Шифрованный device.log

банкоматы компании NCR

Модератор: central

Первое новое сообщение • Сообщений: 4 • Страница 1 из 1

Шифрованный device.log

Непрочитанное сообщение semoder » 30 авг 2020, 04:13

Все привет. Сразу скажу что я просматриваю данный файл не блокнотом, ибо тут тем с похожим заголовком в достатке.

При обновлении Aptr'ы с 4.4.2 до 4.4.5 , данные в device.log/Software.log начали шифроваться, структура внятная, по тихой грусти можно понять что к чему, но нужные блоки в файле зашифрованы(bLogEncrypted). Никто не пытался понять способ шифрования?
Копаясь в ulcorcom.dll(вроде как эта библиотека пишет логи) прогресс сильно не сдвинулся, разве что стало слегка понятно что всего навсего игра на сдвигах бит. То есть ничего не упаковано, длина, да и структура осталась та-же самая, некоторые данные даже просматриваются(если знать что искать).
Штатная утилита log2txt.exe(в новом дистрибутиве не обновлена, так и осталась от 2015 года) выплевывает пустоту.
Может у кого есть log2txt посвежее для изучения =)? Либо, если кто копался в этих дебрях, может я не там ищу?
semoder
Новичок
 
Сообщения: 12
Зарегистрирован: 05 окт 2016, 20:54
Авто: Nissan X-trail 2002г

Re: Шифрованный device.log

Непрочитанное сообщение semoder » 31 авг 2020, 14:24

Непосредственно сам лог
semoder
Новичок
 
Сообщения: 12
Зарегистрирован: 05 окт 2016, 20:54
Авто: Nissan X-trail 2002г

Re: Шифрованный device.log

Непрочитанное сообщение pilat » 01 сен 2020, 19:18

semoder писал(а):Копаясь в ulcorcom.dll

Если отсюда есть понимание что на сдвигах, то алгоритм сдвига там же искать нужно. К сожалению к реверсу кода у меня мозга не хватает, а вот структуры разбирать интересно.
Структуру видно, - это да, но я на втором смещении обломался - либо "в молоко", либо не пойми куда улетаю; пытался анализировать несколько месяцев назад.

NCR активно к ключам привязывать начал, и какими-то шкодными методами это делает.
pilat
Новичок
 
Сообщения: 12
Зарегистрирован: 30 янв 2014, 00:22

Re: Шифрованный device.log

Непрочитанное сообщение Fvf » 21 янв 2021, 18:13

А если не секрет, какое смещение и куда Вы нашли?

Посмотрел, сравнил. Сообщения даже по длине разные, по сравнению с простым файлом. На разных машинах при одних и тех же статусах сообщения разные. Т.о. шифрование внутри файла зависит от чего то другого. Например какого либо ключа в реестре.
Я так подозреваю, что если даже подложить нужный Device.log в виртуальную машину с usb-ключом, он не покажет статусы...
Fvf
Прохожий
 
Сообщения: 4
Зарегистрирован: 03 сен 2018, 17:01


Сообщений: 4 • Страница 1 из 1

Вернуться в NCR



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3