2. 程式人生 > >【算法】Gh0st配置加密算法(異或、Base64)

【算法】Gh0st配置加密算法(異或、Base64)

阿新 發佈:2018-02-28
異或 urn byte break down unsigned ltib else lower

1、前言

分析木馬程序常常遇到很多配置信息被加密的情況,雖然現在都不直接分析而是通過Wireshark之類的直接讀記錄。

2017年Gh0st樣本大量新增,通過對木馬源碼的分析還發現有利用Gh0st加密方式來傳播的源碼中的後門。

2、加密思路

  • 控制端:對字符串異或、移位、Base64編碼

  • 服務端:對字符串Base64解碼、移位、異或

3、實踐代碼

  • 加密編碼
// Base64編碼
static char base64[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";

int C模仿Gh0st加密上線地址Dlg::base64_encode(const void *data, int size, char **str)
{
    char *s, *p;
    int i;
    int c;
    const unsigned char *q;

    p = s = (char*)malloc(size * 4 / 3 + 4);
    if (p == NULL)
        return -1;
    q = (const unsigned char*)data;
    i = 0;
    for (i = 0; i < size;) {
        c = q[i++];
        c *= 256;
        if (i < size)
            c += q[i];
        i++;
        c *= 256;
        if (i < size)
            c += q[i];
        i++;
        p[0] = base64[(c & 0x00fc0000) >> 18];  //base64
        p[1] = base64[(c & 0x0003f000) >> 12];
        p[2] = base64[(c & 0x00000fc0) >> 6];
        p[3] = base64[(c & 0x0000003f) >> 0];
        if (i > size)
            p[3] = ‘=‘;
        if (i > size + 1)
            p[2] = ‘=‘;
        p += 4;
    }
    *p = 0;
    *str = s;
    return strlen(s);
}

// 加密函數
char * C模仿Gh0st加密上線地址Dlg::MyEncode(char *str)
{
    int     i, len;
    char    *s, *data;
    // 字符串長度
    len = strlen(str) + 1;
    // 開辟字符串相對應的內存空間
    s = (char *)malloc(len);
    // 將字符串拷貝到開辟出來的指針中
    memcpy(s, str, len);
    // 異或操作
    for (i = 0; i < len; i++)
    {
        s[i] ^= 0x19;
        s[i] += 0x86;
    }
    // Base64編碼
    base64_encode(s, len, &data);
    free(s);

    return data;
}
  • 解密編碼
// Base64密鑰
static char base64[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";

// 解碼密鑰
int C模仿Gh0st加密上線地址Dlg::pos(char c)
{
    char *p;
    for (p = base64; *p; p++)
        if (*p == c)
            return p - base64;
    return -1;
}

// Base64解碼
int C模仿Gh0st加密上線地址Dlg::base64_decode(const char *str, char **data)
{
    const char *s, *p;
    unsigned char *q;
    int c;
    int x;
    int done = 0;
    int len;
    s = (const char *)malloc(strlen(str));
    q = (unsigned char *)s;
    for (p = str; *p && !done; p += 4) {
        x = pos(p[0]);
        if (x >= 0)
            c = x;
        else {
            done = 3;
            break;
        }
        c *= 64;

        x = pos(p[1]);
        if (x >= 0)
            c += x;
        else
            return -1;
        c *= 64;

        if (p[2] == ‘=‘)
            done++;
        else {
            x = pos(p[2]);
            if (x >= 0)
                c += x;
            else
                return -1;
        }
        c *= 64;

        if (p[3] == ‘=‘)
            done++;
        else {
            if (done)
                return -1;
            x = pos(p[3]);
            if (x >= 0)
                c += x;
            else
                return -1;
        }
        if (done < 3)
            *q++ = (c & 0x00ff0000) >> 16;

        if (done < 2)
            *q++ = (c & 0x0000ff00) >> 8;
        if (done < 1)
            *q++ = (c & 0x000000ff) >> 0;
    }

    len = q - (unsigned char*)(s);

    *data = (char*)realloc((void *)s, len);

    return len;
}

// 解密函數
char* C模仿Gh0st加密上線地址Dlg::MyDecode(char *str)
{
    int     i, len;
    char    *data = NULL;
    len = base64_decode(str, &data);

    for (i = 0; i < len; i++)
    {
        data[i] -= 0x86;
        data[i] ^= 0x19;
    }
    return data;
}

然後就是加密解密界面的內容。

技術分享圖片

函數代碼:

  • 生成配置信息按鈕
void C模仿Gh0st加密上線地址Dlg::OnBnBuild()
{
    // TODO: 在此添加控件通知處理程序代碼
    UpdateData(TRUE);
    m_remote_host.Replace(L" ", L"");
    m_remote_port.Replace(L" ", L"");

    CString str = m_remote_host + ":" + m_remote_port;
    str.MakeLower();
    TCHAR * pWStrKey;         // 合並後的內容

    // 開辟數組
    pWStrKey = new TCHAR[str.GetLength() + 1];
    pWStrKey = str.GetBuffer(0);

    // 第一次 調用確認轉換後單字節字符串的長度,用於開辟空間
    int pSize = WideCharToMultiByte(CP_OEMCP, 0, pWStrKey, wcslen(pWStrKey), NULL, 0, NULL, NULL);
    // 單字符
    char* pCStrKey = new char[pSize + 1];
    // 第二次 調用將雙字節字符串轉換成單字節字符串
    WideCharToMultiByte(CP_OEMCP, 0, pWStrKey, wcslen(pWStrKey), pCStrKey, pSize, NULL, NULL);
    pCStrKey[pSize] = ‘\0‘;

    // 接收char*
    m_encode = MyEncode(pCStrKey);

    m_encode.Insert(0, L"AAAA");
    m_encode += "AAAA";

    UpdateData(FALSE);
}
  • 解密配置信息按鈕

void C模仿Gh0st加密上線地址Dlg::OnBnGetLoginInfo()
{
    // TODO: 在此添加控件通知處理程序代碼
    UpdateData(TRUE);


    // 1 獲取加密編輯控件裏的字符串
    int pSize = m_encode.GetLength() + 1;
    wchar_t * pStart, *pEnd;
    wchar_t strKey[] = L"AAAA";
    wchar_t strEncode[1024];

    // 拿到最開始的字符串,如果前面是AAAA就賦值到pStart
    pStart = wcsstr(m_encode.GetBuffer(0), strKey);
    // 前移動4個字節,也就是跳過AAAA
    pStart += 4;
    // 如果AAAA匹配不到把strKey,也就是AAAA賦值給pEnd
    pEnd = wcsstr(pStart, strKey);
    // 清空原先AAAA字符串
    wmemset(strEncode, 0, wcslen(pStart) + 1);
    // 取key值之間的內容,配置字符串 - 字符串長度,取前面的真實加密字符串
    wmemcpy(strEncode, pStart, pEnd - pStart);
    // 單字符
    char* pCStrKey = new char[wcslen(strEncode) + 1];
    // 調用將雙字節字符串轉換成單字節字符串
    WideCharToMultiByte(CP_OEMCP, 0, strEncode, wcslen(strEncode) + 1, pCStrKey, wcslen(strEncode) + 1, NULL, NULL);
    pCStrKey[pSize] = ‘\0‘;

    // 解密代碼
    m_decode = MyDecode(pCStrKey);


    UpdateData(FALSE);
}

4、實際效果

技術分享圖片

5、參考

gh0st3.6源碼分析(1)——木馬的生成

http://blog.csdn.net/hjxyshell/article/details/19094609

【算法】Gh0st配置加密算法(異或、Base64)

相關推薦

Gh0st配置加密Base64

異或 urn byte break down unsigned ltib else lower 1、前言 分析木馬程序常常遇到很多配置信息被加密的情況,雖然現在都不直接分析而是通過Wireshark之類的直接讀記錄。 2017年Gh0st樣本大量新增,通過對木馬源碼的分析還

BZOJ 1211 1211: [HNOI2004]樹的計數 prufer序列計數

1211: [HNOI2004]樹的計數 Time Limit: 10 Sec  Memory Limit: 162 MBSubmit: 2468  Solved: 868 Description 一個有n個結點的樹,設它的結點分別為v1, v2, …, vn,已知第i個結點vi的度數為di,問滿足這樣

C語言對字母加密與解密簡易

/* * 從鍵盤輸入一行字元,將其中的英文字母進行加密輸出(非英文字母不用加密)。 * 字元的加密就是藉助字元可以進行算術運貧的思想來設計實現,加密的基本思想是, * 將原來的字元向後移動若干位 S 示 ,這個操作可以通過字元加上一個整數來實現,所加的整數

.net 深呼吸監聽剪貼板更新針對Vista之後系統

demo get protect empty helper obj 容易 urn 篩選 針對 XP 及以前的監視剪貼板更改的方法就不講了,因為 XP 已嚴重過時。本篇老周介紹的方法面向 Vista 以上的系統。 在托管應用程序中監聽剪貼板更新行為必須用到 Win 32 A

LeetCode題解142_環形連結串列2Linked-List-Cycle-II

目錄 描述 解法一:雜湊表 思路 Java 實現 Python 實現 複雜度分析 解法二:雙指標 思路 Java 實現 Python 實現 複雜度分析 描述 給定一個連結串列,返回連結串列開始入

51Nod - 1268和為K的組合 揹包 dfs

題幹: 給出N個正整陣列成的陣列A,求能否從中選出若干個,使他們的和為K。如果可以,輸出:"Yes",否則輸出"No"。 Input 第1行:2個數N, K, N為陣列的長度, K為需要判斷的和(2 <= N <= 20,1 <= K <= 10^9)&nbs

CodeForces - 288BPolo the Penguin and Houses 組合數學+Purfer序列

Little penguin Polo loves his home village. The village has n houses, indexed by integers from 1 to n. Each house has a plaque contai

LeetCode題解232_用棧實現佇列Implement-Queue-using-Stacks

目錄 描述 解法一:在一個棧中維持所有元素的出隊順序 思路 入隊(push) 出隊(pop) 檢視隊首(peek) 是否為空(empty) Java 實現 Python 實現 解法二:一

LeetCode題解225_用佇列實現棧Implement-Stack-using-Queues

目錄 描述 解法一:雙佇列,入快出慢 思路 入棧(push) 出棧(pop) 檢視棧頂元素(peek) 是否為空(empty) Java 實現 Python 實現 解法二:雙佇列,入慢出

程式碼全使用SpringAOP編寫日誌記錄插入oracle資料庫中

程式碼較多,請耐心除錯 首先oracle資料庫表建立語句: drop table cmu_system_log;CREATE TABLE CMU_SYSTEM_LOG ( log_id INTEGER primary key , user_id INTEGER , username

DP計劃11.3——[BZOJ]股票交易單調佇列優化DPMEDIUM

Description 最近lxhgww又迷上了投資股票,通過一段時間的觀察和學習,他總結出了股票行情的一些規律。 通過一段時間的觀察,lxhgww預測到了未來T天內某隻股票的走勢,第i天的股票買入價為每股APi,第i天的股票賣出價為每股BPi(資料保證對於每個

BZOJ 1005 1005: [HNOI2008]明明的煩惱 prufer數列+高精度

1005: [HNOI2008]明明的煩惱 Time Limit: 1 Sec  Memory Limit: 162 MBSubmit: 4981  Solved: 1941 Description   自從明明學了樹的結構,就對奇怪的樹產生了興趣......給出標號為1到N的點,以及某些點最終的度數,允

BZOJ 4569 4569: [Scoi2016]萌萌噠 倍增+並查集

4569: [Scoi2016]萌萌噠 Time Limit: 10 Sec  Memory Limit: 256 MBSubmit: 865  Solved: 414 Description 一個長度為n的大數,用S1S2S3...Sn表示,其中Si表示數的第i位,S1是數的最高位,告訴你一些限制條件,

演算法練習洛谷P1608 路徑統計SPFA最短路計數

題意 求最短路徑的數目,可能用重邊。 題解 SPFA,為了保證不會重複計算,需要維護一個當前佇列中到這些頂點的次數,每次出隊時清零。 程式碼 // luogu-judger-enable-o2 #include<bits/stdc++

機器學習迭代決策樹GBRT漸進梯度迴歸樹

一、決策樹模型組合        單決策樹C4.5由於功能太簡單,並且非常容易出現過擬合的現象,於是引申出了許多變種決策樹,就是將單決策樹進行模型組合,形成多決策樹,比較典型的就是迭代決策樹GBRT和隨機森林RF。        在最近幾年的paper上,如iccv這種重量級會議,iccv 09年的裡面有不少

神經網路神經網路架構大全剖析附原始論文地址

隨著新的神經網路架構不時出現,很難跟蹤這些架構。知道所有縮寫(DCIGN,BiLSTM,DCGAN,anyone?)起初可能有點壓倒性。 所以我決定編寫一個包含許多這些體系結構的備忘單。這些大多數是神經網路,有些是完全不同的野獸。雖然所有這些體系結構都是新穎而獨特的,但是當

資料結構---------二叉樹面試題具體的所有實現

實現二叉樹的相關的操作: 先序遍歷樹(遞迴) 中序遍歷樹(遞迴) 後序遍歷樹(遞迴) 層序遍歷樹 建立一棵樹 樹的銷燬 樹的拷貝 二叉樹中節點的個數 二叉樹葉子節點的個數 二叉樹第K層節點的個數 樹的高度 在二叉樹中查詢節點 找當前節點的左子樹

Java例項使用Thumbnailator生成縮圖縮放旋轉裁剪水印

1 需求 表哥需要給兒子報名考試,系統要求上傳不超過30KB的圖片,而現在的手機隨手一拍就是幾MB的,怎麼弄一個才30KB的圖片呢? 一個簡單的辦法是在電腦上把圖片縮小,然後截圖小圖片,但現在的電腦螢幕解析度很高,而且截圖大小不好控制;同樣解析度在不同圖片格式下,大小也相差很大。試了一下微信截圖工具,輸出的圖

python實現卷積神經網路卷積層Conv2D實現帶stridepadding

關於卷積操作是如何進行的就不必多說了,結合程式碼一步一步來看卷積層是怎麼實現的。 程式碼來源:https://github.com/eriklindernoren/ML-From-Scratch   先看一下其基本的元件函式,首先是determine_padding(filter_shape, ou

機器學習對梯度下降的進一步理解

獨立 com 線性回歸 執行 ont 執行過程 wid 簡單的 技術 單一變量的線性回歸 讓我們依然以房屋為例,如果輸入的樣本特征是房子的尺寸,我們需要研究房屋尺寸和房屋價格之間的關系,假設我們的回歸模型訓練集如下 其中我們用 m表示訓練集實例中的實例數量, x代表特