lunes, septiembre 14, 2009
Albert López
Este metodo de cifrado se remonta a los tiempos de julio cesar (mirar wikipedia ) donde en sus escritos tenia una forma bien curiosa para la época de cifrarlos. Esta técnica se conoce hoy dia como Cifrado César, y este consiste en sumar 3 posiciónes exactas en el abecedario cambiando las letras, asi por ejemplo:
a b c d e f g h i ........
original --> a encriptada ---> d
Aunque bueno, en la actualidad como decía todo esto a evolucionado y ya no solo se utilizan tres desplazamientos sino los que el usuario quiere además tanto a la derecha como a la izquierda.
Muchos de los virus que me encuentro como decía, llevan sus strings cifradas para ocultaras de la vista de los usuarios que analicen el gusano o de los antivirus. Para ello siempre se pierde bastante tiempo haciendo el análisis ya que en total hay para desplazar 27 posiciones.
Aquí un ejemplo de un código cifrado sacado de un virus analizado mediante el ollydebugg:
Comprobando que fuera un caso genérico de cifrado César a mano, perderíamos bastante rato, ya que aparte de que nos podemos liar fácilemnte, hay bastantes casos para comprovar.
En este caso se descubrió, que la encriptación es una generalización de César que en vez de 3 posiciones simplemente salta una y que luego revierte el resultado. Así que la cadena desencriptada y revertida es la siguiente
Vistos ya la explicación de este tipo de cifrado sencillo pero eficaz,y con la gran cantidad de cadenas cifradas con estos métodos que encuentro decidí crearme un programa para desencriptarlas automáticamente y la verdad que se ahorra mucho tiempo y no hay posibilidad de fallo.
Aquí lo dejaré en descarga para la gente que analiza las cadenas de malware, el programa también se le pueden dar otros usos, incluso también aparte de desencriptar puedes encriptar.
a b c d e f g h i ........
original --> a encriptada ---> d
Aunque bueno, en la actualidad como decía todo esto a evolucionado y ya no solo se utilizan tres desplazamientos sino los que el usuario quiere además tanto a la derecha como a la izquierda.
Muchos de los virus que me encuentro como decía, llevan sus strings cifradas para ocultaras de la vista de los usuarios que analicen el gusano o de los antivirus. Para ello siempre se pierde bastante tiempo haciendo el análisis ya que en total hay para desplazar 27 posiciones.
Aquí un ejemplo de un código cifrado sacado de un virus analizado mediante el ollydebugg:
sdmqdsmH[senrnqbhL[dq`vsenR[TBJG
Comprobando que fuera un caso genérico de cifrado César a mano, perderíamos bastante rato, ya que aparte de que nos podemos liar fácilemnte, hay bastantes casos para comprovar.
En este caso se descubrió, que la encriptación es una generalización de César que en vez de 3 posiciones simplemente salta una y que luego revierte el resultado. Así que la cadena desencriptada y revertida es la siguiente
HKCU\Software\Microsoft\Internet
Vistos ya la explicación de este tipo de cifrado sencillo pero eficaz,y con la gran cantidad de cadenas cifradas con estos métodos que encuentro decidí crearme un programa para desencriptarlas automáticamente y la verdad que se ahorra mucho tiempo y no hay posibilidad de fallo.
Aquí lo dejaré en descarga para la gente que analiza las cadenas de malware, el programa también se le pueden dar otros usos, incluso también aparte de desencriptar puedes encriptar.
Posted in: 
0 comentarios:
Publicar un comentario