eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: FunAI, zombi-vadim, vitlgt (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Странная структура файла
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 июня 2019 00:46 New!
Цитата · Личное сообщение · #1

Изучал один вредонос, он принимает GET запросом текст. Текст весит много, но структура у него странная. Не могу понять, что это и зачем?
Есть предположение, что это дллка закриптованная.
https://yadi.sk/d/vho7gSjYwadrrA


Ранг: 212.9 (наставник)
Статус: Участник

Создано: 4 июня 2019 00:53 · Поправил: f13nd New!
Цитата · Личное сообщение · #2

Символы аглицкого алафавита, "+", слеш, это base64. Такое кодирование двоичных данных при помощи печатных символов, чтобы передавать по текстовым протоколам или вставлять в текстовые поля.

| Сообщение посчитали полезным: punxer


Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 июня 2019 01:10 · Поправил: Oniel New!
Цитата · Личное сообщение · #3

f13nd пишет:
это base64.

Base64? Там же другая структура кодирования. Или это какая-то "разновидность" кодирования base64? Или я туплю?


Ранг: 212.9 (наставник)
Статус: Участник

Создано: 4 июня 2019 01:21 · Поправил: f13nd New!
Цитата · Личное сообщение · #4

Oniel пишет:
Там же другая структура кодирования.

В смысле другая? Эта же. Ровно 64 возможных символа в этом тексте, можешь проверить гистограммой. Возможно "детское шифрование", когда символы самой таблицы перемешиваются, но принцип наверняка этот же - бин дробится на поля по 6 бит, по таблице выбираются значения для этих полей. Может быть ты имеешь в виду der-структуру, которая обычно под base64 в pem-файлах, но der никакого отношения к base64 не имеет.

| Сообщение посчитали полезным: Oniel


Ранг: 35.4 (посетитель)
Статус: Участник

Создано: 4 июня 2019 01:25 New!
Цитата · Личное сообщение · #5

В Инфопротекторе используется модифицированный Base64 - если вдруг кому то интересно )

| Сообщение посчитали полезным: Oniel


Ранг: 29.6 (посетитель)
Статус: Участник

Создано: 4 июня 2019 01:29 · Поправил: morgot New!
Цитата · Личное сообщение · #6

Oniel надо сам вредонос смотреть, потому как после base64_decode там явно не валидный РЕ файл. Может он банально ксорит или еще что, но без бинарника угадывать можно долго.
А может там несколько файлов (Азор так делал, тащил 1 бинарник, потом ксорил 3 символами, и разбивал на неск. дллок).

| Сообщение посчитали полезным: Oniel


Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 июня 2019 01:39 New!
Цитата · Личное сообщение · #7

Да, всем спасибо. Там скорее всего RSA еще, судя по строкам в загрузчике.

{ Атач доступен только для участников форума } - 3g2g32ge1_9CkstgwUl1.png


Ранг: 212.9 (наставник)
Статус: Участник

Создано: 4 июня 2019 01:45 · Поправил: f13nd New!
Цитата · Личное сообщение · #8

Oniel пишет:
Там скорее всего RSA

Размер на выходе не кратен даже 16, по картинке можно определенно сказать только то, что малвара написана ленивым сишником в студии А что это криптопп используется именно для расшифровки подтянутого из гейта модуля, совсем не факт.

Ранг: 29.6 (посетитель)
Статус: Участник

Создано: 4 июня 2019 17:18 New!
Цитата · Личное сообщение · #9

Oniel
все может быть, но кстати, редко встречал, чтобы с помощью рса шифровали весь файл. Это слишком накладно. Шифруют (если мы берем малвару) подпись, сигнатуру, ну чтобы бот не скачал что-то от аверов / конкурентов, а именно свое.
Впрочем, это все теория.

| Сообщение посчитали полезным: Oniel

 eXeL@B —› Вопросы новичков —› Странная структура файла

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS