Aa
Сам написал?
Size: a a a
2021 June 22
B
Вы инвертировали действие шифра в режиме CBC и получили IV, который даёт правдоподобный результат в режиме CBC, я не понял, о каком чуде идёт речь? Также не вполне очевидны мотивы исключения cfb/ofb.
Вы можете исходные данные предоставить? Это, случайно, не из-под локера файл?
Вы можете исходные данные предоставить? Это, случайно, не из-под локера файл?
O
ну "чудо" это была форма речи. Я на самом деле не был до конца уверен, что этот шифр — действие обратной расшифровки. Да, это из под локера.
B
Тот кусочек открытого текста из начала файла, что у вас есть - он с самого начала, с нулевого смещения? Вы не пробовали попробовать IV получить из первых 16 байт?
B
По названию локера (расширению файла, тексту записки, и т.д.) можно поискать информацию по локеру или его родственникам, их частенько пишут на основе уже существующих решений, хотя это одна из самых простых технически компонент. Конторы вроде fireeye, Talos публикуют отчёты, иногда с разбором алгоритмов шифрования.
O
Я так и делаю, я может неточно описал. Я получаю нечто, что я считаю IV, скармливаю его AES-CBC и он мне расшифровывает те же первые 16 байт. А дальше не идёт
B
Так получается, что антилокером попытались "разлочить" нормальный файл или что?
O
По этому конкретному локеру есть отчёт, но там по конкретному механизму шифрования только предположения на основе операций и размеров буферов
B
Вы, судя по картинке, вычисляете IV, а я говорю об использовании первых 16 байт так как они есть в качестве IV.
O
Да, среди локнутых файлов был нормальный.
O
Интересная мысль, сейчас попробую
B
Антилокер был от злодея (купленный, очевидно) или от антивирусника какого-то?
O
B
А связь с ним осталась? Спросить напрямую не пробовали?
B
Мол, мы случайно анлочили нормальный файл, что делать.
B
Я конечно понимаю, что это не так увлекательно и романтично, как хакать в зелёной консоли, но как вариант
O
Ну в смысле нет с ним связи
B
Ну тогда нужна по локеру информация, какая есть, и исходные данные.
Некоторые локеры используют один ключ на файл, некоторые один ключ на машину и т.д.
Некоторые локеры используют один ключ на файл, некоторые один ключ на машину и т.д.