 |
eXeL@B —› Вопросы новичков —› Странная структура файла |
| Посл.ответ | Сообщение |
|
|
Создано: 04 июня 2019 00:46 · Личное сообщение · #1 Изучал один вредонос, он принимает GET запросом текст. Текст весит много, но структура у него странная. Не могу понять, что это и зачем? Есть предположение, что это дллка закриптованная. https://yadi.sk/d/vho7gSjYwadrrA  |
|
|
Создано: 04 июня 2019 00:53 · Поправил: f13nd · Личное сообщение · #2 Символы аглицкого алафавита, "+", слеш, это base64. Такое кодирование двоичных данных при помощи печатных символов, чтобы передавать по текстовым протоколам или вставлять в текстовые поля. ----- 2 оттенка серого | Сообщение посчитали полезным: punxer |
|
|
Создано: 04 июня 2019 01:10 · Поправил: Oniel · Личное сообщение · #3 f13nd пишет: это base64. Base64? Там же другая структура кодирования. Или это какая-то "разновидность" кодирования base64? Или я туплю? |
|
|
Создано: 04 июня 2019 01:21 · Поправил: f13nd · Личное сообщение · #4 Oniel пишет: Там же другая структура кодирования. В смысле другая? Эта же. Ровно 64 возможных символа в этом тексте, можешь проверить гистограммой. Возможно "детское шифрование", когда символы самой таблицы перемешиваются, но принцип наверняка этот же - бин дробится на поля по 6 бит, по таблице выбираются значения для этих полей. Может быть ты имеешь в виду der-структуру, которая обычно под base64 в pem-файлах, но der никакого отношения к base64 не имеет. ----- 2 оттенка серого | Сообщение посчитали полезным: Oniel |
|
|
Создано: 04 июня 2019 01:25 · Личное сообщение · #5 В Инфопротекторе используется модифицированный Base64 - если вдруг кому то интересно ) | Сообщение посчитали полезным: Oniel |
|
|
Создано: 04 июня 2019 01:29 · Поправил: morgot · Личное сообщение · #6 Oniel надо сам вредонос смотреть, потому как после base64_decode там явно не валидный РЕ файл. Может он банально ксорит или еще что, но без бинарника угадывать можно долго. А может там несколько файлов (Азор так делал, тащил 1 бинарник, потом ксорил 3 символами, и разбивал на неск. дллок). | Сообщение посчитали полезным: Oniel |
|
|
Создано: 04 июня 2019 01:39 · Личное сообщение · #7 Да, всем спасибо. Там скорее всего RSA еще, судя по строкам в загрузчике.  b08d_04.06.2019_EXELAB.rU.tgz - 3g2g32ge1_9CkstgwUl1.png
|
|
|
Создано: 04 июня 2019 01:45 · Поправил: f13nd · Личное сообщение · #8 Oniel пишет: Там скорее всего RSA Размер на выходе не кратен даже 16, по картинке можно определенно сказать только то, что малвара написана ленивым сишником в студии  А что это криптопп используется именно для расшифровки подтянутого из гейта модуля, совсем не факт.
----- 2 оттенка серого |
|
|
Создано: 04 июня 2019 17:18 · Личное сообщение · #9 Oniel все может быть, но кстати, редко встречал, чтобы с помощью рса шифровали весь файл. Это слишком накладно. Шифруют (если мы берем малвару) подпись, сигнатуру, ну чтобы бот не скачал что-то от аверов / конкурентов, а именно свое. Впрочем, это все теория. | Сообщение посчитали полезным: Oniel |
|
eXeL@B —› Вопросы новичков —› Странная структура файла |
Для печати