有没有办法破解未识别文件的加密?有问题的文件是 Ardamax 键盘记录器的配置和日志文件。这些文件可以追溯到 2008 年。
我到处搜索,slashdot 上没有找到,google 上也没有找到。Ardamax Keyviewer?我应该写信给 Ardamax 吗?我不知道该怎么办。我觉得自己受到了威胁。有人用密码分析解密过这样的文件吗?
更多信息:
文件夹中有日志文件和配置文件“akv.cfg”。是否可以解密这些文件并获取攻击者用于接收键盘记录器日志的电子邮件地址?
我检查过 ardamax.com。他们有一个内置日志查看器,但无法下载。如果超级用户不是合适的询问地点,知道我可以在哪里获得帮助吗?
答案1
如果键盘记录器加密了数据,它很可能会在本地存储加密密钥。假设是对称算法,如果你能找到密钥,你就可以解密文件。如果记录器使用的是非对称加密算法,那么找到加密密钥也无济于事。不过,我敢打赌加密是对称的,因为非对称加密占用的 CPU 会多得多。
如果可以,请观察键盘记录器启动时发生的系统活动。例如,在 Windows 上,监视注册表读取、文件系统读取等。密钥可能存储在程序文件中,如果是这样,那么您将面临一个有趣的挑战来找出密钥。如果您想找到攻击者,请让记录器启动并观察网络流量。我敢打赌,无论程序如何打电话回家,那通电话都会是某种匿名电话。但你永远不知道,你可能会走运!
答案2
当您知道键盘记录器正在运行时,我会捕获实时 RAM 并使用波动性来搜索加密密钥。
检查完 Google 后,我发现:
那么加密的配置文件呢?
我们发现一些被该键盘记录程序感染的人想知道如何解密文件以查看恶意软件将信息泄露到哪里。好吧,如果你不能进行内存分析或调试,解密是相当容易的。
在对文件进行快速密码分析后,很明显它是使用 XOR 密码或类似密码加密的。您可以使用 xortool 等 XOR 分析工具轻松解密。让我们尝试一下:
$ python xortool.py -b 键盘记录器/RKJ.00
xortool 将生成一些可能解密的输出文件。在本例中,第 33 个文件是好文件,使用密钥“Z|NY”加密。如果我们使用编辑器打开它,我们可以以纯文本形式看到所有配置参数和报告凭据。
请留意您在网络上允许的频道!我们已经看到 Google 在取消此类帐户方面做得很好,但我们永远不应盲目相信合法连接,因为这可能是将私人信息泄露给外界的潜在方式。 - 更多信息请参见:https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax#sthash.ixStEibe.dpuf