Парсинг бинарных файлов. Как дешифровать данные, полученные с помощью binwalk?

Question

[DEVELOPER]

В результате исследования бинарного файла БД binwalk получил следующую таблицу:

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
189           0xBD            Copyright string: "Copyright 2015."
2526508       0x268D2C        mcrypt 2.2 encrypted data, algorithm: CAST-128, mode: ECB, keymode: 8bit
2530208       0x269BA0        mcrypt 2.2 encrypted data, algorithm: blowfish-448, mode: CBC, keymode: 8bit
2530328       0x269C18        mcrypt 2.2 encrypted data, algorithm: blowfish-448, mode: CBC, keymode: 8bit
5114919       0x4E0C27        mcrypt 2.2 encrypted data, algorithm: blowfish-448, mode: CBC, keymode: 8bit
7684384       0x754120        mcrypt 2.2 encrypted data, algorithm: blowfish-448, mode: CBC, keymode: 4bit
7684703       0x75425F        mcrypt 2.2 encrypted data, algorithm: blowfish-448, mode: CBC, keymode: 4bit

Видно, что есть блоки данных, зашифрованные CAST-128 в режиме ECB (вообще не понимаю, что это) и blowfish-448 в режиме CBC (аналогично).
Что с этими данными делать дальше? Куда копать? Ключа нет для дешифрования. Да даже и если бы был, то я не особо бы смог им воспользоваться без подсказки.
Как можно перевести эти данные в удобочитаемый вид?
Пытаюсь исследовать ПО, которое работает с этими бинарниками в Ghidra, но пока безрезультатно. Логика такая, что если ПО "понимет", что именно находится в бинарнике и знает, как его дешифровать, то в ПО где-то заложен ключ дешифрования.
А может быть всё намного проще. Требуется помощь. Спасибо за помощь и подсказки.

Comments

[shurshur]

Если авторы не очень сильно заморочились, ключ, скорее всего, хранится где-то в приложении среди строковых констант, и его можно попытаться извлечь. В конце концов, брутфорсить по разным фрагментам сегмента данных (брать куски по 2-3-4-...-1000-... байт из кода и пытаться декодировать, в расчёте получить что-то похожее на читаемые данные. Но вообще обычно приходится дизассемблировать код и пытаться понять его логику, что намного сложнее.

[DEVELOPER]

shurshur, спасибо за ваш ответ и ваше мнение по поводу моей проблемы. Исходя из того, что ПО укладывается в 3 сотни килобайт и является однофайловым, за исключением стандартных библиотек VC2015, я даже более чем уверен в том, что ключ находится в самом ПО. С безопасностью тут всё хорошо (в смысле для нас). Поскольку это ПО извлекает все данные из этих бинарников, не требуя при этот какого-либо доступа к серверу или вообще доступа к сети, то вся загадка внутри него. Оно прекрасно дезассемблируется, но мне не хватает знаний, даже самых приметивных, на чей-то взгляд.
К примеру я вижу hex адреса, которые вероятно являются началом блока данных. Скорее всего в указанных адресах начинается сигнатура, которая идентифицируется Binwalk как блок зашифрованных с помощью определённого алгоритма данных.

[shurshur]

DEVELOPER, как я уже сказал, можно пытаться достать ключ буквально методом тыка, выдернув различные куски от 1 до 3000 (на самом деле даже меньше) непрерывных байт из этого кода и пытаясь использовать их в качестве ключа для предполагаемого алгоритма шифрования. Главное понять, как автоматизированно отличить нормальные данные от плохих. Ну или, как вариант, может быть достаточно, чтобы алгоритм не вернул ошибку, что ключ какой-то неправильный или что данные не расшифровываются.

Я в целом не очень понимаю, как binwalk обнаруживает криптоданные, у них какая-то сигнатура в заголовке? Но если наивный поиск ключа перебором найдёт ключ, то и здорово.

Без примера файла и информации о софте сложно советовать что-то более конкретное.