[Tiptoi] RAV-Dateien, ex "Schnellstart-Anleitung.gme"

[Jan Walter]

Am 24.06.2016 um 20:36 schrieb Ulrich Sibiller:
> 2016-06-24 17:50 GMT+02:00 Seb <sebastian.chyla at gmx.de>:
>> Gibt es Pläne die besonderen Rav Dateien im Hörspiel- /Liedermodus zu
>> analysieren?! (kann bei Bedarf gern die Beispieldateien uploaden) ggf. Sind
>> die ja auch einfache mp3 in nem Container. Der Pausemodus ist sicher nicht
>> ganz unwichtig für Eltern.
>> Unsere Tochter wäre beispielsweise bei nem 30 min. Hörspiel auch
>> zwischendurch mal "ansprechbar" ;-)
> Ich meine mich zu erinnern, dass wir aus vorhandenen Schilderungen
> geschlossen haben, dass es sich hierbei um verschlüsselte Dateien
> handelt. Schau mal im Mailinglistenarchiv nach, da haben wir das
> diskutiert.
Hallo,

ich habe vor einigen Wochen dazu auch mal 96 Hörbuchdateien anlysiert. 
Ich konnte dabei zwei Typen von Strukturen erkennen. Beide haben einen 
141 Byte großen Startblock mit einer gemeinsamen Einteilung mittels 0x00 
(11mal) bzw 0xFF Bytes (3mal).

Darauf folgt ein Block von 3304 Bytes in dem die zwei Typen zum Teil 
unterschiedliche Trennungen mittels 0x00 Bytes haben. Es gibt darin 9 
gemeinsame 0x00 Stellen und Typ1 hat dazu noch 31 eingene 0x00, Typ2 62 
eigene 0x00 "Grenzen".

Abschließend kommt noch ein 320 Byte großer Block für Typ1 bzw. ein 12 
Byte großer Block für Typ2.

Der Rest der RAV-Dateien scheint aufgrund der Entropieanalyse eine 
starke Verschlüsselung zu besitzen.

Die Vermutung ist daher: im Headerblock sind die Infos zu den 
verwendeten Schlüssel(n) des konkreten Höhrbuches. Diese lassen sich 
anhand der Keydateien, der Stift-ID und der im Firmware versteckten 
Schlüsselteile/Algorithmen exctrahieren.

Um die Analyse damals zu vereinfachen hatte ich mir dazu eine Seite 
gebastelt bei der ich die Headerstrukturen mittels einfacher PNGs 
visualisiert habe:

http://tiptoi.neveron.de/

Für Anregungen wie man hier evtl weiterkommen könnte bin ich dankbar. 
Bisher ist auf meiner TODO noch:

1) im verschlüsselten Teil mal ein Paar Bytes ändern und schauen ob 
zumindest die Datei bis dahin noch abspielbar bleibt. Damit könnte man 
evtl die Blockgröße der Verschlüsselung erkennen

2) habe ich bisher auch noch keine Schüsseldateien. Auch hier könnte man 
eine Strukturanalyse machen

3) die Firmware könnte auf Verschlüsselungsalgorithmen untersucht 
werden, evtl finden sich dabei Ansätze zum weiteren Vorgehen

4) ich habe bei einem kurzen Test einer kostenlosen Datei eines Stifts 
in einem anderen Stift (da war als 2. ein anderes Höhrbuch dabei) den 
Stift nicht zum abspielen gebracht. Hier wollte ich nochmals genauer 
schauen was bei den "gleichen" Dateien wirklich gleich ist, und wie das 
mit Gemeinsamkeiten/Unterschieden bzgl. der beiden anderen Höhrbüchern ist.


CU Jan

> Was genau ist der "Pausemodus"?
>
> Uli
>