tun? Ich hätte angenommen, dass es nicht möglich wäre, da der Verkehr keinen Header oder identifizierbare Informationen hatte.
Vier antworten:
#1
+13
mrduclaw
2013-03-31 08:14:20 UTC
view on stackexchange narkive permalink

Vielleicht sehen Sie sich dieses IDA-Plugin an.

Nachdem Sie die Kryptofunktionen gefunden haben, sollten Sie durch einen Querverweis in IDA sehen können, wo die Funktionen aufgerufen werden und wahrscheinlich der Schlüssel in der Nähe ist. Wenn Sie für diese Funktionen einen Haltepunkt festlegen und sehen können, was für den Schlüssel übergeben wird, ist dies natürlich der einfachste Weg.

In diesem Fall gibt es eine aktualisierte Version, FindCrypt2 http://www.hexblog.com/?p=28
#2
+9
0xea
2013-03-31 15:26:36 UTC
view on stackexchange narkive permalink

Weitere Informationen zur automatischen Kryptoidentifikation finden Sie in Felix Gröberts Arbeit zur automatischen Identifizierung kryptografischer Grundelemente in Software. Er verwendet ein Pintool, um den Code dynamisch zu instrumentieren, mit dem sogar Schlüssel wiederhergestellt werden können. Der Code ist auch verfügbar. Das Repository enthält andere im Vergleich verwendete Tools, z. B. PeID- und OllyDBG-Plugins.

#3
+7
amccormack
2013-03-31 08:39:35 UTC
view on stackexchange narkive permalink

Ich habe es nicht verwendet, aber es gibt ein Open-Source-Tool namens Aligot, das hilfreich sein kann, wenn die Verschlüsselungsalgorithmen verschleiert wurden. Laut seinen Autoren kann Aligot TEA, MD5, RC4 und AES identifizieren.

Aligot hat einen wichtigen Haftungsausschluss:

Aligot wurde als Proof-of-Concept erstellt zur Veranschaulichung der im zugehörigen Papier beschriebenen Prinzipien. Insbesondere ist es derzeit nicht geeignet, große Programme automatisch zu analysieren. Wenn Sie an einem solchen Projekt interessiert sind, wenden Sie sich bitte an den Autor;)

Trotz des Haftungsausschlusses deuten die im Papier angegebenen Ergebnisse darauf hin, dass Aligot einen Blick wert ist

#4
+5
alexanderh
2013-04-02 21:49:52 UTC
view on stackexchange narkive permalink

Eine schöne Kombination aus findcrypt2 von HexRays und der Arbeit von Felix Gröbert ist IDAScope. Es ist sehr nützlich für die Suche und Identifizierung von Verschlüsselungsalgorithmen. Für weitere Informationen zur Kryptoidentifikation von IDAScope würde ich den folgenden -Link empfehlen.

Wie verbessert es findcrypt2 und HexRays? Was macht es besser, schneller usw.?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...