密钥及证书检测 crypto_material

已于 2023-02-24 16:57:35 修改
阅读量233 收藏
点赞数
文章标签: 密钥证书检测 yara crypto_material Powered by 金山文档
于 2023-02-24 14:45:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leiwuhen92/article/details/129200469
版权
该文章展示了如何利用Yara规则库检测加密材料,如SSH密钥和SSL证书。通过加载crypto_material.yar文件,对libcurl.so.5.3.0文件进行匹配,结果显示检测到了genericPublicKey。HxD工具验证了Yara规则中定义的字符串存在。
摘要由CSDN通过智能技术生成

用于检测加密材料,如SSH密钥和SSL证书。

文件:libcurl.so.5.3.0

yara文件:https://github.com/leiwuhen92/yara_rule/blob/main/compile_rule/crypto_material.yc

yara命令检测:

yara --print-meta --print-strings crypto_material.yar ibcurl.so.5.3.0

实现逻辑:

import pathlib
import yara
NAME="crypto_material"
CHINESE_NAME="密钥及证书检测"
CHINESE_DESCRIPTION="检测加密材料,如SSH密钥和SSL证书"

# 结果存储位置
class FileAnalysis():
   def__init__(self):
        self.file_path="libcurl.so.5.3.0"
        self.processed_analysis={}
file_object=FileAnalysis()

# 特征文件路径
compile_path=pathlib.Path("crypto_material.yc")

# 加载特征文件
rule=yara.load(str(compile_path))
# 匹配
result=rule.match(file_object.file_path)
print("result:%s"%result)

# 解析结果
file_object.processed_analysis[NAME]={}
summary=set()
foriteminresult:
   print(item)
   print(item.rule)
   print(item.meta)
    summary.add(item.rule)
    file_object.processed_analysis[NAME][item.rule]={"meta":item.meta}
file_object.processed_analysis[NAME]["summary"]=list(summary)

mongo_data={
   "file_path":file_object.file_path,
   "processed_analysis":file_object.processed_analysis
}
print(mongo_data)

运行结果:

result:[genericPublicKey]
genericPublicKey
genericPublicKey
{'author': 'Joerg Stucke', 'description': 'Generic Public Key Block', 'date': '2017-03-16', 'version': '2', 'version_schema_information': 'Version number is increased whenever something changes.'}

{
    "file_path":"libcurl.so.5.3.0",
    "processed_analysis": {
        "crypto_material": {
            "genericPublicKey": {
                "meta": {
                    "author":"Joerg Stucke",
                    "description":"Generic Public Key Block",
                    "date":"2017-03-16",
                    "version":"2",
                    "version_schema_information":"Version number is increased whenever something changes."
                }
            },
            "summary": [
                "genericPublicKey"
            ]
        }
    }
}

从结果可知密钥方式为genericPublicKey。

genericPublicKey的yara规则如下:两条字符串在文本内

HxD工具打开libcurl.so.5.3.0:搜索yara中的两条字符串(-----BEGIN PUBLIC KEY----- 与 -----END PUBLIC KEY-----),都能检索到

参考:

(1条消息) yara规则初识_青霄的博客-CSDN博客

青霄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
系统密钥检测
08-01
微软操作系统密钥检测工具 能够检测密钥是否有效
PIDKey密钥检测工具v2.1.2.1017
06-29
PIDKey是一款超强密钥检验工具 此程序用来查看有关MS产品密钥的信息并将其保存到一个日志文件中。简单说就是代替VAMT的!VAMT即Volume Activation Management Tool,批量激活管理工具,它主要是来管理MS密钥,另外在企业中,网络管理员可以用它自动管理和集中管理 Windows、Microsoft Office,PIDKey 可以批量检测Windows&Office;&VS;密钥是否有效,批量对密钥信息(PID和激活计数)进行核对,通过对收集来的密钥进行测试有效性,备份密钥,检查许可证信息,检查零售及MAK密钥是否可用于电话激活,还支持VAMT 3.1的CILX文件、txt文件的导入。
秘钥验证
haoyiyide的博客
03-30 338
点击 PuTTYgen  去生成秘钥对。点击 Generate  移动鼠标,生成秘钥加密密文的公钥。再次填写秘钥提示所登陆密:            点击Save private key 生成文件需要放到一个安全地方,待用 12321321312312 私钥匙文件名复制Key 里面的内容 # ls /root/ | less# mkdir /root/.ssh# ls -a /root
密钥检查和安装
yh13879705517的博客
05-11 804
从 file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql 检索密钥 源 "MySQL 5.7 Community Server" 的 GPG 密钥已安装,但是不适用于此软件包。请检查源的公钥 URL 是否配置正确。 失败的软件包是:mysql-community-server-5.7.37-1.el7.x86_64 GPG 密钥配置为:file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql 解决方案: GPG验证不通过,我理解是本机配..
crypto_callback等三个动态库.zip
01-12
crypto.dll、crypto_callback.dll、otp_test_engine.dll,解决emqx start运行无反应问题,下载后解压缩,替换D:\emqx\lib\crypto-4.7\priv\lib下的原来的文件即可解决问题
证书_crypto_certificate1
08-04
**密证书(_crypto_certificate1_)** 在网络安全领域,密证书验证网络实体身份的重要工具,它主要用于确保通信双方的安全连接和数据的完整性。这个证书通常包含公钥、标识信息以及由可信第三方(称为...
crypto_CRYPTO_PowerBuilder_
09-29
标题"**crypto_CRYPTO_PowerBuilder_**"暗示我们将讨论的是在PowerBuilder环境中应用加密技术。这通常涉及到在应用程序中整合加密库,如CryptoAPI(可能是Windows操作系统的加密应用程序接口),以实现数据加密、...
crypto_policies:密政策管理
05-01
crypto_policies 这个Ansible角色管理系统范围的加密策略。 自从Red Hat Enterprise Linux 8和Fedora开始,这个概念就被广泛采用。要求在RHEL 8 / CentOS 8和Fedora上实施并测试了系统范围的加密策略。角色变量默认...
crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI
09-14
本文将深入探讨标题为“crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI”的主题,该主题涉及到一个用C++编写的加密库,用于封装微软的CryptoAPI(Cryptographic Application Programming Interface)。这个压缩包...
pidkey lite(微软密钥检测工具) v1.63.6 绿色版
05-21
一款检测微软密钥的小工具,可以非常方便的检测用户电脑上的产品密钥,包括检测winxp\win7\Win8/win8.1/win10及所有Office产品密钥。新版本增加了检测库,包括windows,windows server,office!
微软秘钥次数,可用性检测
11-20
微软秘钥次数,可用性检测, MAK密钥检测工具(终极PID检查器)
密钥硬编检查
qq_44636225的博客
10-12 264
风,来无影,去无踪,无孔不入,又无处不在。由于平时很少看电视,去年正在为一个算法发愁,偶然看到这个剧,感同身受,便一口气看完了,里面一些对加密算法逻辑的一些看法,还是给了当时的我很大的启发,让我完成了当时的算法,还特意发了微博纪念。在代中,对于口令的变量的取名上,很多并不会遵守可读性和可维护性来设定变量名,通过前面正则表达式的方式来查找硬编的方式,会造成很多的漏报。就像我们为了增加密的复杂性,要求长度不小于8,必须包含大小写、特殊字符、以及数字一样的道理,所以密钥的熵值会比一般的文本要高的多。
如何在 Golang 中使用 crypto/ed25519 进行数字签名和验证
最新发布
walkskyer的博客
02-01 1398
ed25519是一种公钥签名算法,属于 Edwards-curve Digital Signature Algorithm (EdDSA) 的一种实现。它由 Daniel J. Bernstein 等人设计,目的是提供更快、更安全的签名算法。相比传统的 RSA 或 ECDSA(椭圆曲线数字签名算法),ed25519在多个方面展现出优越性。主要特点包括:高安全性ed25519提供了与更长密钥长度的传统算法相当的安全级别,使其在抵抗各种密攻击方面更为强大。效率高:相较于 RSA 和传统的 ECDSA,
SSL密钥算法检测工具-sslciphercheck
Linfosheng1的博客
03-21 8477
SSL密钥算法检测工具-sslciphercheck sslciphercheck是一个简单的控制台应用程序,用作于检查SSL加密支持,C#开发,需要.net4.0。它不仅能够检索和提取证书中包含信息,而且支持Server Gated Cryptography (SGC),常用于检测SSL和TLS协议检测 github地址:https://github.com/woanware/woanware....
转载 - 5个在线的网站测试和验证工具
weixin_33671935的博客
02-20 2346
网站上线前的测试和验证是非常重要的一个环节,验证的意思是检查网站的页面和其他数据是否符合标准规范,设计规范的网站在各种浏览器上表现会一致而且良好。 为了帮助你执行这些测试和验证,今天我们列表了5个在线的工具。 Pingdom Tools Pingdom Tools可以帮你分析网站的速度以及一些无法访问的元素 Feed Validation Service 这是一个用来检查RSS...
服务器许可证密钥,如何生成和验证软件许可证密钥
weixin_36009111的博客
07-31 742
慕沐林林我是Cryptolens软件许可平台背后的开发人员之一,自14岁起就开始从事许可系统工作。在这个答案中,我根据多年来积累的经验提供了一些技巧。解决此问题的最佳方法是设置应用程序的每个实例将调用的许可证密钥服务器,以便验证许可证密钥。许可证密钥服务器的好处许可证密钥服务器的优点是:您可以随时更新或阻止许可证密钥。每个许可证密钥都可以锁定到特定数量的计算机(这有助于防止用户在线发布许可证密钥以...
static inline struct crypto_async_request *crypto_get_backlog
03-29
The function `crypto_get_backlog` is defined as a static inline function that returns a pointer to a `struct crypto_async_request` object. This function is used to retrieve the backlog of asynchronous...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值