python3字节转化字符_浅谈 Python3 中对二进制数据 XOR 编码的正确姿势

最新推荐文章于 2022-09-25 11:49:33 发布
最新推荐文章于 2022-09-25 11:49:33 发布
阅读量261 收藏 1
点赞数
文章标签: python3字节转化字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39627697/article/details/111655262
版权
26b00843863b5c2ac2cd1351843fd9e7.png

Python3 中的默认编码是 UTF-8,这给大家写 Python 代码带来了很大的便利,不用再像 Python2.x 那样为数据编码操碎了心。但是,由于全面转向 UTF-8 编码,Python3 里面会有一些小细节,稍有不慎容易栽坑。本文就对二进制数据 XOR 编码这一种操作,浅析 Py2/Py3 中默认编码相关的一个细节小差异而引起的小 Bug。

XOR 编码是最简单有效的编码方法之一,虽然简单,但仍然应用广泛。在分析恶意样本时,经常会遇到样本内置的隐秘数据或者网络通信数据,用到了 XOR 编码。比如,一个典型就是 XOR.DDoS 家族,它样本内部关键字符串全用 XOR 编码过,而且其网络通信中 Bot 发给 C2 的上线数据包和 C2 给 Bot 下发的控制指令数据包中均涉及 XOR 编码/解码操作。

对于这类样本,分析的时候我们不免要写一些自动化的解析脚本,把其中的编码数据还原成名文以便分析。在其他开发场景中也偶尔会用 Python 写一些 XOR 编码/解码的程序。网上一搜 「Python XOR 编码 加密」或者「Python XOR encoding crypt」,都会搜出很多别人发出来的 Python XOR 编解码脚本,大多数情况下拿来直接用就行。比如我搜来的几个中文帖子中的相关脚本(本人不保证下面截图里代码的正确性):

9e687c35adedfeceb2b84042514a18db.png
503a27b50e6a1f4e3b498a3238cdca61.png
4d3b2804261c398d7f1cbed20090e961.png
dec01762780fc881df944b62873b7a41.png

这些脚本,在 Python2 环境下都没有问题,都可以正确进行 XOR 编解码,然而如果直接拿到 Python3 环境下去运行,却会发生一个不容易发现的小 Bug。来看一段在 ipthon3 里的操作记录:

In [1]: def xor_crypt(data, key): ...: cipher_data = [] ...: len_data = len(data) ...: len_key = len(key) ...: for idx in range(len_data): ...: bias = key[idx % len_key] ...: curr_byte = data[idx] ...: cipher_data.append(chr(bias ^ curr_byte)) ...: return bytearray("".join(cipher_data).encode()) ...:In [2]: xor_key = b'0123456789'In [3]: sam1 = b'abcdefgh'In [4]: sam2 = b'abcdefghijklmnopqrstuvwxyz'In [5]: print(xor_crypt(sam1,xor_key))bytearray(b'QSQWQSQ_')In [6]: print(xor_crypt(xor_crypt(sam1,xor_key), xor_key))bytearray(b'abcdefgh')In [7]: print(xor_crypt(sam2, xor_key))bytearray(b'QSQWQSQ_QS[]_][EGEKMEGEKMO')In [8]: print(xor_crypt(xor_crypt(sam2,xor_key), xor_key))bytearray(b'abcdefghijklmnopqrstuvwxyz')In [9]: sam3 = b'x7fx80x81x90x91xA0xA1xB0xB1xC0xC1xD0xD1xE0xE1xF0xF1xFA'In [10]: print(xor_crypt(sam3, xor_key))bytearray(b'Oxc2xb1xc2xb3xc2xa3xc2xa5xc2x95xc2x97xc2x87xc2x89xc3xb9xc3xb1xc3xa1xc3xa3xc3x93xc3x95xc3x85xc3x87xc3x8d')In [11]: print(xor_crypt(xor_crypt(sam3,xor_key), xor_key))bytearray(b'x7fxc3xb3xc2x83xc3xb1xc2x87xc3xb7xc2x95xc3xb5xc2x9dxc3xbbxc2xa5xc3xb3xc2xa5xc3xb1xc2xb3xc3xb7xc2xbfxc3xb4xc2x81xc3xbaxc2x81xc3xb2xc2x93xc3xb0xc2x97xc3xb6xc2xa5xc3xb4xc2xadxc3xbaxc2xb5xc3xb2xc2xb5xc3xb0xc2xb9')In [12]: print(len(sam3))18In [13]: print(len(xor_crypt(xor_crypt(sam3,xor_key), xor_key)))69

可以看到,仿照 Python2 环境下那些常用的 XOR 编码操作写的函数,在 Python3 环境下,偶尔会出现意料之外的结果:上面的操作记录中,对于 sam1sam2 两个全都是可打印字符的字节串进行 XOR 编解码是没有问题的;但是对于 sam3 ,一个内含大量 HEX 值大于 0x7F 的非可打印字符字节串,原本是 18 个字节,进行两次 XOR 操作之后竟然变成了 69 个字节。

这就十分蹊跷了。问题出在哪个环节?是函数内部的字节列表 cipher_data 的问题,还是最后 bytearray() 操作出了问题,还是进行 XOR 计算的时候, chr() 函数的问题?

经过一番排查,发现这是 chr() 函数的问题。先看这个函数在 Python2 和 Python3 中各有什么表现:

a09ee64fcd1bac8450e32c87db32cd03.png
5d6b6d0071dd30a1d0f0814d47fce473.png

在 Python2 版本中,除了 chr() 还有一个 unichr() ,可以看到 Py2 中的 unichr() 与Py3 中的 chr() 行为是一致的:对于 HEX 值大于 0x7F 的字符,返回值占 2 Bytes;对于 HEX 值小于或等于 0x7F 的字符,返回值占 1 Byte。

为什么会出现这么个差异?刚开始一直以为 chr() 函数只会返回 1 Byte 的结果,对此感到很是不解。

查阅一下 Py2 中 chr()unichr() 的文档如下:

25b90b8aed48bafd2619561c08201e3b.png
4a8c1eeb4516caa0729a1d901b64ffd7.png

而 Py3 中 chr() 函数的文档说明如下:

199161899e56b78a81e7e1d5d757a61e.png

从文档来看, Py3 中的 chr() 函数确实对应到了 Py2 中的 unichr() 函数,只返回 Unicode 编码的结果。在点破最后的一层窗户纸之前,我们再去 CPython 的源码里瞅一眼,以便把这个结论锤结实了。

Py3 中的 chr() 函数,源码中是这样实现的:

dd7a1935a07eb60a387eb0397abb642a.png
e879ff7297520c851aacff30c82b8e7a.png
8ae86d03f8cbe6cbdd0a614c04ecc75f.png

至于其中的 unicode_char() 函数如何实现,我们就不深究了,知道它就是返回一个 Unicode 编码的字符即可。再看 Py2 中 unichr() 函数:

6a1a62b706af8f1c75f5978ddd4e00f4.png

如出一辙有木有。

最后一层窗户纸 到底是什么?就是 Py3 默认的 UTF-8 编码了。在 http://www.utf-8.com 网站上有这么一段话:

UTF-8 encodes each Unicode character as a variable number of 1 to 4 octets , where the number of octets depends on the integer value assigned to the Unicode character. It is an efficient encoding of Unicode documents that use mostly US-ASCII characters because it represents each character in the range U+0000 through U+007F as a single octet .

注意上面加粗部分的重点:

  1. UTF-8 编码的字符占 1~4 个字节;
  2. 字符 U+0000 到 U+007F 都用一个字节来表示,其它字符 1 个字节不够,就用 2~4 个字节来表示。

这样就明确上面问题的原因了:Py3 中的 chr() 函数,只有在参数的 HEX 值位于 [0x00, 0x7F] 区间内的时候才返回 1 Byte 的结果,这个结果同于 Py2 中的 chr() 函数;当 HEX 值大于 0x7F ,其返回值占 2 Bytes,行为同于 Py2 中的 unichr() 函数。

那么 Py3 中正确的 XOR 编解码姿势是什么?上面 ipython3 操作记录中的函数稍加改动即可:

def xor_crypt(data, key): cipher_data = [] len_data = len(data) len_key = len(key) for idx in range(len_data): bias = key[idx % len_key] curr_byte = data[idx] cipher_data.append(bias ^ curr_byte) return bytearray(cipher_data)

当然,还有更简洁的写法:

def XORCrypt(data, key): return bytearray(a^b for a, b in zip(*map(bytearray, [data, key])))

“我自己是一名从事了多年开发的Python老程序员,辞职目前在做自己的Python私人定制课程,今年年初我花了一个月整理了一份最适合2019年学习的Python学习干货,从最基础的到各种框架都有整理,送给每一位喜欢Python小伙伴,想要获取的可以转发文章并关注我的头条。在后台私信我:01,即可免费获取。"

05205521206b3bdf37ec06dc3b9588a0.png
weixin_39627697
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python3字节转化字符_在Python3.6字节转换为字符
weixin_31421625的博客
01-17 1414
我正在尝试读取和处理一个文件。这在Python2.7运行得非常好,但我无法在Python 3运行它。在Python2.7,它在不提供任何编码的情况下工作,而在Python3,我尝试了有编码和无编码的所有组合。经过深入研究,我发现read返回的内容在两个版本是不同的。在Python2.7工作的代码:>>> f = open('resource.cgn', 'r')&gt...
pythonxor是什么_有人可以在Python 3解释XOR(用于校验和)
weixin_30158793的博客
12-24 802
我正在为foo.bar进行练习,其基本思想是获取一个整数列表,并对它进行一些操作以得出该列表的特定子集,然后通过以下方式对这些值进行XOR(对于校验和):result = 0^1^2^3^4^6等于2另一个例子:result2 = 17^18^19^20^21^22^23^25^26^29等于14我不太确定这里发生了什么以及这些值(2,14)是如何得出的。Foo.Bar的问题的实际描述>待办...
c++ 关于字符数字的内置函数
weixin_45614886的博客
10-05 108
islower(char c) 是否为小写字母 isupper(char c) 是否为大写字母 isdigit(char c) 是否为数字 isalpha(char c) 是否为字母 isalnum(char c) 是否为字母或者数字 toupper(char c) 字母小转大 tolower(char c) 字母大转小
python字节操作,python字节操作(XOR
weixin_36379029的博客
12-10 171
#!/usr/bin/env python3import binasciivar=binascii.a2b_qp("hello")key=binascii.a2b_qp("supersecretkey")[:len(var)]print(binascii.b2a_qp(var))print(binascii.b2a_qp(key))#here i want to do an XOR operati...
python字节操作_python字节操作(XOR
weixin_39867327的博客
12-10 446
#!/usr/bin/env python3import binasciivar=binascii.a2b_qp("hello")key=binascii.a2b_qp("supersecretkey")[:len(var)]print(binascii.b2a_qp(var))print(binascii.b2a_qp(key))#here i want to do an XOR operati...
python 异或加密字符串的实例
09-20
Python的异或加密是一种简单的加密方法,它基于二进制位的异或操作。异或操作的特性是:任何数与0异或都等于本身,相同位数的数异或结果为0,不同位数的数异或结果为1。在加密过程字符串的每个字符(通常以...
CS120B_Lab3_BitManip
02-14
在计算机科学领域,位操作是低级别的编程技术,它涉及到对二进制数据的直接操纵。这个名为"CS120B_Lab3_BitManip"的实验专注于使用Python语言来学习和实践位操纵技巧,特别是涉及掩码和位移。位掩码是一种特殊的二...
Python DES加密实现原理及实例解析
09-16
以下是一些Python代码片段,展示了如何实现DES加密的关键步骤,如十进制到二进制转换、置换、异或运算等。实际的完整实现还包括上述提到的所有置换、扩展和S盒、P盒运算。 ```python def INT_BIN(NUM): i = bin...
crypto_utils:与加密,编码,解码等有关的我的小工具集
05-15
二进制)表示的字节,并将其转换为原始二进制dexor.py:具有给定键的XOR文件内容(从给定偏移量开始) quick_aes:一个用于对字符串和文件进行快速AES加密的小工具(专用于加密消息-提供输出的随机IV和Base64编码) ...
如何用Python 加密文件
12-17
异或(XOR)操作符在Python表示为"^",它是一种二进制运算,其规则是相同值异或结果为0,不同值异或结果为1。对于单个二进制位,我们可以总结出以下规律: 1. 0 XOR 0 = 0 2. 0 XOR 1 = 1 3. 1 XOR 0 = 1 4. 1 ...
python3编写的异或加解密小程序
11-27
python3编写的异或加解密系统小程序,可以随机密钥加密,自定义密钥加密,批量文件加解密,使用qt5图形化。内含源码+exe
Python3之数据指纹MD5校验与对比
weixin_33910460的博客
06-10 152
MD5消息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。 概述 MD5校验码通过散列函数计算而成,可以生成任何数据数据“...
python的异或操作_python字节操作(XOR)
weixin_39917576的博客
12-10 1189
看起来你需要做的是将消息的每个字符与密钥的相应字符进行异或。但是,要做到这一点,您需要使用ord和chr进行一些相互转换,因为您只能编号而不是字符串:>>> encrypted = [ chr(ord(a) ^ ord(b)) for (a,b) in zip(var, key) ]>>> encrypted['\x1b', '\x10', '\x1c', ...
python的异或操作_python字节操作(XOR
weixin_39847945的博客
12-10 2991
看起来您需要做的是将消息的每个字符与键的相应字符进行异或。但是,要做到这一点,您需要使用ord和chr进行一些相互转换,因为您只能使用异或数字,而不能使用字符串:>>> encrypted = [ chr(ord(a) ^ ord(b)) for (a,b) in zip(var, key) ]>>> encrypted['\x1b', '\x10', '\...
shellcode xor编码/解码[1]
weixin_34209851的博客
05-23 369
shellcode的初级变形的一点点总结,大部分搜集、翻译,少量原创 0x01 病毒上重定位问题0x02 shellcode解码0x03 一个unix例子0x04 源码解读0x05 参考 shellcode xor编码/解码器是一种较为初级的shellcode变形的方法,当然它从采用的方法跟病毒上的方法有些类似 0x01 病毒上重定位问题病毒上的解决重定位的方法,可以方便的用到she...
20190323——Python的bytes数据类型
寄蜉蝣于天地,渺沧海之一粟。
03-23 734
Python3以后,字符串和bytes类型彻底分开了。字符串是以字符为单位进行处理的,bytes类型是以字节为单位处理的。 不同的编码规则字符占不同的字节,ascii Unicode utf-8 八位是一个字节 bytes数据类型在所有的操作和使用甚至内置方法上和字符数据类型基本一样,也是不可变的序列对象。 bytes对象只负责以二进制字节序列的形式记录所需记录的对象,至于该对象到底表示什...
密码学第三讲——对称密码(XOR与一次性密码本)
m0_46250064的博客
02-08 1988
一.什么是编码?? 计算机的操作对象并不是文字,而是由0和1排列而成的比特序列。无论是文字,图像,还是程序,都是由比特序列来表示的。加密就是将表示明文的比特序列转换为表示密文的比特序列。 二.XOR运算 XOR全称为exclusiveor,文叫异或。 举例: 0 XOR 0 = 0 0 XOR 1 = 1 1 XOR 0 = 1 1 XOR 1 = 0 符号为⊕ ...
比特序列的XOR运算
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
09-25 1148
现代的密码都是建立在计算机的基础之上,这是因为现代的密码所处理的数据量非常大,而且密码算法也非常复杂,不借助计算机的力量就无法完成加密和解密的操作。计算机的操作对象并不是文字,而是由0和1排列而成的比特序列。无论是文字、图像、声音、视频还是程序,在计算机都是使用比特序列来表示的。执行加密操作的程序,就是将表示明文的比特序列转换为表示密文的比特序列。将现实世界的东西映射为比特序列的操作称为编码。例如midnight这个单词,我们可以对它的每个字母逐一进行编码,这种编码规则叫做ASCII。
一个简单的异或代码
u010800530的专栏
03-24 2199
#include long long maxvalue (long long a,long long b) {     int i = 62;     if(a >= b)     {         return 0;     }     while(i >= 0 && ((1ll     {         i--;     }     return (1ll
python__xor__用法
最新发布
07-27
Python ,`^` 操作符被用作异或运算符,用于对两个数的二进制位进行异或操作。异或操作的定义是:如果两个二进制位相同,则结果为 0,如果两个二进制位不同,则结果为 1。 下面是 `^` 操作符的使用示例: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值