Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/reversing/cryptographic-algorithms
History
Translator 5edd6e211b Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R
2024-02-09 02:09:47 +00:00
..
README.md Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:09:47 +00:00
unpacking-binaries.md Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:09:47 +00:00

README.md

加密/压缩算法

加密/压缩算法

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

识别算法

如果您在代码中使用移位、异或和多个算术运算,很可能是加密算法的实现。以下将展示一些无需逆向每个步骤即可识别所使用算法的方法。

API函数

CryptDeriveKey

如果使用此函数,可以通过检查第二个参数的值来找到正在使用的算法

在此处查看可能算法及其分配值的表格:https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id

RtlCompressBuffer/RtlDecompressBuffer

压缩和解压给定的数据缓冲区。

CryptAcquireContext

文档中得知,CryptAcquireContext函数用于获取特定加密服务提供商CSP中特定密钥容器的句柄。返回的句柄用于调用使用所选CSP的CryptoAPI函数

CryptCreateHash

启动数据流的哈希处理。如果使用此函数,可以通过检查第二个参数的值来找到正在使用的算法

在此处查看可能算法及其分配值的表格:https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id

代码常量

有时很容易识别算法,因为它需要使用特殊且独特的值。

如果您在Google中搜索第一个常量您会得到以下结果

因此,您可以假设反编译的函数是sha256计算器
您可以搜索任何其他常量,您可能会得到(可能)相同的结果。

数据信息

如果代码没有任何重要的常量,可能是从.data部分加载信息
您可以访问该数据,将第一个双字组合在一起并像前面的部分一样在Google中搜索

在这种情况下,如果您搜索0xA56363C6,您会发现它与AES算法的表相关联。

RC4 (对称加密)

特征

由3个主要部分组成

  • 初始化阶段/创建一个值表从0x00到0xFF总共256字节0x100。这个表通常称为替换盒或SBox
  • 混淆阶段将在之前创建的表中循环再次循环0x100次并使用半随机字节修改每个值。为了创建这些半随机字节使用RC4密钥。RC4密钥可以是1到256字节的长度但通常建议长度超过5字节。通常RC4密钥长度为16字节。
  • XOR阶段:最后,明文或密文与之前创建的值进行异或。加密和解密的函数是相同的。为此将对创建的256字节执行多次循环。在反编译的代码中,通常会识别为**%256模256**。

{% hint style="info" %} 要在反汇编/反编译的代码中识别RC4您可以检查大小为0x100的2个循环使用密钥然后将输入数据与在2个循环中创建的256个值进行XOR可能使用%256模256 {% endhint %}

初始化阶段/替换盒:注意计数器使用的数字256以及如何在256个字符的每个位置写入0

混淆阶段:

XOR阶段

AES对称加密

特征

  • 使用替换盒和查找表
  • 可以通过特定查找表值常量来区分AES。请注意,常量可以存储在二进制文件中或动态创建
  • 加密密钥必须是16的倍数通常为32字节通常使用16字节的IV

SBox常量

Serpent (对称加密)

特征

  • 很少发现某些恶意软件使用它但有例外Ursnif
  • 可以根据其长度非常长的函数轻松确定算法是否为Serpent。

识别

请注意以下图像中使用的常量0x9E3779B9(请注意,此常量也用于其他加密算法,如TEA - Tiny Encryption Algorithm
还请注意循环的大小132)以及反汇编指令和代码示例中的XOR操作数量

如前所述,此代码可以在任何反编译器中显示为非常长的函数,因为其中没有跳转。反编译的代码可能如下所示:

因此,可以通过检查魔术数字初始XOR,查看非常长的函数,并将一些指令实现如左移7位和左旋转22位进行比较,来识别此算法。

RSA (非对称加密)

特征

  • 比对称算法更复杂
  • 没有常量!(难以确定自定义实现)
  • KANAL加密分析器无法显示RSA的提示因为它依赖于常量。

通过比较识别

  • 在第11行左侧有一个+7) >> 3与第35行右侧+7) / 8相同
  • 第12行左侧检查modulus_len < 0x040第36行右侧检查inputLen+11 > modulusLen

MD5和SHA哈希

特征

  • 3个函数初始化、更新、完成
  • 相似的初始化函数

识别

初始化

您可以通过检查常量来识别它们。请注意sha_init具有MD5没有的1个常量

MD5变换

请注意使用更多常量

CRC哈希

  • 由于其功能是查找数据中的意外更改,因此更小且更有效
  • 使用查找表(因此您可以识别常量)

识别

检查查找表常量

CRC哈希算法如下

APLib压缩

特征

  • 无法识别的常量
  • 您可以尝试在Python中编写算法并在线搜索类似的内容

识别

图表相当大:

检查3个比较以识别它

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式