<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Hi, Matthieu,<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">I made some progress on this last week, but I wanted to close in on a few loose ends before I sent any conclusions.&nbsp; But, let me indicate where I am.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Below is the buffer you provided:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 640c2747 c72f9b49 ac5b0e37 cdce899a&nbsp; # 00000000 d.'G./.I.[.7....<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 74010000 02000000 00010000 58000000&nbsp; # 00000010 t...........X...<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; bd8bdca1 3f743e47 8d000a47 42df76bd&nbsp; # 00000020 ....?t&gt;G...GB.v.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp; &nbsp;&nbsp;30e59a15 1b59b81e b6b82ad0 9f30aab3&nbsp; # 00000030 0....Y....*..0..<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 129a9855 63d211e4 4100db37 9cd98663&nbsp; # 00000040 ...Uc...A..7...c<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; a1301d8c f4250016 e2c1b036 89108356&nbsp; # 00000050 .0...%.....6...V<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ad8f0b11 6020c407 8177c1d4 957d81e8&nbsp; # 00000060 ....` ...w...}..<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; cca6bfc5 f5238d29 2e9c8d21 ffc3b7c3&nbsp; # 00000070 .....#.)...!....<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ba1435ec 6f502414 17835fdc bc2ad9f6&nbsp; # 00000080 ..5.oP$..._..*..<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; eef94f63 160afc93 b4a24c10 cf285455&nbsp; # 00000090 ..Oc......L..(TU<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 7ea747db 2496e4dd 5f4c0c4d c817c953&nbsp; # 000000a0 ~.G.$..._L.M...S<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; db589803 f6f919ec 56b08df5 399dfbea&nbsp; # 000000b0 .X......V...9...<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 59ddeb3d a0af1b7c e18522d2 1945a814&nbsp; # 000000c0 Y..=...|..&quot;..E..<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 2a8f263d 3e4fc84d b5b4eb49 6b16c25f&nbsp; # 000000d0 *.&amp;=&gt;O.M...Ik.._<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; a73b1ed3 25e984c0 30d956f7 1589d5ac&nbsp; # 000000e0 .;..%...0.V.....<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 409614ed 02cf6603 eef579a3 c64e59fe&nbsp; # 000000f0 @.....f...y..NY.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 0107da5f d1b8d6e3 15287883 4bf65bd6&nbsp; # 00000100 ..._.....(x.K.[.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; b010b774 5faaaac4 4f53e71f fde4aba3&nbsp; # 00000110 ...t_...OS......<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; bbf3985c 47ea2ba5 bfa1bea2 3b3b136a&nbsp; # 00000120 ...\G.&#43;.....;;.j<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; aa5e85dd fbdf5c8e 0fc49edf 43b7b8aa&nbsp; # 00000130 .^....\.....C...<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 0117f6d4 93cb35b9 9f572aed 8d6fdc4d&nbsp; # 00000140 ......5..W*..o.M<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 9cae9f2a 45c9bbf5 488a3e98 6293b820&nbsp; # 00000150 ...*E...H.&gt;.b..
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;770e8f24 7516122e 7bf0b961 1dee8f2a&nbsp; # 00000160 w..$u...{..a...*<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; edfbed39 41ba7391 680c214b 9d2e133b&nbsp; # 00000170 ...9A.s.h.!K...;<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 4a5a9683 744d5234 74010000 00000000&nbsp; # 00000180 JZ..tMR4t.......<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 8ae31371 02f43671 02402800 307cde3d&nbsp; # 00000190 ...q..6q.@(.0|.=<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 5d16d111 ab8f0080 5f14db40 01000000&nbsp; # 000001a0 ]......._..@....<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 045d888a eb1cc911 9fe80800 2b104860&nbsp; # 000001b0 .]..........&#43;.H`<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 02000000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 000001c0 ....&nbsp;
<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">I was focused on your specific question regarding the apparent extra 52 bytes.&nbsp; I found the code where I believe this structure is allocated and it appears that we do some rounding-up as we determine how many bytes to allocate.&nbsp; And
 then, when we encrypt and send the buffer, the total allocation is transmitted.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">It begins with BACKUPKEY_RESTORE_GUID<o:p></o:p></p>
<p class="MsoPlainText">47270C64-2FC7-499B-AC5B-0E37CDCE899A:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 640c2747 c72f9b49 ac5b0e37 cdce899a&nbsp; # 00000000 d.'G./.I.[.7....<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">It then contains what appears to be the length of the remaining buffer (0x174/372).&nbsp; This caught my attention and I&#8217;ll discuss this in a bit.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 74010000 ........ ........ ........&nbsp; # 00000010 t...............<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText">Followed with 372(0x174) bytes starting with three DWORDS:<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">-- Version 2: BACKUPKEY_RECOVERY_BLOB_VERSION_VISTA<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">-- 0x100 (256): length of Encryption Secret<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">-- 0x58 (88): length of Access Check<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ........ 02000000 00010000 58000000&nbsp; # 00000010 t...........X...<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">-- GUID-Key:<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; bd8bdca1 3f743e47 8d000a47 42df76bd&nbsp; # 00000020 ....?t&gt;G...GB.v.<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">-- The encrypted secret (for 256 bytes):<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp; &nbsp;&nbsp;30e59a15 1b59b81e b6b82ad0 9f30aab3&nbsp; # 00000030 0....Y....*..0..<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 129a9855 63d211e4 4100db37 9cd98663&nbsp; # 00000040 ...Uc...A..7...c<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; a1301d8c f4250016 e2c1b036 89108356&nbsp; # 00000050 .0...%.....6...V<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ad8f0b11 6020c407 8177c1d4 957d81e8&nbsp; # 00000060 ....` ...w...}..<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; cca6bfc5 f5238d29 2e9c8d21 ffc3b7c3&nbsp; # 00000070 .....#.)...!....<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ba1435ec 6f502414 17835fdc bc2ad9f6&nbsp; # 00000080 ..5.oP$..._..*..<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; eef94f63 160afc93 b4a24c10 cf285455&nbsp; # 00000090 ..Oc......L..(TU<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 7ea747db 2496e4dd 5f4c0c4d c817c953&nbsp; # 000000a0 ~.G.$..._L.M...S<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; db589803 f6f919ec 56b08df5 399dfbea&nbsp; # 000000b0 .X......V...9...<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 59ddeb3d a0af1b7c e18522d2 1945a814&nbsp; # 000000c0 Y..=...|..&quot;..E..<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 2a8f263d 3e4fc84d b5b4eb49 6b16c25f&nbsp; # 000000d0 *.&amp;=&gt;O.M...Ik.._<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; a73b1ed3 25e984c0 30d956f7 1589d5ac&nbsp; # 000000e0 .;..%...0.V.....<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 409614ed 02cf6603 eef579a3 c64e59fe&nbsp; # 000000f0 @.....f...y..NY.<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 0107da5f d1b8d6e3 15287883 4bf65bd6&nbsp; # 00000100 ..._.....(x.K.[.<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; b010b774 5faaaac4 4f53e71f fde4aba3&nbsp; # 00000110 ...t_...OS......<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; bbf3985c 47ea2ba5 bfa1bea2 3b3b136a&nbsp; # 00000120 ...\G.&#43;.....;;.j<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in">-- The Access Check (for 88 bytes)<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; aa5e85dd fbdf5c8e 0fc49edf 43b7b8aa&nbsp; # 00000130 .^....\.....C...<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 0117f6d4 93cb35b9 9f572aed 8d6fdc4d&nbsp; # 00000140 ......5..W*..o.M<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 9cae9f2a 45c9bbf5 488a3e98 6293b820&nbsp; # 00000150 ...*E...H.&gt;.b..
<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;770e8f24 7516122e 7bf0b961 1dee8f2a&nbsp; # 00000160 w..$u...{..a...*<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; edfbed39 41ba7391 680c214b 9d2e133b&nbsp; # 00000170 ...9A.s.h.!K...;<o:p></o:p></span></p>
<p class="MsoPlainText" style="margin-left:.5in"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 4a5a9683 744d5234 ........ ........&nbsp; # 00000180 JZ..tMR4........<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Following the 372 (0x174) bytes, I see the length again and zero<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; ........ ........ 74010000 00000000&nbsp; # 00000180 ........t.......<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Which you identified as:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; data_in_len&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000174 (372)<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; param&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000000 (0)<o:p></o:p></p>
<p class="MsoPlainText" style="margin-left:.5in">&gt; dump OK<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">In your original mail.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Lastly, I see the unused 52 bytes at the end:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[extra 52 bytes starts here]<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 8ae31371 02f43671 02402800 307cde3d&nbsp; # 00000190 ...q..6q.@(.0|.=<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 5d16d111 ab8f0080 5f14db40 01000000&nbsp; # 000001a0 ]......._..@....<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 045d888a eb1cc911 9fe80800 2b104860&nbsp; # 000001b0 .]..........&#43;.H`<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp; 02000000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 000001c0 ....&nbsp;
<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">I&#8217;m fairly certain that these 52 trailing bytes are unused and should be ignored.&nbsp; But, I got side tracked looking at what appears to be a length field immediately following the BACKUPKEY_RESTORE_GUID and that it appears to be replicated
 immediately following the buffer as if they were bookends.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Let me fully read the message you just sent as it has a couple of questions.&nbsp; I wanted to share with you the status of where I was on your original question.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Bryan<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: Matthieu Patou [mailto:mat@samba.org] <br>
Sent: Sunday, July 25, 2010 1:55 PM<br>
To: Bryan Burgin<br>
Cc: pfif@tridgell.net; cifs-protocol@samba.org; MSSolve Case Email<br>
Subject: Re: [REG:110071868986368] unused bytes after while decoding bkrp requests</p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&nbsp; Hi Bryan<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Any news on this subject ?<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">In the mean time I worked on the implementation of the protocol for the samba project and have more questions now.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">So page 31 of MS-BKRP.pdf state that the message format for exchange is :<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">NET_API_STATUS BackuprKey(<o:p></o:p></p>
<p class="MsoPlainText">[in] handle_t h,<o:p></o:p></p>
<p class="MsoPlainText">[in] GUID* pguidActionAgent,<o:p></o:p></p>
<p class="MsoPlainText">[in, size_is(cbDataIn)] byte* pDataIn,<o:p></o:p></p>
<p class="MsoPlainText">[in] DWORD cbDataIn,<o:p></o:p></p>
<p class="MsoPlainText">[out, size_is(,*pcbDataOut)] byte** ppDataOut,<o:p></o:p></p>
<p class="MsoPlainText">[out] DWORD* pcbDataOut,<o:p></o:p></p>
<p class="MsoPlainText">[in] DWORD dwParam<o:p></o:p></p>
<p class="MsoPlainText">);<o:p></o:p></p>
<p class="MsoPlainText">I already asked if there is not some bytes after the dwParam.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">After analyzing the out message I have the impression that before the
<o:p></o:p></p>
<p class="MsoPlainText">ppDataOut there is some kind of integer.<o:p></o:p></p>
<p class="MsoPlainText">Here is the hex dump of an output message:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">00000000&nbsp; 00 00 02 00 44 00 00 00&nbsp; 00 00 00 00 8d 65 cd e4&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">|....D........e..|<o:p></o:p></p>
<p class="MsoPlainText">00000010&nbsp; 6c 93 62 22 48 e7 04 ff&nbsp; 0c 8f 0e 83 7a e4 dd d4&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">|l.b&quot;H.......z...|<o:p></o:p></p>
<p class="MsoPlainText">00000020&nbsp; 4b d1 8e 74 95 67 4f 85&nbsp; be a5 9c b7 7f fd 39 2c&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">|K..t.gO.......9,|<o:p></o:p></p>
<p class="MsoPlainText">00000030&nbsp; 54 bc a7 60 e4 e0 13 26&nbsp; 49 6f ca 35 ee bb 23 24&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">|T..`...&amp;Io.5..#$|<o:p></o:p></p>
<p class="MsoPlainText">00000040&nbsp; 51 d4 4e c9 37 1d f0 9e&nbsp; 83 69 bd 10 44 00 00 00&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">|Q.N.7....i..D...|<o:p></o:p></p>
<p class="MsoPlainText">00000050&nbsp; 00 00 00 00&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|....|<o:p></o:p></p>
<p class="MsoPlainText">00000054<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">so from byte 4 (0x44 ) we have clearly (at least to me) the ppDataOut
<o:p></o:p></p>
<p class="MsoPlainText">variable that is NDR encoded (meaning that the size is specified before
<o:p></o:p></p>
<p class="MsoPlainText">on the wire) up to byte 4B then we have the size (pcbDataOut) (0x44 0x00
<o:p></o:p></p>
<p class="MsoPlainText">0x00 0x00) and then the return code.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">I attach the out message extracted from the trace I sent last time.&nbsp;
<o:p></o:p></p>
<p class="MsoPlainText">With the following samba idl:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [public,nopush,nopull,noprint] WERROR bkrp_BackupKey (<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [in,ref]&nbsp; GUID *guidActionAgent,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [in,ref]&nbsp; [subcontext(4)] uint8 *data_in,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [in]&nbsp; uint32 data_in_len,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [in]&nbsp; uint32 param,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [out] uint32 misc,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [out] DATA_BLOB secret,<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [out] uint32 data_out_len<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; );<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">We have the following result while using our ndrdump tool:<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">pull returned NT_STATUS_OK<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp; bkrp_BackupKey: struct bkrp_BackupKey<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; out: struct bkrp_BackupKey<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; misc&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: 0x00020000 (131072)<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; secret&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : DATA_BLOB length=68<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; data_out_len&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000044 (68)<o:p></o:p></p>
<p class="MsoPlainText">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; result&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : WERR_OK<o:p></o:p></p>
<p class="MsoPlainText">dump OK<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">As I have also managed to get a correct <o:p></o:p></p>
<p class="MsoPlainText">BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID exchange I also witnessed&nbsp; that on
<o:p></o:p></p>
<p class="MsoPlainText">the out message there is also &quot;something&quot; (that I named misc in our idl)
<o:p></o:p></p>
<p class="MsoPlainText">(see the get_key_out file which is the extraction of out message on a
<o:p></o:p></p>
<p class="MsoPlainText">BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID request). As the certificate that I
<o:p></o:p></p>
<p class="MsoPlainText">extracted seems to be correct I pretty encline to think I am right as
<o:p></o:p></p>
<p class="MsoPlainText">first we are able to parse the NDR encoded data, and that the result
<o:p></o:p></p>
<p class="MsoPlainText">seems sensible.<o:p></o:p></p>
<p class="MsoPlainText">Can you see if my analysis is correct and if so can you give us the
<o:p></o:p></p>
<p class="MsoPlainText">explanation of this &quot;misc&quot; parameter. If not, well please tell me the
<o:p></o:p></p>
<p class="MsoPlainText">correct way to parse the message.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Also I've got questions of what is explained in the document.<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">First&nbsp; in paragraph 3.1.4.1.3, it is stated<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&quot;The server MUST ignore the cbDataIn and pDataIn parameters. It MUST
<o:p></o:p></p>
<p class="MsoPlainText">return the RSA public key<o:p></o:p></p>
<p class="MsoPlainText">from the ClientWrap key pair, in the format specified in section 2.2.1.
<o:p></o:p></p>
<p class="MsoPlainText">If no such key can be found or<o:p></o:p></p>
<p class="MsoPlainText">created, the server MUST return an error.&quot;<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">The client is supposed to send a 2.2.2 Client-Side-Wrapped Secret struct
<o:p></o:p></p>
<p class="MsoPlainText">in the pDataIn variable, this struct contains also a version field and a
<o:p></o:p></p>
<p class="MsoPlainText">guid field.<o:p></o:p></p>
<p class="MsoPlainText">Nothing is said about this fields, how should they be populated, can you
<o:p></o:p></p>
<p class="MsoPlainText">explain this ?<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Second in paragraph 1.3.1 Call Flows, it is stated<o:p></o:p></p>
<p class="MsoPlainText">&quot;For the ClientWrap subprotocol, the Microsoft implementation of the
<o:p></o:p></p>
<p class="MsoPlainText">BackupKey Remote Protocol<o:p></o:p></p>
<p class="MsoPlainText">server stores the following LSA global secret objects (note that the LSA
<o:p></o:p></p>
<p class="MsoPlainText">global secret names are<o:p></o:p></p>
<p class="MsoPlainText">Unicode strings):<o:p></o:p></p>
<p class="MsoPlainText">1. G$BCKUPKEY_PREFERRED: This contains the 16-byte GUID ([MS-DTYP]
<o:p></o:p></p>
<p class="MsoPlainText">section 2.3.2.2) of the<o:p></o:p></p>
<p class="MsoPlainText">RSA key pair currently used for client-side secret wrapping.<o:p></o:p></p>
<p class="MsoPlainText">2. G$BCKUPKEY_guid: Here, guid is the string GUID that identifies the
<o:p></o:p></p>
<p class="MsoPlainText">wrapping key, formatted as a<o:p></o:p></p>
<p class="MsoPlainText">GUIDString ([MS-DTYP] section 2.3.2.3). The value of the secret object
<o:p></o:p></p>
<p class="MsoPlainText">is the server's ClientWrap<o:p></o:p></p>
<p class="MsoPlainText">key pair, formatted as specified in section 2.2.5&quot;<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Should I conclude that in a given domain there is only &quot;active&quot; rsa key
<o:p></o:p></p>
<p class="MsoPlainText">on all the server or said in another way no matter which server is asked
<o:p></o:p></p>
<p class="MsoPlainText">at a given moment we will always receive the same GUID for the key ?<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Also just to be sure this will be stored in the currentValue attribute
<o:p></o:p></p>
<p class="MsoPlainText">but it will be only accessible through a lsaQuerySecret call right ?<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">Regards.<o:p></o:p></p>
<p class="MsoPlainText">Matthieu .<o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">On 19/07/2010 03:06, Bryan Burgin wrote:<o:p></o:p></p>
<p class="MsoPlainText">&gt; [Mark and dochelp to bcc]<o:p></o:p></p>
<p class="MsoPlainText">&gt; [Adding case number&amp;&nbsp; CaseMail]<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Hi Matthieu,<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; I began looking at this for you to identify the trailing bytes you specified and to investigate tools to decode/parse the Backup Key request.&nbsp; I'll reply with more information as soon as I have more information to share.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Bryan<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; -----Original Message-----<o:p></o:p></p>
<p class="MsoPlainText">&gt; From: Mark Miller (MBD)<o:p></o:p></p>
<p class="MsoPlainText">&gt; Sent: Sunday, July 18, 2010 11:50 AM<o:p></o:p></p>
<p class="MsoPlainText">&gt; To: mat@samba.org; Interoperability Documentation Help; pfif@tridgell.net; cifs-protocol@samba.org<o:p></o:p></p>
<p class="MsoPlainText">&gt; Subject: RE: unused bytes after while decoding bkrp requests<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Hi Matthieu,<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Thank you for your question.&nbsp; A colleague will contact you to investigate this issue.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Regards,<o:p></o:p></p>
<p class="MsoPlainText">&gt; Mark Miller<o:p></o:p></p>
<p class="MsoPlainText">&gt; Escalation Engineer<o:p></o:p></p>
<p class="MsoPlainText">&gt; US-CSS DSC PROTOCOL TEAM<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; -----Original Message-----<o:p></o:p></p>
<p class="MsoPlainText">&gt; From: Matthieu Patou [mailto:mat@samba.org]<o:p></o:p></p>
<p class="MsoPlainText">&gt; Sent: Sunday, July 18, 2010 2:27 PM<o:p></o:p></p>
<p class="MsoPlainText">&gt; To: Interoperability Documentation Help; pfif@tridgell.net; cifs-protocol@samba.org<o:p></o:p></p>
<p class="MsoPlainText">&gt; Subject: unused bytes after while decoding bkrp requests<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp; Dear dochelp team,<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; I started to implement the backup key remote protocol for samba.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Right now I'm a bit suspicious I got the data structure ok as when I parse some bytes with ndrdump I have ~52 bytes unused.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp; From the attached capture called protected_storage.pcap I managed to extract and decrypt the payload (452 bytes &#43; 12 bytes of padding) at packet 485.<o:p></o:p></p>
<p class="MsoPlainText">&gt; The payload is also attached to this email as protected_xtr.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Here are the result of ndrdump<o:p></o:p></p>
<p class="MsoPlainText">&gt; mat@ares:/usr/local/src/samba4/source4$ ./bin/ndrdump protected_storage bkrp_BakuprKey&nbsp; in ~/protected_xtr pull returned NT_STATUS_OK WARNING! 52 unread bytes<o:p></o:p></p>
<p class="MsoPlainText">&gt; [0000] 8A E3 13 71 02 F4 36 71&nbsp;&nbsp; 02 40 28 00 30 7C DE 3D&nbsp;&nbsp; ...q..6q
<a href="mailto:.@(.0|"><span style="color:windowtext;text-decoration:none">.@(.0|</span></a>.=<o:p></o:p></p>
<p class="MsoPlainText">&gt; [0010] 5D 16 D1 11 AB 8F 00 80&nbsp;&nbsp; 5F 14 DB 40 01 00 00 00&nbsp;&nbsp; ].......
<a href="mailto:_..@"><span style="color:windowtext;text-decoration:none">_..@</span></a>....<o:p></o:p></p>
<p class="MsoPlainText">&gt; [0020] 04 5D 88 8A EB 1C C9 11&nbsp;&nbsp; 9F E8 08 00 2B 10 48 60&nbsp;&nbsp; .]...... ....&#43;.H`<o:p></o:p></p>
<p class="MsoPlainText">&gt; [0030] 02 00 00 00&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ....<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; bkrp_BakuprKey: struct bkrp_BakuprKey<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; in: struct bkrp_BakuprKey<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; guidActionAgent&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : *<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; guidActionAgent&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :<o:p></o:p></p>
<p class="MsoPlainText">&gt; 47270c64-2fc7-499b-ac5b-0e37cdce899a<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; data_in: struct bkrp_client_side_wrapped<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; version&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000002 (2)<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; encrypted_secret_len&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000100 (256)<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; access_check_len&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000058 (88)<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;guid&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :<o:p></o:p></p>
<p class="MsoPlainText">&gt; a1dc8bbd-743f-473e-8d00-0a4742df76bd<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; encrypted_secret&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : DATA_BLOB length=256<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; access_check&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : DATA_BLOB length=88<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; data_in_len&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;: 0x00000174 (372)<o:p></o:p></p>
<p class="MsoPlainText">&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; param&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 0x00000000 (0)<o:p></o:p></p>
<p class="MsoPlainText">&gt; dump OK<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; To me the result looks sensible I'm just concerned that it seems to have some garbage at the end.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; I tried to analyze the frames with netmon 3.4 but it says that it's encrypted (and I didn't find a way to tell him to decrypt ...).<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; So here is my question: is it normal that I found some trailing bytes ?<o:p></o:p></p>
<p class="MsoPlainText">&gt; do you have the capacity to parse the protected_xtr file and give us the result of the parsing with your tools ?<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">&gt; Cheers, Matthieu.<o:p></o:p></p>
<p class="MsoPlainText">&gt;<o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
<p class="MsoPlainText">-- <o:p></o:p></p>
<p class="MsoPlainText">Matthieu Patou<o:p></o:p></p>
<p class="MsoPlainText">Samba Team&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://samba.org"><span style="color:windowtext;text-decoration:none">http://samba.org</span></a><o:p></o:p></p>
<p class="MsoPlainText"><o:p>&nbsp;</o:p></p>
</div>
</body>
</html>