md5在ida中的识别

于 2024-06-23 08:32:45 发布
阅读量440 收藏 11
点赞数 3
分类专栏: 零基础爬虫第一天 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42423940/article/details/139892635
版权

ida中 识别md5 ,先右键转为hex 或者按h

_DWORD *__fastcall MD5Init(_DWORD *result)
{
  *result = 0;
  result[1] = 0;
  result[2] = 1732584193;
  result[3] = -271733879;
  result[4] = -1732584194;
  result[5] = 271733878;
  return result;
}

在ida中当然也可以使用搜索
search imdate-value 搜索立即数 0x67452301; 这是上面的init中的state一个数···

 v2 = __ROR4__((v66 & ~v99 | v83 & v99) + v133 + v116 - 0x28955B88, 25);
 __ROR4__ 是循环右移 
 鼠标右键 invert  sign可以改正一些纠正一下负号    3 + 0x242070DB

数值类型转换

int __fastcall MD5Final(unsigned int *a1, unsigned __int8 *a2)
{
  unsigned int v3; // [sp+8h] [bp-28h]
  unsigned int v4; // [sp+10h] [bp-20h]
  unsigned __int8 v7[8]; // [sp+1Ch] [bp-14h] BYREF

  v4 = (*a1 >> 3) & 0x3F;
  if ( v4 > 0x37 )
    v3 = 120 - v4;
  else
    v3 = 56 - v4;
  MD5Encode(v7, a1, 8u);
  MD5Update(a1, PADDING, v3);
  MD5Update(a1, v7, 8);
  MD5Encode(a2, a1 + 2, 0x10u);
  return _stack_chk_guard;
//这是识别的final   ,计算长度,压入padding放入长度 拼接 
====》padding
.data:00006000                 AREA .data, DATA
.data:00006000                 ; ORG 0x6000
.data:00006000                 EXPORT PADDING
.data:00006000 PADDING         DCD dword_80            ; DATA XREF: LOAD:00000520↑o
.data:00006000                                         ; MD5Final(MD5_CTX *,uchar *)+5A↑o ...
.data:00006004                 ALIGN 0x40
.data:00006040                 DCD unk_6044

dcd 指定是低位的  
按D 会转  dcb   ====>
6000                 EXPORT PADDING
.data:00006000 PADDING         DCB 0x80                ; DATA XREF: LOAD:00000520↑o
.data:00006000                                         ; MD5Final(MD5_CTX *,uchar *)+5A↑o ...
.data:00006001                 DCB    0
.data:00006002                 DCB    0
.data:00006003                 DCB    0
.data:00006004                 ALIGN 0x40
.data:00006040                 DCD unk_6044
dcq代表八个字节

ida的算法识别 md5

某个libwtf.so的算法
image.png
这个final 中的update 中的update padding
thumb 有两个字节 有四个字节 ,arm 是四个字节

find hash 的使用

findhash.xmlfindhash.py 放到ida plugins 文件夹下
用之前写的revdemo来试一下
点击 plugins/findhash

Python 3.11.6 (tags/v3.11.6:8b6ee5b, Oct  2 2023, 14:57:12) [MSC v.1935 64 bit (AMD64)] 
IDAPython 64-bit v7.4.0 final (serial 0) (c) The IDAPython Team <idapython@googlegroups.com>
---------------------------------------------------------------------------------------------
Propagating type information...
Function argument information has been propagated
lumina: Invalid remote certificate
The initial autoanalysis has been finished.
findHash (v0.1) plugin has been loaded.
这个脚本只考虑了32位SO的反编译代码,64位未适配。
***************************在二进制文件中检索hash算法常量************************************
0x4b100:padding used in hashing algorithms (0x80 0 ... 0)
0x1e978:函数MD5Init(MD5_CTX *)疑似哈希函数,包含初始化魔数的代码。
0x1eb98:函数MD5Transform(uint *,uchar *)疑似哈希函数运算部分。
0x20634:函数MD5InitMagic(MD5_CTX *)疑似哈希函数,包含初始化魔数的代码。
0x2c114:函数sub_2C114疑似哈希函数,包含初始化魔数的代码。
0x317dc:函数sub_317DC疑似哈希函数,包含初始化魔数的代码。
0x31f18:函数sub_31F18疑似哈希函数,包含初始化魔数的代码。
0x330dc:函数sub_330DC疑似哈希函数,包含初始化魔数的代码。
0x33dcc:函数sub_33DCC疑似哈希函数,包含初始化魔数的代码。
0x33fdc:函数sub_33FDC疑似哈希函数,包含初始化魔数的代码。
0x3436c:函数sub_3436C疑似哈希函数,包含初始化魔数的代码。
0x3b248:函数sub_3B248疑似哈希函数,包含初始化魔数的代码。
0x3bb84:函数sub_3BB84疑似哈希函数,包含初始化魔数的代码。
***************************存在以下可疑的字符串************************************
0x4f3b:Java_com_koohai_revdemo_utils_EncryptCUtils_md5
0x4fe4:md5(std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>> const&)
0x5189:Java_com_koohai_revdemo_utils_EncryptCUtils_md5_1magic
0x51c0:md5magic(std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>> const&)
生成对应的hook脚本如下:
frida -UF -l E:\Coding\XposedDemo\app-debug\lib\arm64-v8a\librevdemo_findhash_1719082084.js
***********************************************************************************
花费 40.45436191558838 秒,因为会对全部函数反编译,所以比较耗时间哈

只能说插件强大,把之前的md5 和md5_magic都识别了
插件自动生成的hook代码如下:

function hook_suspected_function(targetSo) {
    const funcs = [['MD5Init(MD5_CTX *)', '函数MD5Init(MD5_CTX *)疑似哈希函数,包含初始化魔数的代码。', '0x1e978'], ['MD5Transform(uint *,uchar *)', '函数MD5Transform(uint *,uchar *)疑似哈希函数运算部分。', '0x1eb98'], ['MD5InitMagic(MD5_CTX *)', '函数MD5InitMagic(MD5_CTX *)疑似哈希函数,包含初始化魔数的代码。', '0x20634'], ['sub_2C114', '函数sub_2C114疑似哈希函数,包含初始化魔数的代码。', '0x2c114'], ['sub_317DC', '函数sub_317DC疑似哈希函数,包含初始化魔数的代码。', '0x317dc'], ['sub_31F18', '函数sub_31F18疑似哈希函数,包含初始化魔数的代码。', '0x31f18'], ['sub_330DC', '函数sub_330DC疑似哈希函数,包含初始化魔数的代码。', '0x330dc'], ['sub_33DCC', '函数sub_33DCC疑似哈希函数,包含初始化魔数的代码。', '0x33dcc'], ['sub_33FDC', '函数sub_33FDC疑似哈希函数,包含初始化魔数的代码。', '0x33fdc'], ['sub_3436C', '函数sub_3436C疑似哈希函数,包含初始化魔数的代码。', '0x3436c'], ['sub_3B248', '函数sub_3B248疑似哈希函数,包含初始化魔数的代码。', '0x3b248'], ['sub_3BB84', '函数sub_3BB84疑似哈希函数,包含初始化魔数的代码。', '0x3bb84']];
    for (var i in funcs) {
        let relativePtr = funcs[i][2];
        let funcPtr = targetSo.add(relativePtr);
        let describe = funcs[i][1];
        let handler = (function() {
        return function(args) {
            console.log("\n");
            console.log(describe);
            console.log(Thread.backtrace(this.context,Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n"));
        };
        })();
    //Interceptor.attach(funcPtr, {onEnter: handler});
    hook_native_addr(funcPtr)  
    //替换为下面的函数 ,可以打印参数。 
}
}
//他会自己给出疑似的地址,就直接在so进行hook    MD5InitMagic 这个自己魔改了初始址 也被发现了

对于这个算法,可以稍微改进一下,让他生成的js 加上打印参数 ,MD5的话 transfrom 第二个参数 的64个字节 就是明文,拼起来就是完整的铭文。
//ptr(addr)主要用于呈现地址本身的易读形式,
//而hexdump(addr)则用于展示该地址指向的内存区域的详细十六进制内容

function print_arg(addr){
	var module = Process.findRangeByAddress(addr);
	if(module != null){
		return hexdump(addr) + "\n";
	}else{
		return ptr(addr) + "\n";
	}
}

function hook_native_addr(funcPtr){
	var module = Process.findModuleByAddress(funcPtr);
	Interceptor.attach(funcPtr, {
		onEnter: function(args){
      console.log(Thread.backtrace(this.context,Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n"));
       
			this.args0 = args[0];
			this.args1 = args[1];
			this.args2 = args[2];
			this.args3 = args[3];
			this.logs = [];
			this.logs.push("call " + module.name + "!" + ptr(funcPtr).sub(module.base) + "\n");
			this.logs.push("this.args0 onEnter: " + print_arg(this.args0));
			this.logs.push("this.args1 onEnter: " + print_arg(this.args1));
			this.logs.push("this.args2 onEnter: " + print_arg(this.args2));
			this.logs.push("this.args3 onEnter: " + print_arg(this.args3));
			
		}, onLeave: function(retval){
			this.logs.push("this.args0 onLeave: " + print_arg(this.args0));
			this.logs.push("this.args1 onLeave: " + print_arg(this.args1));
			this.logs.push("this.args2 onLeave: " + print_arg(this.args2));
			this.logs.push("this.args3 onLeave: " + print_arg(this.args3));
			this.logs.push("retval onLeave: " + retval + "\n");
			console.log(this.logs);
		}
	});
}
//这里可以打印参数。 在离开的时候一起打印 
// 参数可能是地址 或者数值 明文指针/长度  需要判断。 地址的话就打印整个内容 。数值就打印数值。
//ptr(addr)主要用于呈现地址本身的易读形式,
//而hexdump(addr)则用于展示该地址指向的内存区域的详细十六进制内容

===》
frida-trace 能获取到所有地址
把地址放到上面的so hook中,就可以hook所有函数 加参数
//更多代码,更多内容请移步公众号一起请添加图片描述
学习,同篇笔记会有更新喔

sugar椰子皮
关注
专栏目录
findhash:一个IDA脚本,可以检测出哈希算法(无论是否魔改常数)并生成frida hook代码
03-25
芬达哈希 在哈希算法上,比Findcrypt更好的检测工具,同时生成Frida hook代码。 使用方法 把findhash.xml和findhash.py放到ida插件目录下 ida -edit-plugin-findhash 试图解决的问题 哈希函数的初始化魔数被修改 想快速验证所分析的函数是否使用了MD5,SHA1,SHA2这些哈希算法。 Findcrypt / Signsrch没发现来 可以应对如下各种findcrypt发现或哈希函数被魔改的情况 原理 通过正则表达式校正伪伪C代码的初始化魔数代码以及哈希运算函数,很粗鲁暴力,所以运行时间会比较长,因为要反编译所有函数,但对哈希算法的检测上效果非常好。 去做 适应arm64 增加对特征常量立即数的搜索 根据相关理论,高占比的位运算指令以及循环,是加解密算法难以抹去的结构特征。
IDA识别程序密码算法插件 FindCrypt2
asli33的专栏
07-06 5263
参见:http://www.openrce.org/downloads/details/189/FindCrypt2一个用于在IDA识别反汇编后程序所使用的密码学算法插件,支持的密码学算法有:* Blowfish* Camellia* CAST* CAST
md5检测工具
04-14
essage Digest Algorithm MD5文名为消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。该算法的文件号为RFC 1321(R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992)。 MD5即Message-Digest Algorithm 5(信息-摘要算法5),用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),主流编程语言普遍已有MD5实现。将数据(如汉字)运算为另一固定长度值,是杂凑算法的基础原理,MD5的前身有MD2、MD3和MD4。
MD5算法识别
谢绝(无视)留言与私信
03-07 1128
前言如果程序用到了MD5算法, 又没有对抗, 用PEID.KryptoANALzer插件扫描算法时, 会指出MD5算法特征的位置. 扫描的是MD5Transform函数.记录扫描记录的格式: 算法名称 , RVA, VA 参考点MD5 :: 00001393 :: 00401393 The reference is above. MD5特征码的参考点不太准, 向
文件的MD5运算文件识别
mengtianqq的博客
11-02 470
文件的MD5运算文件识别 文件的MD5是什么? MD5是文件签名,相当于我们的指纹一样,世界独一无二的。使用MD5时防止别人篡改你的文件,有文件的MD5这样就可以验证文件的准确性。...
IDAMD5算法F5特征
把梦想放飞在蓝色的天空里...
05-20 9148
IDA里抠出来的: int __usercall MD5_COMPUT(char *a1, int a2) { int v2; // edx@1 int v3; // ebx@1 int v4; // ebp@1 unsigned int v5; // edx@3 int v6; // ecx@3 unsigned int v7; // esi@3
Python md5转码识别(内含pymysql库使用)
xinyue9966的博客
02-24 425
前言 很久不更新了,想着做一份含金量技术量比较高的文章,做了一份md5解密的网站,使用python语言,主要应用flask库,后期数据库导入应用pymysql 读取文本查py """ Author:LuckyRiver Date:2021 第一个flask项目 """ from flask import Flask,render_template,request from md5_decrypt import encrypt_md5 app = Flask(__name__) #创建应用对象 @app.
网络安全学习第4篇-使用特征码和MD5对勒索病毒进行专杀,并对加密文件进行解密
一清道长的个人博客
04-03 2684
请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。 要求: 1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。 2、专杀工具需要能够识别本次的样本文...
逆向算法--散列之MD5
kdsj_0030的博客
09-16 1151
MD5算法分析 MD5简介 MD5是一种生成32位hex格式字串的单项散列函数,不可恢复,一般用于校验文件完整性防止被篡改,有时会被用于避免明文出现,也经常被用于软件保护方面 MD5以512位(32字节)分组处理输入消息,每一分组的处理过程分为16组(一个dword大小),经过多轮变换输出4个32位分组,每个分组级联后输出,注意输入输出时都需处理字节序的变换 一般用于保存MD5的结构体...
IDApython在恶意软件分析的应用
摔不死的笨鸟的博客
11-24 506
IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。 IDA在恶意软件分析的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息 使用的前提是: 一、病毒家族样本的加密函数固定有规律有通性。 二、病毒样本的加密函数比较简单或者标准
MD5特性
a13698709128的博客
07-06 3821
1、压缩性:无论数据长度是多少,计算出来的MD5值长度相同2、容易计算性:由原数据容易计算出MD5值3、抗修改性:即便修改一个字节,计算出来的MD5值也会巨大差异4、抗碰撞性:知道数据和MD5值,很小概率找到相同MD5值相同的原数据...
MD5算法详解
m1j2t3的专栏
12-02 6884
<br />转载自http://blog.163.com/cissyxxy0629@126/blog/static/28702276201022691836522/<br /> <br />最近读一本书《加密与解密》,其讲解MD5算法的那一段让人不知所云,云里雾里。我甚至怀疑作者是否真的懂MD5算法,抑或是从网上胡乱攒了些文字冒充行家。为了使我对作者的鄙视更有力,我决定自己整理一份较清晰明了,通俗易懂的文的MD5算法说明。<br /><br />●MD5算法简介<br />      MD5算法是单向散
MD5算法全解析
jsyjst的博客
11-13 6089
前言 这段时间刚好正在做软件安全的实验和课设,学习了各种加密算法,比如对称加密算法的DES,AES;非对称加密算法的RSA,再如今天要讲的主角-单向加密算法MD5。为什么这么多算法MD5成为了今天的猪脚呢?,这是因为个人感觉在目前Android开发MD5算是比较常用的,所以很值得一讲。所以今天让我带你们来全面认识我们的主角MD5。 一、基本概念 1. 单向加密算法 在介绍MD5算法前,很有必...
探索神秘的代码世界:FindHash - 检索与识别哈希值的利器
最新发布
gitblog_00097的博客
03-27 477
探索神秘的代码世界:FindHash - 检索与识别哈希值的利器 findhash项目地址:https://gitcode.com/gh_mirrors/fi/findhash 在编程和信息安全领域,哈希函数是我们日常工作不可或缺的一部分,它们用于数据校验、密码存储等关键任务。而项目正是为了解决一个常见的问题——如何快速有效地查找并识别特定的哈希值。本文将深入探讨这个项目的功能、技术实现、应用...
ida提取hashab算法记录
weixin_30535913的博客
10-27 161
话说ida f5功能确实很强大,以后还会使用到f5进行提取代码,记录下这次提取代码过程的想法。 首先需要注意f5生成的伪代码函数内的局部变量都是以1字节对齐的,f5把一个函数使用的堆栈的地址都对应到了一个变量上。ida生成的伪代码会经常在某个变量的基础上对后面的数据进行赋值和拷贝。可以使用下面的方法进行解决。然后使用全部替换,在所有的变量前都加上data.。 #p...
1028 - 搜索IDA*算法 - Flood it(HDU 4127)
Faithfully-xly的博客
10-28 141
传送门 Analysis IDA*算法 可以发现如果当前矩阵除了左上角的连通块之外,共有M种颜色,那么还 需要的步数不小于M。如果当前搜索深度+估价函数的值&gt;深度限制,可以剪 枝。 • 每次寻找左上角的格子所在的连通块耗费的时间常数巨大,可以在这里寻求 突破。我们引入一个N*N的v数组。左上角的格子所在的连通块里的格子标记 为1。左上角连通块周围一圈格子标记为2,其它格子标记为0。如果某...
java>>> 32,在Java使用Unsigned int 32位?
weixin_42314846的博客
02-12 490
I want to translate this expression in Javachar tab[100];tab[10] = '\xc0';tab[48] = '\x80';uint32_t w = 0x67452301;uint32_t x = 0xefcdab89;uint32_t y = 0x98badcfe;uint32_t z = 0x10325476;a = ((b &...
单向散列算法--MD5算法逆向分析
weixin_30846599的博客
01-18 224
单向散列算法之——MD5算法 MD5算法(Message-Digest Algorithm 5)属于单向散列算法的一种。它的功能是将任意长度的消息在经过处理后输出一个128位的信息,从而实现加密,此加密不可逆,即无法通过密文反推出输入的信息。 1、算法原理 (1)数据填充 填充待加密的消息使其长度与448模512同余(即消息长度=448mod512,byte=56mod64)。因...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sugar椰子皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值