伪随机数之梅森旋转算法的逆向求解。

最新推荐文章于 2024-01-23 15:23:39 发布
最新推荐文章于 2024-01-23 15:23:39 发布
阅读量1.2k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/121419286
本文介绍了一种针对MT19937随机数生成器的逆向工程方法,通过分析其内部状态转换过程,实现对已知输出的逆向求解,进而恢复初始种子并预测后续随机数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工具包:来自这位dl的文章: 

Explore MT19937 | huangx607087's Blog

from Crypto.Util.number import *
from hashlib import md5
import random


def _int32(x):
    return int(0xFFFFFFFF & x)


class MT19937:
    def __init__(self, seed=0):
        self.mt = [0] * 624
        self.mt[0] = seed
        self.mti = 0
        for i in range(1, 624):
            self.mt[i] = _int32(1812433253 * (self.mt[i - 1] ^ self.mt[i - 1] >> 30) + i)

    def getstate(self, op=False):
        if self.mti == 0 and op == False:
            self.twist()
        y = self.mt[self.mti]
        y = y ^ y >> 11
        y = y ^ y << 7 & 2636928640
        y = y ^ y << 15 & 4022730752
        y = y ^ y >> 18
        self.mti = (self.mti + 1) % 624
        return _int32(y)

    def twist(self):
        for i in range(0, 624):
            y = _int32((self.mt[i] & 0x80000000) + (self.mt[(i + 1) % 624] & 0x7fffffff))
            self.mt[i] = (y >> 1) ^ self.mt[(i + 397) % 624]
            if y % 2 != 0:
                self.mt[i] = self.mt[i] ^ 0x9908b0df

    def inverse_right(self, res, shift, mask=0xffffffff, bits=32):
        tmp = res
        for i in range(bits // shift):
            tmp = res ^ tmp >> shift & mask
        return tmp

    def inverse_left(self, res, shift, mask=0xffffffff, bits=32):
        tmp = res
        for i in range(bits // shift):
            tmp = res ^ tmp << shift & mask
        return tmp

    def extract_number(self, y):
        y = y ^ y >> 11
        y = y ^ y << 7 & 2636928640
        y = y ^ y << 15 & 4022730752
        y = y ^ y >> 18
        return y & 0xffffffff

    def recover(self, y):
        y = self.inverse_right(y, 18)
        y = self.inverse_left(y, 15, 4022730752)
        y = self.inverse_left(y, 7, 2636928640)
        y = self.inverse_right(y, 11)
        return y & 0xffffffff

    def setstate(self, s):
        if (len(s) != 624):
            raise ValueError("The length of prediction must be 624!")
        for i in range(624):
            self.mt[i] = self.recover(s[i])
        # self.mt=s
        self.mti = 0

    def predict(self, s):
        self.setstate(s)
        self.twist()
        return self.getstate(True)

    def invtwist(self):
        high = 0x80000000
        low = 0x7fffffff
        mask = 0x9908b0df
        for i in range(623, -1, -1):
            tmp = self.mt[i] ^ self.mt[(i + 397) % 624]
            if tmp & high == high:
                tmp ^= mask
                tmp <<= 1
                tmp |= 1
            else:
                tmp <<= 1
            res = tmp & high
            tmp = self.mt[i - 1] ^ self.mt[(i + 396) % 624]
            if tmp & high == high:
                tmp ^= mask
                tmp <<= 1
                tmp |= 1
            else:
                tmp <<= 1
            res |= (tmp) & low
            self.mt[i] = res


# 题目
# flag = b'????????????'
# l = len(bin(bytes_to_long(flag))[2:])
# if l % 32 == 0:
#     l //= 32
# else:
#     l = l // 32 + 1
#
# rand = ''
# Rand = []
# for _ in range(l):
#     pro = random.getrandbits(32)
#     rand += bin(pro)[2:].zfill(32)
#     Rand.append(pro)
#
# s = bin(bytes_to_long(flag))[2:].zfill(len(rand))
# c = ''

# for i in range(len(s)):
#     c += str(int(s[i]) ^ int(rand[i]))
# print(c)


# def change(number):
#     number = number ^ (number >> 11)
#     number = number ^ ((number << 7) & 2636928640)  # 1001110100101100010101101 000 0000
#     number = number ^ ((number << 15) & 4022730752)  # 11101111110001100 000 0000 0000 0000
#     number = number ^ (number >> 18)
#     return number & 0xffffffff


Rand = [389902299, 3515959351, 2216779731, 2601284435, 514154742, 4172047173, 2921107804, 2217826537, 4248207905,
        1322376767]
c = '01101100010001011100100011111110110000101111000001100001110010001100111000110010111101011111100101011100111011110100001010100111100000010101100011001000011111110111111001010000010000111000101000011111011101001011110001010100100011001010001001111110011111100101111010000010101011100010001111011001010010001010001110001111'

if __name__ == '__main__':
    Demo = []

    # D.recover()方法就是逆向求原数字
    D = MT19937(48)  #这个里面填什么数字都没影响
    for i in range(len(Rand)):
        Demo.append(D.recover(Rand[i]))
    print('改变前的随机数: ', Demo)

    rand = ''
    for ch in Demo:
        rand += str(bin(ch)[2:]).zfill(32)  # 每个rand都是32位

    flag = ''
    for i in range(len(c)):
        flag += str(int(c[i]) ^ int(rand[i]))

    print('flag为: ', flag)
    # flag是一串0,1串,我不知道怎么转成二进制的形式,所有就先打印,再复制到下面,前面加上个0b
    print(long_to_bytes(
        0b01010011010110010100001101111011001100010111001100101101011100100110000101101110011001000011000001101101001011010110111101110010001011010110111001101111011101000010110101010100011010000110000101110100001011010110100100110101001011010110000100101101011100010111010100110011011100110111010001101001011011110110111001111101))

最后:

关于这个有一些博客讲的真不错。先挖个坑,以后再看。

谈谈梅森旋转:算法及其爆破 | 始终 (liam.page)   

Explore MT19937 | huangx607087's Blog

还有就是关于python的long_to_bytes()和bytes_to_long()方法的一点注意点:

加密用bytes_to_long()必须用字符串的二进制形式,才行,直接输入str会报错。

print(bytes_to_long(b'I am flag'))

解密的时候有的时候是用二进制的一串数字,千万记得二进制的时候一定前面加上0b,你要不加上0b他就会默认那个是十进制。这个细节注意不到也很头疼。

print(long_to_bytes(0b10010010010000001100001011011010010000001000110011011000110000101100111))
print(long_to_bytes(10010010010000001100001011011010010000001000110011011000110000101100111))

会发现结果截然不同,千万记得加上0b 

[机器学习笔记] (一)机器学习基本概念篇(含思维导图)
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
03-23 2483
(一)机器学习基本概念篇 什么是机器学习呢? 机器学习是一种能够赋予机器学习的能力以此让它完成直接编程无法完成的功能的方法。但从实践的意义上来说,机器学习是一种通过利用数据,训练出模型,然后使用模型预测的一种方法。 机器学习的定义 机器学习有下面几种定义: (1) 机器学习是一门人工智能的科学,该领域的主要研究对象是人工智能,特别是如何在经验学习中改善具体算法的性能。 (2) 机器学习是对...
梅森旋转算法
dianshu1593的博客
09-04 2996
概念 梅森旋转算法(Mersenne twister),可以快速产生高质量的伪随机数,修正了古典随机数发生算法的很多缺陷。 常见的两种为基于32位的 MT19937和基于64位的 MT19937-64。 由于梅森旋转算法是利用线性反馈移位寄存器(LFSR)产生随机数的, 对于LFRS有结论:一个 $k$ 位的移位寄存器,选取合适的特征多项式(即加1为本原多项式)时,取得最大...
java随机数逆向运算( Random.java )
08-07
java随机数逆向运算( Random.java ) 相关博客http://blog.youkuaiyun.com/qq185773126/article/details/47336593
java随机数逆向运算( test9.java )
08-07
java随机数逆向运算( test9.java ) 相关博客http://blog.youkuaiyun.com/qq185773126/article/details/47336593
java随机数逆向运算( test8.java )
08-07
java随机数逆向运算( test8.java ) 相关博客http://blog.youkuaiyun.com/qq185773126/article/details/47336593
CTF-Crypto实战-2023红队】Easy Code(暴力破解 密码学 梅森旋转算法
Cra_Thursday9527的博客
08-07 1367
MT19937即「梅森旋转算法」(「Mersenne twister」)是一个伪随机数生成算法。2、MT19937「梅森旋转算法」(「Mersenne twister」)easycode.txt中含有flag.zip密码提示。对flag.zip进行暴力破解,使用Ziperello。首先我们获得两个文件。
逆向随机生成100个数
潜心学习
06-02 990
这次笔记难度加大一点了!有比较多的跳转和循环,还包含数组寻址~~~ 笔记还是整理漂亮一点吧,以后可能要拿来做教程。 C源代码,,VC编译无压力过: #include #include void main() { int a[101],x[11],i,p; for(i=0;i<=10;i++) x[i]=0; for(i=1;i<=10
随机算法入门:C++中的概率算法基础,探索算法的随机之美
![数据结构与算法分析C++描述习题答案]...随机算法作为一种重要的计算技术,在提高算法效率、优化数据结构、并行处理及解决复杂问题等方面发挥着关键作用。本文首先介绍了随机算法的基础概念及其类型特性,
【随机过程核心概念】:从泊松过程到布朗运动,核心概念一网打尽
随机过程理论是现代概率论和统计学的重要分支,广泛应用于自然科学和社会科学领域。本文首先回顾了随机过程理论的基础知识,随后深入解析了泊松过程及其扩展模型,探讨了泊松过程在各种系统模拟和预测模型中的应用。...
集训队数论
12-09
- 描述:求解能形成算术级数的三个平方数,以及是否存在四个平方数形成的算术级数。 - 解法:通过构造和验证的方法来解答此类问题。 **6. 拥有100个除数的最小数** - 解法:利用数论中的除数个数公式,通过逆向...
python求梅森尼数_谈谈梅森旋转:算法及其爆破
weixin_39673002的博客
12-11 1493
https://liam.page/https://liam.page/https://liam.page/现代编程语言,大都在标准库中包含了随机库。例如,C++ 在 C++11 标准中添加了 random 头文件,提供了现代的随机库;Python 则有 random。C++11 的随机库将生成随机数的过程在逻辑上切分成了两个步骤:随机数生成引擎和分布。在学习 C++11 的 random 库时,...
伪随机数逆向:生成机制与安全漏洞
Reveone的博客
09-24 2877
伪随机数是通过算法生成的数字序列,与真正的随机数相比,它们具有确定性的特点。这意味着,给定相同的初始种子,伪随机数生成器(PRNG)每次都会产生相同的数字序列。尽管这些数字看起来是随机的,但它们实际上是由初始种子和算法共同决定的。
python random.randint方法底层分析及其逆向
ATFWUS的博客
01-23 1249
本文主要解释了python random模块中的randint方法的底层原理,并做了简单的逆向,能还原出所使用的随机数的部分,这在对random模块逆向的时候会有一些帮助。
伪随机数的可回溯化 --实现策略
MOV的博客
04-25 804
伪随机数的可回溯化 伪随机数的应用很多比如我的世界或者任何一个拥有世界种子的的程序。 可回溯化的应用一般出现在可进行负值应用的场景下。 举个简单的例不拿“我的世界”说了,二维的很复杂,再们说一说一维的,也就是像“神庙逃亡”之类的随机无尽的跑酷。 但在“神庙逃亡”游戏中玩家通常会直往一个方向迁移不会出现回头的现象,所以也不会用到随机数的回溯,所以在一般的应用中,选合适的即可,比如...
[NPUCTF2020]Mersenne twister
m0_57291352的博客
08-19 880
[NPUCTF2020]Mersenne twister 题目 cef4876036ee8b55aa59bca043725bf350a5e491debdef7ef7d63e9609a288ca1e2c82a7fe566bd8709e73c8d495ea504a486ed11189faf8e6fb35617e47d2d1ad5e4783e96afeaae9f7104ec477fb39fe4ec619bf58289709e15c4449f03fc51cba918cd0ebfdc12376b41e78154064
梅森旋转算法安全性分析及改进
会打代码的扫地王大爷的专栏
10-17 3452
梅森旋转算法安全性分析及改进 王立敏1,丁洁2 1中国科学院信息工程研究所 第五实验室 北京 中国100093 2中国科学院信息工程研究所 第五实验室 北京 中国100093 摘要 梅森旋转算法是目前最流行的伪随机数发生器算法之一。梅森旋转算法存在许多缺点,例如当生成的伪随机数数量庞大时可预测以及无法通过部分统计测试。为了更好地深入了解和分析梅森旋转算法的安全性,本文将使用NIST 800-2...
MT19937(梅森旋转算法
热门推荐
shshss64的博客
10-14 1万+
MT19937算法
random模块内置伪随机数生成—MT19937算法
M3ng@L的博客
01-24 2397
在特定条件下转MT19937算法 所谓MT19937算法也就是梅森旋转算法中的一种,是伪随机数发生算法 有关梅森旋转算法可以看:梅森旋转算法 - 维基百科,自由的百科全书 (wikipedia.org) Simply analyze MT19937Simply~analyze~MT19937Simply analyze MT19937​ Python应用MT19937算法生成范围在[0,232−1][0,2^{32}-1][0,232−1]​的均匀分布的32位整数(
梅森旋转算法生成伪随机数
最新发布
05-12
<think>嗯,用户想了解梅森旋转算法如何生成伪随机数,以及它的原理和实现。首先,我需要回忆梅森旋转算法的基本结构。记得它基于线性反馈移位寄存器(LFSR),但具体是怎么操作的? 梅森旋转算法的核心是使用一个大的状态数组,并通过某种递归关系来更新状态。比如MT19937,它的周期是2^19937-1,这个名字也来源于梅森素数。那状态数组的大小应该是624个32位整数,对吗?每个周期处理这624个状态,然后生成新的状态。 接下来,生成随机数的过程。当状态数组被初始化后,每次生成一个随机数的时候,会从当前的状态中提取,并经过一些处理,比如位移和掩码操作。可能涉及到“扭转”(twist)过程,当所有状态都被使用后,需要重新生成新的状态数组,这就是所谓的扭转步骤。 那具体怎么实现的呢?初始化的时候,需要种子,然后根据种子填充状态数组。种子可以是单个整数,或者数组。填充方法可能使用一个递公式,比如用前一个状态的值经过一些运算得到下一个值。比如,可能用异或、乘法和其他位操作。 然后是状态更新。每次生成一定数量的随机数后(比如624次),需要执行扭转操作。这个步骤可能涉及到将状态数组中的元素进行某种线性变换,可能包括左移、右移、与掩码异或等操作。比如,每个元素可能会被分解成高位和低位,然后低位经过变换后与高位结合,生成新的状态值。 在生成随机数的时候,每个状态元素会被进一步处理,比如通过右移、左移,与不同的掩码异或,最后可能还有一个乘法或加法步骤,以提高分布的均匀性。比如,MT19937的tempering步骤,包括位移和掩码操作,将状态中的数值打乱,生成最终的随机数。 用户可能需要具体的代码示例。这时候,我需要回忆Python中可能的实现方式。比如,状态数组的初始化,扭转函数的实现,以及如何从状态中提取随机数。要注意位操作的正确性,尤其是32位截断,可能需要使用掩码0xFFFFFFFF来保持数值在32位范围内。 另外,需要考虑梅森旋转算法的优缺点。比如,长周期和高维均匀分布,但状态空间较大,初始化较慢,不适合短随机数需求。还有,像种子必须正确初始化,否则可能影响随机性。 可能用户的问题还包括如何优化,或者与其他算法比较,但当前问题主要集中在原理和实现上。需要确保解释清晰,分步骤说明初始化、状态更新、随机数生成的各个阶段,并给出代码示例。同时,引用提供的参考资料中的内容,比如MT19937的参数和优点,来支持回答的正确性。 现在需要检查是否有错误的地方。比如,状态数组的大小是否正确,扭转的触发条件是否是索引到达数组末尾,以及tempering步骤的具体操作是否准确。此外,代码中的位操作是否正确处理了32位整数,避免溢出或错误计算。确保示例代码能够正确演示梅森旋转的关键步骤,即使可能简化了某些部分,但核心逻辑正确。</think>梅森旋转算法(Mersenne Twister)是一种基于线性反馈移位寄存器的伪随机数生成算法,其核心原理是通过二进制矩阵的线性递归操作生成均匀分布的数值序列。以下是其原理和实现的分步说明: --- ### **一、算法核心原理** 1. **状态数组结构** 算法维护一个长度为$n$的状态数组(MT19937中$n=624$),每个元素为32位整数,通过递归公式更新状态: $$x_{k+n} = x_{k+m} \oplus \left( (x_k^{\text{u}} \mid x_{k+1}^{\text{l}} ) \cdot A \right)$$ 其中$A$是常数矩阵,$\oplus$表示异或,$x^{\text{u}}$和$x^{\text{l}}$分别表示高低位截断[^3]。 2. **扭转(Twist)操作** 当状态数组遍历完毕后,通过非线性变换生成新状态,确保周期达到$2^{19937}-1$。变换包括位掩码、位移和矩阵乘法。 3. **输出处理(Tempering)** 从状态中提取数值后,需经过以下步骤增强分布均匀性: $$y = x \oplus ((x >> u) \& d)$$ $$y = y \oplus ((y << s) \& b)$$ $$y = y \oplus ((y << t) \& c)$$ $$y = y \oplus (y >> l)$$ 其中$u,s,t,l,d,b,c$为预设常数[^1]。 --- ### **二、Python实现示例** ```python class MersenneTwister: def __init__(self, seed): self.index = 624 self.MT = [0] * 624 self.MT[0] = seed for i in range(1, 624): self.MT[i] = 0xFFFFFFFF & (1812433253 * (self.MT[i-1] ^ (self.MT[i-1] >> 30)) + i) def extract_number(self): if self.index >= 624: self.twist() y = self.MT[self.index] y ^= (y >> 11) y ^= (y << 7) & 0x9D2C5680 y ^= (y << 15) & 0xEFC60000 y ^= (y >> 18) self.index += 1 return 0xFFFFFFFF & y def twist(self): for i in range(624): x = (self.MT[i] & 0x80000000) + (self.MT[(i+1)%624] & 0x7FFFFFFF) self.MT[i] = self.MT[(i+397)%624] ^ (x >> 1) if x % 2 != 0: self.MT[i] ^= 0x9908B0DF self.index = 0 ``` #### **代码说明** - **初始化**:通过种子生成初始状态数组,使用递公式确保多样性。 - **扭转函数**:通过位移和异或操作更新全部624个状态值。 - **输出处理**:通过四次位移和掩码操作优化数值分布。 --- ### **三、算法特性** | 特性 | 说明 | |--------------------|----------------------------------------------------------------------| | 周期长度 | $2^{19937}-1$,适用于长期连续随机数需求[^2] | | 高维均匀分布 | 在623维空间内均匀分布,适用于蒙特卡洛模拟 | | 局限性 | 状态空间较大(2.5KB),初始化速度慢于线性同余法 | --- ### **四、对比其他算法** - **线性同余法**:周期短(通常$2^{32}$),易预测,但实现简单。 - **Xorshift**:轻量快速,但周期和分布质量低于梅森旋转。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值