mbraetz - Kryptographiespielplatz 2.2 FAV MAIL 
  Base64-Substitution - Base64-Substitution mit ZIP-Option (nutzt Deflate/Inflate) c15c135cb78dd1c200242b6186409887





Ich bin über diese Technik gestolpert, als ich neulich einige Hacker-Shells auseinandergenommen habe. Gefunden hatte ich sie auf einem Server, der gehackt worden war. Dieser Server war der Spielplatz einer Reihe von Hacker-Gruppen gewesen, die, diesen Server zu hacken, zum Volkssport erhoben hatten.

Jede der Gruppen hatte als Zeichen des Erfolgs ein Hacker-Shell hinterlassen. So kamen etwa 20 Stück dieser Shells zusammen.

Einige dieser Hacker-Shells waren mit verschiedenen Obfuskationstechniken so verändert worden, dass man nicht ohne weiteres den Quellcode lesen konnte.

Der Standard-Ansatz ist dabei, den gesamten Quellcode im Wesentlichen durch

  • Komprimieren (gzdeflate oder gzcompress) und
  • Kodieren (Base64 bzw. Hex-Masking)
unleserlich zu machen.

Der Programmierer eines der Shells war etwas erfinderischer und hatte eine Substitutionsroutine hinzugefügt, die nach dem Kodieren zusätzlich noch einen einfachen Substitutionsalgorithmis ansetzt. Einfach aber effektiv und gleichzeitig die Inspiration hierfür.

Funktionsweise






Signatur: Marcel Brätz 20150820 1.1

I: Release v1.0 20120713: erste Version
I: Update v1.1 20150820: Korrekturen und Anpassungen




  © 2000-2015 - mbraetz-webprojects 0.105 sec, 552.2 kB, 663 kB (limit: 120 sec)