[Tiptoi] RAV-Dateien, ex "Schnellstart-Anleitung.gme"

Ulrich Sibiller ulrich.sibiller at gmail.com
Di Jun 28 08:51:57 CEST 2016


2016-06-27 22:17 GMT+02:00 Jan Walter <tiptoi at neveron.de>:

> ich habe vor einigen Wochen dazu auch mal 96 Hörbuchdateien anlysiert. Ich
> konnte dabei zwei Typen von Strukturen erkennen. Beide haben einen 141 Byte
> großen Startblock mit einer gemeinsamen Einteilung mittels 0x00 (11mal) bzw
> 0xFF Bytes (3mal).
>
> Darauf folgt ein Block von 3304 Bytes in dem die zwei Typen zum Teil
> unterschiedliche Trennungen mittels 0x00 Bytes haben. Es gibt darin 9
> gemeinsame 0x00 Stellen und Typ1 hat dazu noch 31 eingene 0x00, Typ2 62
> eigene 0x00 "Grenzen".

Die zwei unterschiedlichen Strukturen könnten unterschiedlich starke
Verschlüsselungen sein.

> Abschließend kommt noch ein 320 Byte großer Block für Typ1 bzw. ein 12 Byte
> großer Block für Typ2.

Wie hast du das herausbekommen? Hast du ein spezielles Tool, um
gemeinsame Bytes mehrerer Dateien zu finden?

> Der Rest der RAV-Dateien scheint aufgrund der Entropieanalyse eine starke
> Verschlüsselung zu besitzen.
>
> Die Vermutung ist daher: im Headerblock sind die Infos zu den verwendeten
> Schlüssel(n) des konkreten Höhrbuches. Diese lassen sich anhand der
> Keydateien, der Stift-ID und der im Firmware versteckten
> Schlüsselteile/Algorithmen exctrahieren.
>
> Um die Analyse damals zu vereinfachen hatte ich mir dazu eine Seite
> gebastelt bei der ich die Headerstrukturen mittels einfacher PNGs
> visualisiert habe:
>
> http://tiptoi.neveron.de/

Die Grafiken sind wirklich hilfreich, mit der Erklärung oben hatte ich
das anders verstanden ;-)

> Für Anregungen wie man hier evtl weiterkommen könnte bin ich dankbar. Bisher
> ist auf meiner TODO noch:
>
> 1) im verschlüsselten Teil mal ein Paar Bytes ändern und schauen ob
> zumindest die Datei bis dahin noch abspielbar bleibt. Damit könnte man evtl
> die Blockgröße der Verschlüsselung erkennen

Da ist bestimmt auch noch ne Checksumme drüber, daher ist das nicht
unbedingt zielführend.

> 2) habe ich bisher auch noch keine Schüsseldateien. Auch hier könnte man
> eine Strukturanalyse machen
>
> 3) die Firmware könnte auf Verschlüsselungsalgorithmen untersucht werden,
> evtl finden sich dabei Ansätze zum weiteren Vorgehen
>
> 4) ich habe bei einem kurzen Test einer kostenlosen Datei eines Stifts in
> einem anderen Stift (da war als 2. ein anderes Höhrbuch dabei) den Stift
> nicht zum abspielen gebracht. Hier wollte ich nochmals genauer schauen was
> bei den "gleichen" Dateien wirklich gleich ist, und wie das mit
> Gemeinsamkeiten/Unterschieden bzgl. der beiden anderen Höhrbüchern ist.

Ich denke, das dürfte zunächt die meisten Erkenntnisse liefern.

Mich würde auch mal die Dateigröße der Hörbücher interessieen. Die
gibt es anderswo ja auch als mp3 (z.B. Bibi+Tina). Gibt es da größere
Abweichungen, so dass man ggf. auch noch auf Komprimierung schliessen
könnte?

Uli

PS: Dr. Brumm als Hörbuch - das kann ich mir garnicht so recht
vorstellen, die Bücher leben doch auch nicht unerheblich von den
Grafiken.




Mehr Informationen über die Mailingliste tiptoi