Frage:
Völlig unbekannte Ansätze zur Dateianalyse
Andre
2013-09-01 16:06:17 UTC
view on stackexchange narkive permalink

Ich denke, das ist der schlimmste Fall. Ich habe eine Datei, die ursprünglich Base64-codiert war. Dieser Schritt war einfach. Aber jetzt kann ich nur noch einen Müll sehen. Keine Struktur, fast ein Maximum an Entropie, keine Perioden nichts. Ich habe keine weiteren Informationen außer:

  • die Größe von 5120 KByte
  • es gibt mehr als eine Datei in dieser
  • sie sind alle Gleicher Typ
  • Die verwendete Verschlüsselung oder Komprimierung oder welcher Algorithmus auch immer verwendet wird, ist ein "Standard".

Ich habe so viele Dinge getestet ... Hat jemand von euch eine Hinweis, wie es weitergehen soll? Mir gehen die Ideen aus.

Bearbeiten: Das jetzt gelöschte Histogramm war nicht korrekt. Jedenfalls habe ich keine Ahnung, wie ich weiter machen soll. Der Versuch, es mit truecrypt zu öffnen, um sicherzugehen, dass es sich nicht um einen Container handelt, hat nicht funktioniert. Haben Sie weitere Tipps, wie Sie die darin enthaltenen Dateien finden?

Können Sie bitte erklären, was Sie mit dieser Analyse erreichen möchten - welche Dateien funktionieren, wie strukturiert sie sind usw.?
Es ist so etwas wie ein Test. Und ich habe keine anderen Informationen als die, die ich bereits erzählt habe. Ich kann nur sagen, dass die Datei ursprünglich ein Base64-Anhang in einer E-Mail war. Ich habe es extrahiert und entschlüsselt ... Keine weiteren Informationen. Es tut mir leid.
Es gibt Programme, um TrueCrypt-Volumes zu finden, aber das funktioniert nur in einigen Fällen. Normalerweise sollten sie nicht zu unterscheiden sein. Normalerweise haben Sie auch das Programm, zu dem diese Daten gehören, zur Analyse. Sieht aus wie ein kniffliger Fall. Angenommen, dies ist eine starke Kryptographie, haben Sie völlig Pech.
Vielen Dank für die Kommentare. Nun, es ist ein Test und mir gehen die Ideen aus. Es könnte truecrypt sein, aber jede Software wie tchunt oder tchead sagt: Es ist kein truecrypt-Container.
Jedes 76. Zeichen ist eine NewLine beim Formatieren von E-Mails mit Base 64-Codierung. https://github.com/wildbit/postmark-dotnet/issues/11 Wenn newLines in Punkte "0x2E" geändert werden, erhalten Sie möglicherweise einige Informationen. Ohne mehr von der Datei zu sehen - schwer, mehr Hilfe zu sein - sorry.
Drei antworten:
jvoisin
2013-09-04 21:39:35 UTC
view on stackexchange narkive permalink

Sie können versuchen, binwalk zu verwenden. Es kann auf verschiedene Arten verwendet werden:

  • Identifizierung eingebetteter Dateien und Extraktion
  • Identifizierung ausführbarer Codes
  • Entropieanalyse und Grafik (nützlich für die Identifizierung von Komprimierung und Verschlüsselung)
  • "Intelligente" Zeichenfolgenanalyse

Sie können auch versuchen, Ihre Datei mit 7zip zu öffnen. da es eine Unmenge von Komprimierungsformaten unterstützt.

Danke für deinen Kommentar. 7zip konnte es nicht dekomprimieren. Ich werde es noch einmal versuchen, zu Fuß zu gehen und damit zu experimentieren.
PhoeniX
2013-09-01 16:42:19 UTC
view on stackexchange narkive permalink

Ich würde damit beginnen, die ersten Bytes einer Datei nach der Base64-Decodierung zu überprüfen. Diese würden angeben, welches Dateiformat vorliegt.

  • MZ (5A4D) - Dies bedeutet, dass dies eine ausführbare Datei ist und Sie sie in einer sicheren (virtuellen) Umgebung mit geöffneten SysInternals-Dienstprogrammen ausführen können - ProcMon und Process Explorer . Berechnen Sie außerdem den MD5-Wert und suchen Sie ihn im Internet VirusTotal. Wenn Sie Reverse / Low-Tech-Kenntnisse haben, empfehle ich außerdem, eine kostenlose Kopie von IDA 5.0 herunterzuladen und dort zu überprüfen.
  • Anderes Dateiformat, dann versuchen Sie, nach den ersten Bytes im Hex-Format in zu suchen das Netz auch. Einer der guten Orte ist FILE SIGNATURES TABLE
  • Versuchen Sie, die dekodierte Datei in den Hex-Editor zu laden und prüfen Sie, ob Zeichenfolgen vorhanden sind, die Ihnen bekannt vorkommen oder eine Bedeutung haben.
Das sind die ersten vier (magischen) Bytes: C9 DE F2 43
Sind Sie sicher, dass es mit base64 codiert wurde?
Ja. In der ursprünglichen Datei befand sich eine E-Mail mit einem base64-Anhang. Vermutlich von Outlook erstellt. Ich habe auch die richtige Syntax zum Senden von Anhängen gefunden, daher bin ich mir ziemlich sicher. Alle 76 Zeichen waren a. aber afaik das sollte hier nicht hilfreich sein.
Überprüfen Sie die Originaldatei auf magische Zahlen, nur für den Fall.
Es ist dies: 0E 27 AC 8A, aber ich finde nichts Nützliches. "Datei" unter Linux ist auch nicht erfolgreich.
Probieren Sie trid aus (http://mark0.net/soft-trid-e.html) oder binwalk, wenn Sie der Meinung sind, dass es eine Reihe von Dateien enthalten könnte. Kasse wotsit und google über :)
LuckyB56
2013-09-04 13:10:39 UTC
view on stackexchange narkive permalink

Sie könnten eine dynamische Binärvisualisierung ausprobieren. Christopher Domas hat sowohl auf der REcon als auch auf der BlackHat 2013 eine hervorragende Präsentation gehalten. Das Deck für REcon ist hier verfügbar.

Ich glaube, das Tool ist jetzt in der Beta-Version, also können Sie es ausprobieren.

Zumindest ist es nicht verfügbar oder ich habe nichts gefunden. Ich habe die 3D-Visualisierung von cryptool verwendet und sie zeigt keine Strukturen. nur zufällige Daten. Ich konnte die Datei auch nicht komprimieren.
@LuckyB56, können Sie bitte erklären, wie dies helfen wird, das Problem mit der unbekannten Datei zu lösen?
@ph0sec Um zumindest herauszufinden, ob es sich überhaupt um eine ausführbare Datei handelt. Es sollte nicht passieren, dass Sie nach einigen Tagen mit dem Kopf feststellen, dass es sich um einen Teil einer PNG-Datei oder etwas Ähnlichem handelt. Da ich noch keine Gelegenheit hatte, das Tool auszuprobieren, beschreibt die Präsentation es.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...