基础知识常见算法识别

最新推荐文章于 2024-05-22 14:21:06 发布
最新推荐文章于 2024-05-22 14:21:06 发布
阅读量861 收藏 10
点赞数 9
分类专栏: CTF混合 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72827793/article/details/136292130
版权

特征值识别

很多常见的算法,如AES、DES等,在运算过程中会使用一些常量,而为了提高运算效率,这些常量往往被硬编码在程序中

通过识别这些特征值,可以对算法进行一个大致判断

算法特征值(无特殊说明为十六进制)(备注)
TEA系列9e377b9(Delta值)
AES63 7c 77 7b f2 6b 6f c5 …(S盒)
AES52 09 6a d5 30 36 a5 38…(逆S盒)
DES3a 32 2a 22 1a 12 0a 02…(置换表)
DES39 31 29 21 19 11 09 01…(密钥变换数组PC-1)
DES0e 11 0b 18 01 05 03 1c…(密钥变换数组PC-2)
DES0e 04 0d 01 02 0f 0b 08…(S函数表格1)
BlowFish243f6a88 85a308d3 13198a2e 0370734(P数组)
MD567452301 efcdab89 98bbadcfe 10325476(寄存器初始值)
MD5d76aa478 e8c7bb756 24070db c1bdceee…(Ti数组常量)
SHA167452301 efcdab89 98badcfe 10325476 c3d2e1f0(寄存器初始值)
CRC3200000000 77073096 ee0e612c 990951ba(CRC表)
Base64字符串”ABCDEFGHIJKLMNNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"(字符串表)

通过这种简单的识别法,许多开发者为各种分析工具开发了常量查找插件,如IDA的FindCypt、PEiD的KANAL等
在IDA中,FindCrypt、PEiD和KANAL都是用于分析PE文件的插件。

FindCrypt插件可以识别PE文件中的加密算法。它可以识别多种常见的加密算法,包括RSA、AES、DES、RC4等。FindCrypt还可以识别一些自定义的加密算法。

PEiD插件可以显示PE文件的各种信息,包括文件头、节表、导入表、导出表等。PEiD还可以识别一些常见的PE文件保护技术,如壳、混淆等。

KANAL插件是PEiD的一个插件,用于分析PE文件中的加密算法。KANAL可以识别多种常见的加密算法,包括RSA、AES、DES、RC4等。KANAL还可以识别一些自定义的加密算法。

以下是这三个插件在IDA中的具体功能比较:

插件功能
FindCrypt识别PE文件中的加密算法
PEiD显示PE文件的各种信息,识别PE文件保护技术
KANAL分析PE文件中的加密算法

以下是这三个插件在IDA中的使用方法:

FindCrypt

  1. 在IDA中打开要分析的PE文件。
  2. 点击“Plugins”菜单,选择“FindCrypt”。
  3. FindCrypt会显示PE文件中找到的加密算法。

PEiD

  1. 在IDA中打开要分析的PE文件。
  2. 点击“Plugins”菜单,选择“PEiD”。
  3. PEiD会显示PE文件的各种信息。

KANAL

  1. 在IDA中打开要分析的PE文件。
  2. 点击“Plugins”菜单,选择“Krypto ANALyzer”。
  3. KANAL会显示PE文件中的加密算法。

使用注意事项

  • 这三个插件都是免费的,可以从网上下载
  • 这三个插件的使用方法比较简单,可以参考官方文档
  • 这三个插件只能识别已知的加密算法,对于未知的加密算法,这三个插件可能无法识别

除了上述功能之外,这三个插件在IDA中还有一些其他的功能:

  • FindCrypt插件可以将找到的加密算法添加到IDA的数据库中,方便以后的分析
  • PEiD插件可以将PE文件的信息导出到文本文件或HTML文件
  • KANAL插件可以将PE文件中的加密算法导出到文本文件或HTML文件

特征运算识别

当特征值不足以识别出算法时,深入二进制文件内部,通过分析程序是否使用了某些特征运算来推测程序是否使用了某些算法

算法特征运算(伪代码)(说明)
RC4i=(i+1)%256;j=(j+s[i])%256;swap(s[i],s[j]) ;t=(s[i]+s[j]%256; (密钥流生成)
RC4j=(j+s[i]+k[i])%256;swap(s[i],s[j]);循环256次(S盒变换)
Base64b1=c1>>2;b2=((c1&0x3)<<4)非c2>>4);b3=((c2&0xf)<<2)非(c3>>6);b4=c3&0x3f;(8位变6位)
TEA系列((x<<4)+kx)^ (y+sum) ^ ((y>>5)+ky)(轮函数)
MD5(X&Y)非((~X)&Z)(F函数) (X&Z)非(Y&( ~ Z))(G函数) X ^Y ^Z (H函数) Y ^(X非( ~ Z))(I函数)
AESx[j]=si%4] 循环4次 s[i][j]=x[j] 循环4次 整体循环4次(行位移)
DESL=R R=F(R,K)^ L(Feistel结构)

第三方库识别

为了提高编程效率,对于一些常用的算法,可以使用现成的库

对于动态链接库,函数名的符号信息可以被轻易地识别

而对于静态链接的第三方库来说,识别这些信息则比较困难

IDA识别第三方库

1.字符串识别
很多第三方库会将版本信息和该库使用的其他字符串(如报错信息等)以字符串的形式写入库中

在静态编译时,这些字符串会被一并放入二进制文件

通过寻找这些字符串,可以快速判断使用了哪些第三方库

2.函数签名识别

有时,确定了程序所使用的库后,还需要进一步识别具体的函数

之前简单介绍了如何使用IDA的签名识别功能识别C语言运行的函数库,实际上这个功能不仅能对C语言的运行库进行识别,IDA也可以通过对签名库快速匹配函数名,参数信息

IDA中自带了除C语言运行库外的常见库的签名文件

在IDA文件菜单中选择”Load File ->FLIRT Signature file"

在这里插入图片描述
如果IDA没有预置需要识别的库函数签名,那么可以在网上查找,如https://github.com/push0ebp/sig-database
https://github.com/Maktm/FLIRTDB

3.二进制比对识别
由于编译环境等各种情况的差异,签名有时无法完全匹配库函数

即使编译环境有一定区别,使用同一个库编译的二进制文件中的库函数也会存在许多相同之处

如果能够确定程序编写者使用了某个已知的库,并且我们能够获得一份含有符号且同样使用了该库的静态编译二进制文件,便可以利用二进制对比的方法来具体地确定每个函数

二进制对比得得常用工具是BinDiffhttps://www.zynamics.com/bindiff.html

这个没搞懂
这个工具bindiff

Back~~
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AI人工智能算法工程师体系课(31周)
01-30
第一步——数学基础知识:学习线性代数、概率统计、微积分等数学概念,这些都是人工智能领域的核心内容。 第二步——编程语言:熟练掌握至少一种编程语言,如Python,它是目前最流行的编程语言之一,拥有...
NLP基础知识之语音识别
m0_56618741的博客
11-05 3298
1. 语音识别的输出类别: 1)phoneme:输出为发音,比较简单,因为语音跟发音是一一对应的,但是需要一个词汇表,表示发音跟word的对应。 2)Grapheme:字母或者token 3)word:短语,V会很大 4)morpheme:代表含义的最小单位 5)byte:utf-8,适用于任何语言 2. 输入特征:(具体的处理可以看下图,以MFCC为例子,如果不经过DCT,就是目前用的最普遍的fliter bank output) 3. 那确定了输入以及输出,接下来介绍中间的模型。.
Java基础知识总结(2021版)
热门推荐
学Java,找哪吒
01-09 25万+
前言 大家好,我是素小暖,2012年毕业,2016年通过培训转行java开发,今天2021年1月9日,转行之路跌跌绊绊,蓦然回首,已经满满的4年工作经验了?但感觉知识还是相当的匮乏,没自信,也许是努力程度还不够吧。很感谢CSDN,因为是它给了我学习的动力,之前写了一篇记录CSDN博客访问量的文章,也许大家感觉很幼稚,但真的很有用,很有效果,仿佛磕了药一样,努力学习,进步。 2020年,是我较为成功的一年,工作上,跳了槽,涨了工资;学习上,啃了几本名著(Effective Java、重构 改善既.
知识图谱-实体识别
qq_40671063的博客
03-19 5460
知识图谱中实体识别相关内容
【C++】面试常用知识点总结——基础
沙师弟专栏
07-15 5万+
三次握手的最主要目的是确认双方都有收发数据的能力。三次握手完成两个重要的功能,既要双方做好发送数据的准备工作(双方都知道彼此已准备好),也要允许双方就初始序列号进行协商,这个序列号在握手过程中被发送和确认。第一次: A发给B。证明A有发消息的能力。第二次: B收到并发消息给A。证明B有收消息,并且有发消息的能力。第三次: A收到B消息。证明A有收消息的能力。二次握手达不到目的,四次多余。双方关闭连接要经过双方都同意。
NLP算法-命名实体识别
Albert_weiku的博客
10-25 5293
与自动分词、词性标注一样,命名实体识别也是自然语言处理的一个基础任务,是信息抽取、信息检索、机器翻译、问答系统等多种自然语言处理技术必不可少的组成部分。其目的是识别语料中人名、地名、组织机构名等命名实体。由于这些命名实体数量不断增加,通常不可能在词典中穷尽列出,且其构成方法具有各自的规律性,因此,通常把对这些词的识别在词汇形态处理(如汉语切分)任务中独立处理,称为命名实体识别( Named Entities Recognition,NER )
深度学习基础:神经网络+激活函数+反向传播+优化算法 理解网络结构,运用激活增强非线性,掌握反向调整参数,优化算法提升性能,赋能
03-20
要深入理解并应用深度学习,掌握其基础知识显得尤为重要。其中,神经网络、激活函数、反向传播和优化算法是深度学习的四大基础要素。 神经网络是深度学习模型的核心。它模仿人脑神经元的连接方式,通过多层网络结构...
opencv基础课件-计算机视觉
07-26
以下是一些关于OpenCV的常见知识描述: 图像和视频处理:OpenCV提供了一系列用于加载、保存、处理和显示图像和视频的函数。它可以进行基本的像素级别操作,如调整亮度、对比度、裁剪和旋转图像。同时,它还支持图像...
行为识别+语义分割+传统图像+python工程等资源
02-29
1. 图像处理基础知识:包括图像的表示和存储方式、颜色空间转换、图像滤波、边缘检测等基本概念和常用算法。 2. 特征提取与描述:介绍常见的特征提取方法,如SIFT、SURF、HOG等,以及特征描述符的生成和匹配过程。 3...
基于Android平台的车牌识别系统的研究
09-14
在对Android平台的基础知识以的探究之下,根据前几章所提出的一系列车牌识别的系统步骤,本章将其移植到移动终端上来,实现了一个基于Android平台的车牌识别系统,通过对软件进行了功能测试和分析证明了该系统的有效...
FME学习之旅---day27
summer_corner的博客
05-17 213
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1120
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
学习kong官方文档
好好学习日记
05-17 285
当然,我会用更简洁的方式重新解释这两个概念:Helm和Kubectl是Kubernetes生态系统中常用的两个工具,它们各自有不同的用途:
C语言查漏补缺学习【精简版】
qq_49288362的博客
05-18 634
逗号的组合关系是自左向右,所以左边的表达式会先计算,而右边的表达式的值就留下来作为逗号运算的结果。枚举类型名字通常并不真的使用,要用的是在大括号里的名字,因为它们就是常量符合,它们的类型是int,值则一次从0到n。当要传递的参数的类型比地址大的时候,这是常用的手段:既能用比较少的字节数传递值给参数,又能避免函数对外面的变量的修改。当需要一些可以排列起来的常量值时,定义枚举的意义就是给了这些常量的值的名字。16.*:是一个单目运算符,用来访问指针的值所表示的地址上的变量。
RustGUI学习(iced/iced_aw)之扩展小部件(十九):如何使用context_menu部件来创建右击菜单?
用沸腾的热血,支付我们的人生吧!
05-15 77
本专栏是学习Rust的GUI库iced的合集,将介绍iced涉及的各个小部件分别介绍,最后会汇总为一个总的程序。iced是RustGUI中比较强大的一个,目前处于发展中(即版本可能会改变),本专栏基于版本0.12.1.
DB类的学习
2301_77523055的博客
05-15 369
"不返回结果集" 意味着执行 SQL 语句后,你不会得到一个可以逐行读取的数据集。相反,你可能会得到一个表示受影响的行数的整数,或者只是一个表示命令是否成功执行的确认。
llama-factory学习个人记录
最新发布
qq_55736201的博客
05-22 618
1.llama-factory部署在LLaMA-Factory项目中,单显卡可以用命令或训练,多显卡只能用用命令的方式。
Android OpenMAX(八)如何学习OMXNodeInstance
青山渺渺
05-15 238
OMXNodeInstance学习技巧
图像识别算法工程师面试题
12-21
根据提供的引用内容,图像识别算法工程师面试题可能涉及以下几个方面: 1. 图像处理和计算机视觉基础知识:面试官可能会问到图像处理和计算机视觉的基本概念、常用算法和技术,例如图像滤波、边缘检测、特征提取等。 2. 目标检测和识别算法:面试官可能会询问你对目标检测和识别算法的了解,例如常用的目标检测算法(如RCNN、YOLO等)和人脸识别算法(如Eigenfaces、LBPH等)。 3. 深度学习和神经网络:面试官可能会问到深度学习和神经网络在图像识别中的应用,例如卷积神经网络(CNN)的原理和常见的网络架构(如AlexNet、VGG、ResNet等)。 4. 数据集和评估指标:面试官可能会询问你在图像识别任务中使用过的数据集和评估指标,例如常用的图像数据集(如ImageNet、COCO等)和评估指标(如准确率、召回率、F1-score等)。 5. 实际项目经验:面试官可能会要求你分享你在图像识别算法方面的实际项目经验,例如你在某个项目中使用了哪些算法和技术,遇到了哪些挑战,如何解决等。 以下是一个范例回答: 图像识别算法工程师面试题通常涉及以下几个方面: 1. 图像处理和计算机视觉基础知识:了解图像处理和计算机视觉的基本概念和常用算法,如图像滤波、边缘检测、特征提取等。 2. 目标检测和识别算法:熟悉常用的目标检测算法,如RCNN、YOLO等,以及人脸识别算法,如Eigenfaces、LBPH等。 3. 深度学习和神经网络:了解深度学习和神经网络在图像识别中的应用,如卷积神经网络(CNN)的原理和常见的网络架构,如AlexNet、VGG、ResNet等。 4. 数据集和评估指标:熟悉常用的图像数据集,如ImageNet、COCO等,以及评估指标,如准确率、召回率、F1-score等。 5. 实际项目经验:分享在图像识别算法方面的实际项目经验,包括使用的算法和技术,遇到的挑战以及解决方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Back~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值