-
-
[原创]可以修改indexing string的base64编码实现
-
发表于: 2020-7-31 23:34
-
注:本文没有特别详细地解释base64编码的原理,只是针对个人在理解过程中遇到的问题进行了介绍,同时引入了可变的indexing string,并对此使用python进行了实现。
最近正在看《Practical Malware Analysis》,决定写这篇文章的起因就是在看到第13章介绍base64的部分,作者提到了改变64个字符的顺序,base64得到的结果会完全不同:
One of the beautiful things about Base64 (at least from a malware author’s point of view) is how easy it is to develop a custom substitution cipher. The only item that needs to be changed is the indexing string, and it will have all the same desirable characteristics as the standard Base64. As long as the string has 64 unique characters, it will work to create a custom substitution cipher.
我对这里产生了兴趣,因为这种情况下想要进行解码难度会大很多。即便在进行逆向的时候往往能够发现作者设置的字符顺序,没有一个自动化的工具,解码的过程也要耗费很多时间。
除此之外,我自己也希望加深对base64编码原理的理解,以前没有自己实践过,往往过一段时间就忘记了。
事实上在搜索引擎里能找到大量介绍base64原理的文章,但是大部分文章举的例子都是怎样把三个字节的字符串编码为四个字节的base64码,在提到字符串长度无法被三整除的情况时,只是简单地说了一句要在字符串后补零,这里补几个零,编码后的字符后面就补几个等号。
其实这种说法并没有什么问题,但是在代码实现的时候总是感觉哪里不太对劲,整个过程在脑海里复现的时候,我一直在纠结在字符串后面补的零要怎么进行转换。具体来说,如果有四个字符需要转换,按照上面的说法,就需要补两个字节的零\x00\x00,转换成二进制,后面就存在两个完全为零的6bits数据000000 000000,转换成索引值就是0,但是转换到编码结果之后,这两块数据对应的显然是=,而不是indexing string的第一个字符。
我知道我这样思考的问题在哪里,但是导致我会首先这样思考的原因在于原文的叙述对于代码实现不是特别友好。
在上图中,补零发生在转换成二进程字符串之后,补零的个数由二进制字符串的长度确定,这样思考更加的直观与易于理解(至少对我来说)。下面以文字的方式进行介绍:
读入待编码str -> 根据ASCII转为二进制字符串binary -> 根据len(binary)%6的值在其后补0 -> 每6位一组并转换为十进制索引值 -> 查找indexing string中对应的字符组成编码结果 -> 根据len(str)%3的值在结果后补=
读入待解码str -> 去掉后面多余的= -> 查找每个字符在indexing string中对应的索引值 -> 将索引值转换为二进制字符串binary -> 根据len(binary)%8的值去除后面多余的0 -> 每8位一组并转换为十进制ASCII值 -> 由ASCII值获得最终的解码结果
在上述文字步骤中:
编码:根据ASCII转为二进制字符串binary
解码:将索引值转换为二进制字符串binary
我直接假设转换生成的二进制字符串长度是符合要求的,但是python显然不这么认为,转换结果中的前置0都会被直接去掉,导致字符串整体长度不符合要求,因此需要使用format进行处理。
代码中默认的indexing string也是base64默认使用的"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"。
测试结果和网上找到的在线base64编码结果相同:
下例中,我把h移动到了indexing string的开头,看一下相同字符串的编码结果。
如果使用新的indexing string对之前的编码结果进行解码:
可以发现完全无法找到原始字符串。
虽然从恶意代码分析的角度,只需要列出恶意软件中的字符串大概率就能找到修改后的indexing string,但是在其他场景中,想要破解就需要暴力枚举所有可能的indexing string了。而且《Practical Malware Analysis》的作者也提到,只要是可打印字符,都可以放入indexing string中,所以实际上indexing string就相当于一个密码本,可以进行很大的修改,得到更加面目全非的base64编码结果,或者已经不能叫做编码了。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
