 |
eXeL@B —› Вопросы новичков —› Закодирована строка - модификация Base64 |
| Посл.ответ | Сообщение |
|
|
Создано: 26 ноября 2009 20:21 · Поправил: Модератор · Личное сообщение · #1 @NSYjMwkPTgQDE0JacCYoMTYDFU0GGg== Здесь зашифрован email (не спам контент, сразу говорю). Помогите разобраться что это. Base64 не декодируется (без префикса '@' тоже пробовал). В программе, которая работает с подобными данными KANAL (PeID) ничего не нашел кроме crc/zlib. Возможно какая-то байт-модификация после Base64, но не смог выявить.  тему переименовал J  |
|
|
Создано: 26 ноября 2009 20:33 · Личное сообщение · #2 Уважаемый, здесь вам не форум телепатов. Да и раздел в который вы кинули тему "Вопросы по исследованию защиты программ, инструментам.". И где программа? |
|
|
Создано: 26 ноября 2009 20:42 · Поправил: uinor · Личное сообщение · #3 Программы, к сожалению, на руках нет. Единственное что успел - это пробежаться по ней KANAL'ом и бегло осмотреть. Я понимаю, что телепатов нет, зато есть достаточно опытные люди со знанием подобных модификаций/шифрований. К сожалению, раздела по криптографии на форуме нет, поэтому решил, что основной форум - будет адекватно. Если считаете что следует перенести - переносите, буду только рад. Update: Могу попробовать выложить только основной exe'шник, но он даже не запустится, т.к. не хватит остального нутра (~100 Mb). Что в приведенном коде лежит мыло - это однозначно. |
|
|
Создано: 26 ноября 2009 20:53 · Личное сообщение · #4 uinor пишет: есть достаточно опытные люди со знанием подобных модификаций/шифрований Вы бред несёте. Я могу какой угодно алгоритм придумать перевода почтового адреса в подобную строку. |
|
|
Создано: 26 ноября 2009 21:02 · Поправил: uinor · Личное сообщение · #5 Обратите внимание на постфикс (=/==), он достаточно характерен. Префикс '@' с большой вероятностью не несет информации. Я вытащил несколько пар, возможно это облегчит ситуацию. 'sch100[at]aaanet.ru' -> '@NCo4aVZRIxUOE19LRGk7JQ==' 'triton-rnd[at]bk.ru' -> '@Mzs5LAkPTgYBFnFMW2k7JQ==' 'mail_sever[at]aaanet.ru' -> '@Kig5NDkSBgIKAHFPUSYnNSxIExY=' * без кавычек * [at] ->@ Update: Видно, что в первых двух парах одинаковое кол-во символов в почтовом ящике, в итоге '.ru' дает одинаковую оконцовку в шифре 'k7JQ' |
|
|
Создано: 26 ноября 2009 21:16 · Поправил: SergX · Личное сообщение · #6 [del] |
|
|
Создано: 26 ноября 2009 21:17 · Личное сообщение · #7 uinor вам только можно пожелать удачи - угадывать алго без программы |
|
|
Создано: 26 ноября 2009 21:40 · Личное сообщение · #8 Что-то меня всегда забавляли такие темы, но больше всего меня удивляли такие люди, создающие тему "Угадайка". Ты хоть сам понимаешь, насколько бредово это звучит твоя просьба? Любой может взять и использовать какой угодно алгоритм сложности. Вполне возможно, что и юзается тут Base64, потому как по виду вроде похоже, но это же ничего не значит. И какова конечная цель создания такого топика, то ты хотел услышать собственно, какой совет тебе могут тут дать? Имхо закрой тему, не позорься. 
----- Программист SkyNet |
|
|
Создано: 26 ноября 2009 21:51 · Личное сообщение · #9  Ситуация решаема, однозначно. Маркером выделены фрагменты, которые могут дать зацепку в плане анализа. Помогите сложить все воедино. Там debase64 + original. Что мы имеем (основы, которые помогут вытащить): 1. Одинаковый tail шифра у email'ов одинаковой длины (значит не более чем байт-модификация одинаковым для всех ключом) 2. Четко видна закономерность (на картинке), но не могу уложить ее пока математически. Просьба, не закрывайте пока тему. Я уверен что найдется пара человек, которым будет интересно решить задачку. К тому же я работаю не на слив, а принимаю непосредственное участие. |
|
|
Создано: 26 ноября 2009 21:54 · Личное сообщение · #10 Ясно одно, что это модификация base64, где переставлены соответствия некодированых символов кодированым. |
|
|
Создано: 26 ноября 2009 22:03 · Поправил: uinor · Личное сообщение · #11 YO-everybody, вы имеете в виду препроцессинг (модификация) перед base64? После? Или же модифицирован сам base64? Я сейчас лог смотрю, который успел собрать. В контексте процесса висела secur32.dll (MS), которая, в принципе, имплементирует чистый decodeBase64. Update: Программа написана на MS VC++ 8, KANAL не нашел base64 внутрях, так что вполне возможно, что использована MS реализация оного. secur32.dll в таблице импорта нет, вероятно подгружена была через LoadLibrary. Я еще раз прошу прощение у форумчан, возможности взять софт не было и нет, но сколько мог информации - вытащил. |
|
|
Создано: 26 ноября 2009 22:07 · Личное сообщение · #12 Возможно, сперва ксор, потом баз64, сиди и гадай. Если нет-тебе же хуже, топик закрою, здесь не астрологов форум, без софта и фотки кофейной гущи не получится. |
|
|
Создано: 26 ноября 2009 22:23 · Поправил: uinor · Личное сообщение · #13 Archer, если был бы xor + base64, то после debase64 сразу было бы видно ключ для xor'a, согласитесь? Я имею в виду, что найти ключ xor'a очень просто и быстро. |
|
|
Создано: 26 ноября 2009 23:18 · Личное сообщение · #14 Тема закрыта, решение найдено. |
|
|
Создано: 27 ноября 2009 18:11 · Личное сообщение · #15 Если кому-то интересно решение, то я был прав, а автор ленив. |
|
eXeL@B —› Вопросы новичков —› Закодирована строка - модификация Base64 |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати