Forum: Algorithmen, Datenstrukturen und Klassendesign
by HofMar,
17. Jun 2012
Hallo Marcu,
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!
Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.
Gruß Martin
Forum: Algorithmen, Datenstrukturen und Klassendesign
by HofMar,
12. Jun 2012
Hallo Marcu,
Wenn ich das richtig sehe, ist die ComputerID immer nur 20 Zeichen (8+8+4) lang! Demnach ist der Katalogdateiname immer auch gleich die ComputerID.
Woher kommen dann aber die weiteren vier Zeichen bei der Datei ohne Erweiterung? Oder sollte das oben '%0.8X%0.8X%0.8X' heißen und damit 24 Zeichen lang sein? Das würde das Abschneiden nach 20 Zeichen für die Katalogdatei...
Forum: Algorithmen, Datenstrukturen und Klassendesign
by HofMar,
12. Jun 2012
Hallo,
wie bekommt man möglichst schnell die Versionsnummer aus dem schadhaften Code heraus?
Gruß Martin
Forum: Algorithmen, Datenstrukturen und Klassendesign
by HofMar,
12. Jun 2012
Hallo Marcu,
Welche Aufgabe hat die $$0-Datei? Diese habe ich auch gefunden. Jedoch klappte bei mir weder das Dekodieren (DecryptTmpNoExt) der Datei ohne Extension, noch bei der $$0-Datei.
Gruß Martin
Forum: Algorithmen, Datenstrukturen und Klassendesign
by HofMar,
11. Jun 2012
Hallo Marcu,
Das reduziert die Anzahl der verwendeten Bitkombinationen jedoch auf 32, da nur fünf Bits gesetzt sind! Interessanterweise werden damit nur gerade Zahlen erlaubt und aus dem Array L
const
L: array of Char = (
'q', 'w', 'e', 'r', 't', 'y', 'u', 'i', 'o', 'p', 'a', 's', 'd', 'f', 'g',
'h', 'j', 'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm', 'p', 'l', 'f', 'y',
...