in den Threads
ci+ Modul
und
CI+ Modul decrypt 2 anlauf
gab es Bemühungen einem himmlischem CI+ Modul auf den Zahn zu fühlen.
Beide Threads sind inzwischen geschlossen. Vermutlich hat das auch etwas mit dem untersuchten Dump zu tun. Er wurde jeweils von
@adas und
@Cyberscitymaste zur Verfügung gestellt. Die Exemplare waren identisch (gleicher MD5-Hash).
Der Dump wurde scheinbar in einem unbeaufsichtigten Kinderzimmer angefertigt. Die Datenleitungen sind wild durcheinander gewürfelt worden. Wie man sowas hinbekommt ohne es zu bemerken bleibt mir ein Rätsel.
Eltern, achtet besser auf eure Kinder!
Der Dump sieht so aus:
Soweit so gut.
Woran erkennt man Würste, ohne zu viel Zeit zu verschwenden? Man schaut nach Strings.
Das ist offensichtlich Wurst und Käse.
Nun wird das Durcheinander entwirrt (Script ist im Anhang):
Die Geschwindigkeit des Scripts gewinnt keinen Preis. Für den gewünschten Zweck ist es aber gut genug. Das Ergebnis zählt.
Der Lackmustest:
Wer sagt's denn!
Was ist drin? Nichts außer allgemeiner ARM32 Code mit dem üblichen Drum und Dran. Dort gibt’s nicht mal BoxIDs. Somit kann man sich die Suche nach den üblichen Verdächtigen schenken. Wer es nicht glaubt, darf natürlich trotzdem suchen.
Den originalen Dump bekam ich nicht zur allgemeinen Weiterverteilung. Deshalb muss ich den schuldig bleiben. Die Quellen stehen oben. Das Python-Script zum entwirren hängt hier dran.
Wer gerne in Maschinencode von NDS-Routinen gräbt, weiß jetzt wie er da ran kommt.
Diesen Beitrag habe ich vor allem für die geschrieben, die ihre Zeit nicht gerne mit kaputtem Zeug verschwenden wie es in den inzwischen geschlossenen Threads seinen Lauf nahm.