domingo, abril 13, 2014
Albert López
Hace
unos años, cuando tenía bastante más tiempo para descargar y analizar binarios
que contenían malware o propiamente se trataba de malware, muchas veces en los
análisis encontraba cadenas cifradas con el "Olly Debugger". Decidí que lo más
cómodo era crear una herramienta para automatizar y agilizar el descifrado de
cadenas por translación.
El
cifrado Cesar, es un caso concreto de un cifrado por traslación, a continuación
detallaré el funcionamiento y dejaré en descarga la aplicación y el código
fuente.
Método César
Este método de cifrado se remonta a los tiempos de julio cesar (mirar wikipedia para ver el rollo completo) donde en sus escritos tenia una forma bien curiosa para la época de cifrarlos. Esta técnica se conoce hoy dia como Cifrado César, y este consiste en sumar 3 posiciones exactas en el abecedario cambiando las letras, asi por ejemplo:
a b c d e f g h i ........
original --> a cifrada ---> d
Aunque bueno, en la actualidad como decía todo esto a evolucionado y ya no solo se utilizan tres desplazamientos sinó los que el usuario quiere además tanto a la derecha como a la izquierda.
Cifrado de strings en virus.
Muchos de los virus que me encuentro como decía, llevan sus strings cifradas para ocultaras de la vista de los usuarios que analícen el gusano o de los antivirus. Para ello siempre se pierde bastante tiempo haciendo el análisis ya que en total hay para desplazar 27 posiciónes.
Aquí un ejemplo de un codigo cifrado sacado de un virus analizado mediante el ollydebugg:
Citar
sdmqdsmH[senrnqbhL[dq`vsenR[TBJG
Comprobando que fuera un caso genérico de cifrado César a mano, perderiamos bastante rato, ya que aparte de que nos podemos liar fácilemnte, hay bastantes casos para comprovar.
En este caso se descubrio, que la cifrado es una generalización de César que en vez de 3 posiciónes simplemente salta una y que luego revierte el resultado. Así que la cadena descifrada y revertida es la siguiente
Citar
HKCU\Software\Microsoft\Internet
Automatizando
Vistos ya la explicación de este típo de cifrado sencillo pero eficaç,y con la gran cantidad de cadenas cifradas con estos métodos que encuentro decidí crearme un programa para desencriptarlas automáticamente y la verdad que se ahórra mucho tiempo y no hay posibilidad de fallo.
Aquí lo dejaré en descarga para la gente que analíza las cadenas de malware, el programa también se le pueden dar otros usos, incluso también aparte de descifrar puedes cifrar.
Posted in: 
0 comentarios:
Publicar un comentario