在逆向分析的过程中，我们经常会遇到一些常用的已公开的算法如md5、sha1、sha256、sm3、base64等，这些算法常用于数据计算或者转换；也经常会遇到另外一些常用的算法如rc4、aes等，而这些算法常用于数据加密，所有这些算法都是用于特定安全场景（保密性、完整性）的，今天我们要分享的主题是当逆向过程中遇到这些算法的时，我们如何快速的识别这些算法，特别是在分析汇编级别的程序时尤为有用（现在安全能力越来越强，即使是编译后的汇编程序也可能进行了各种加固，让我们不能直观的分析程序）。

       抛开各种算法背后的数学和密码学原理（作为逆向工程师，我们不要陷入其中），快速识别算法才是最重要的，它能大大的节省我们分析应用逻辑的时间，今天我们着重介绍一下md5、sha1、sha256、sm3、aes这样算法的识别，对剩下的base64、rc4算法识别我们将放到下一篇文章中。

在陈述本篇文章前，我先介绍一下本篇识别算法的方法-常数识别法和S-box(inv-sbox)识别法。

或许这些方法早已在高级逆向工程师中传播(更多的是高级逆向工程师的自我发现和觉醒，形成的自我经验，或许他们不愿意传播)，但对于刚刚研究和学习逆向或者中级逆向工程师来说它了解它们是有裨益的。

常数识别方法

已公开的通用的哈希算法，在程序运算的开始都会初始化固定数量的常数，考虑到算法的复杂性，一般这些算法不会被修改，因此识别这些常数就成了我们识别算法的关键。

S-box、inv-sbox识别方法

           同样已公开的某些加密算法也具备这样的特征，如aes、des这样的算法，它们算法中通常包含一个固定的默认 S-box（Substitution box）。它是 字节替换（SubBytes）步骤 中使用的查表，用于把每个字节替换成另一个字节，从而实现非线性变换。识别S-box就成了识别这类加密算法的关键。

Inv-sbox同理。

md5算法识别

md5算法的识别属于常数识别范畴，它包含以下4个有且只有4个常数（区别于sha1），要仔细核对常数个数：

A = 0x67452301，B = 0xefcdab89，C = 0x98badcfe，D = 0x10325476

我手边有js实现的md5代码，我们来截取一部分看一下：

那我们看一下包含md5算法的汇编程序（利用反编译软件）：

这幅图片是包含md5算法的4个常量的地方，通过交叉引用我们可以找到它们被引用的地方。

即下面这幅图，该程序是md5算法的主体，它包含了上面4个常数，并且它确实是md5。

sha1算法识别

sha1算法的识别属于常数识别范畴，它包含以下5个有且只有5个常数，它的前4个常数和md5算法常数完全相同，因此在识别该算法的时候一定要仔细查看常数的个数：

H0 = 0x67452301，H1 = 0xEFCDAB89，H2 = 0x98BADCFE，H3 = 0x10325476，H4 = 0xC3D2E1F0

识别方法同md5，这里就不再给大家演示了。

sha256算法识别

sha256算法的识别属于常数识别范畴，它包含以下8常数：

H0 = 0x6A09E667

H1 = 0xBB67AE85

H2 = 0x3C6EF372

H3 = 0xA54FF53A

H4 = 0x510E527F

H5 = 0x9B05688C

H6 = 0x1F83D9AB

H7 = 0x5BE0CD19

识别方法同md5，这里就不再给大家演示了。

sm3识别算法

sm3算法的识别属于常数识别范畴，它包含以下8常数（很容易和sha256混淆）：

A=0x7380166F

B=0x4914B2B9

C=0x172442D7

D=0xDA8A0600

E=0xA96F30BC

F=0x163138AA

G=0xE38DEE4D

H=0xB0FB0E4E

识别方法同md5，这里就不再给大家演示了。

Aes识别方法

S-box识别

       所有标准 AES（AES-128 / AES-192 / AES-256）都使用同一个 S-box。它是固定的，不会在算法运行时“随机生成”或“动态变换”。

S-box如下（固定的 16×16 表）：

Inv-sbox识别

AES 中存在一个默认的 InvSBox（逆 S 盒），它与 SBox 是一一对应的逆映射关系。
也就是说：对 SBox 中的任意字节 x，如果 SBox[x] = y，那么 InvSBox[y] = x。

InvSBox 不是随机生成的，也不是每次运行动态变化的，它是根据 SBox 算出的一个 固定常数表，同样由 AES 标准（FIPS-197）定义。

Inv-sbox如下（固定的 16×16 表）：

注意：以上方法并不总适用，有些aes的实现S-box(inv-sbox)是通过程序计算出来，而不是默认直接给出的。

常数识别

仿射变换矩阵

       有些人自己实现aes算法S-box 仿射变换(我们不关注背后的逻辑)，我们会看到仿射变换矩阵 A 的8行，用字节形式存储，如下：

{ 0xF1, 0xE3, 0xC7, 0x8F, 0x1F, 0x3E, 0x7C, 0xF8 }

同上，如果自实现了inv-sbox则会看到以下逆仿射矩阵：

{0xA4, 0x49, 0x92, 0x25, 0x4A, 0x94, 0x29, 0x52}

如果我们在逆向分析过程中看到一个复杂的算法包含（特别是同时包含）以上形式的数组就要特别注意了，它可能大概率是aes算法。

轮常数

位置： 密钥扩展（Key Expansion）阶段使用。
作用： 保证每一轮的密钥都不同，破坏对称性。

生成规则

Rcon 是 8 位的常数序列，定义在有限域 GF(2⁸) 中。
第一个常数是：

之后的每个常数都通过在 GF(2⁸) 上乘以 2 得到（模多项式）

该常数序列如下：{01, 02, 04, 08, 10, 20, 40, 80, 1B, 36}

如果我们在逆向分析过程中看到一个复杂的算法包含该形式的数组就要特别注意了，它很有可能是aes算法。

总结

       关于以上算法的识别今天我就介绍这么多，相信掌握了该技巧的你在后续逆向中会大大的节约时间，有更多的精力集中在应用功能的还原上，而不是深陷在这些公开的密码学算法分析的迷雾中（另外沉浸在迷雾中完全没有意义）。

    补充：

    我开通了微信公众号，以后会时不时更新内容，欢迎大家扩散！！认准AngelToms！

 谢谢！！！

[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦！！！