我猜这是最坏的情况。我有一个最初由base64编码的文件。这一步很容易。但是现在我所看到的只是一堆垃圾。没有结构,几乎没有熵,没有周期也没有。除以下内容外,我没有其他信息:

5120 KB的大小
此文件中有多个文件
它们都是相同的类型
使用的加密或压缩或使用的任何算法都是某种“标准”的算法。

我测试了很多东西...你们中的每个人是否有前进的线索?我的想法不多了。

编辑:现在已删除的直方图不正确。无论如何,我不知道如何继续。尝试使用truecrypt打开它以确保它不是容器没有用。您还有其他有关如何在其中查找文件的提示吗?

评论

您能否解释一下,您希望通过此分析实现什么?文件做什么,文件的结构如何?

这有点像测试。除了已经告诉我的信息外,我没有其他信息。我只能说该文件最初是电子邮件中的base64附件。我提取了它,并将其解码为此...没有更多信息。对不起。

有一些程序可以找到TrueCrypt卷,但这仅在某些情况下有效。通常,它们应该没有区别。同样,通常您需要使用该数据所属的程序进行分析。看起来很棘手。假设这是强大的加密技术,那么您完全不走运。

谢谢你的意见。好吧,这是一个测试,我的想法已经用完了。它可能是truecrypt,但是任何诸如tchunt或tchead之类的软件都说:它不是truecrypt容器。

在使用Base 64编码格式化电子邮件时,每个第76个字符都是一个换行符。 github.com/wildbit/postmark-dotnet/issues/11如果将newLines更改为期间0x2E,则可能会给您一些信息。没有看到更多文件-很难获得更多帮助-抱歉。

#1 楼

您可以尝试使用binwalk。它可以以多种方式使用:


嵌入式文件识别和提取
可执行代码识别
熵分析和绘图(用于压缩和加密识别)
“智能”字符串分析

您还可以尝试使用7zip打开文件,因为它支持大量压缩格式。

评论


感谢您的评论。 7zip无法解压缩。我将再次尝试binwalk并对其进行实验。

–安德烈
2013年9月5日在9:09

#2 楼

我将从在base64解码后检查文件的第一个字节开始。这些将指示什么文件格式。



MZ(5A4D)-意味着这是一个可执行文件,您可以在SysInternals实用程序打开的情况下(保存)(虚拟)环境中执行它-ProcMon和Process Explorer。另外,计算其MD5值并在网络VirusTotal中查找。如果您的技术反转/技术水平低,我还建议您下载IDA 5.0的免费副本并尝试在其中进行检查。
其他文件格式,然后尝试在网络中查找十六进制格式的第一个字节。最好的地方之一是文件签名表

尝试在十六进制编辑器中加载已解码的文件,并检查是否有任何字符串,这些字符串看起来很熟悉或具有某些含义。


评论


这些是前四个(魔术)字节:C9 DE F2 43

–安德烈
2013年9月1日上午11:47

您确定它是使用base64编码的吗?

– PhoeniX
2013年9月1日上午11:53

是。初始文件中包含一封带有base64附件的电子邮件。可能是由Outlook创建的。我还找到了发送附件的正确语法,因此我很确定。每76个字符都是一个。但这对这里没有帮助。

–安德烈
2013年9月1日上午11:55

检查原始文件中的幻数,以防万一。

– PhoeniX
2013年9月1日上午11:58

就是这样:0E 27 AC 8A,但是我找不到任何有用的东西。 linux下的“文件”也不成功。

–安德烈
2013年9月1日12:12在

#3 楼

您可以试一下动态二进制可视化。 Christopher Domas在REcon和BlackHat 2013上都做了精彩的演讲。REcon的广告牌在这里可用。

我相信该工具现已发布Beta版,因此您可以尝试一下。

评论


至少它不可用,或者我什么也没找到。我使用了cryptolol的3d可视化,它没有显示任何结构。仅随机数据。我也无法压缩文件。

–安德烈
2013年9月6日上午9:20

@ LuckyB56,请您解释一下,这将如何解决未知文件的问题?

– PhoeniX
2013年9月7日在7:55

@ ph0sec至少要弄清它是否是可执行文件。敲了几天头后,您意识到它是png文件或类似文件的一部分,这不应该发生。由于我还没有机会试用该工具,因此演示文稿对此进行了描述。

–LuckyB56
2013年9月24日19:48在