密钥及证书检测 crypto_material

原创 已于 2023-02-24 16:57:35 修改 · 325 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密钥证书检测 #yara #crypto_material

于 2023-02-24 14:45:42 首次发布
该文章展示了如何利用Yara规则库检测加密材料,如SSH密钥和SSL证书。通过加载crypto_material.yar文件,对libcurl.so.5.3.0文件进行匹配,结果显示检测到了genericPublicKey。HxD工具验证了Yara规则中定义的字符串存在。

用于检测加密材料,如SSH密钥和SSL证书。

文件:libcurl.so.5.3.0

yara文件:https://github.com/leiwuhen92/yara_rule/blob/main/compile_rule/crypto_material.yc

yara命令检测:

yara --print-meta --print-strings crypto_material.yar ibcurl.so.5.3.0

实现逻辑:

import pathlib
import yara
NAME="crypto_material"
CHINESE_NAME="密钥及证书检测"
CHINESE_DESCRIPTION="检测加密材料,如SSH密钥和SSL证书"

# 结果存储位置
class FileAnalysis():
   def__init__(self):
        self.file_path="libcurl.so.5.3.0"
        self.processed_analysis={}
file_object=FileAnalysis()

# 特征文件路径
compile_path=pathlib.Path("crypto_material.yc")

# 加载特征文件
rule=yara.load(str(compile_path))
# 匹配
result=rule.match(file_object.file_path)
print("result:%s"%result)

# 解析结果
file_object.processed_analysis[NAME]={}
summary=set()
foriteminresult:
   print(item)
   print(item.rule)
   print(item.meta)
    summary.add(item.rule)
    file_object.processed_analysis[NAME][item.rule]={"meta":item.meta}
file_object.processed_analysis[NAME]["summary"]=list(summary)

mongo_data={
   "file_path":file_object.file_path,
   "processed_analysis":file_object.processed_analysis
}
print(mongo_data)

运行结果:

result:[genericPublicKey]
genericPublicKey
genericPublicKey
{'author': 'Joerg Stucke', 'description': 'Generic Public Key Block', 'date': '2017-03-16', 'version': '2', 'version_schema_information': 'Version number is increased whenever something changes.'}

{
    "file_path":"libcurl.so.5.3.0",
    "processed_analysis": {
        "crypto_material": {
            "genericPublicKey": {
                "meta": {
                    "author":"Joerg Stucke",
                    "description":"Generic Public Key Block",
                    "date":"2017-03-16",
                    "version":"2",
                    "version_schema_information":"Version number is increased whenever something changes."
                }
            },
            "summary": [
                "genericPublicKey"
            ]
        }
    }
}

从结果可知密钥方式为genericPublicKey。

genericPublicKey的yara规则如下:两条字符串在文本内

HxD工具打开libcurl.so.5.3.0:搜索yara中的两条字符串(-----BEGIN PUBLIC KEY----- 与 -----END PUBLIC KEY-----),都能检索到

参考:

(1条消息) yara规则初识_青霄的博客-优快云博客

青霄
关注
系统密钥检测
08-01
微软操作系统密钥检测工具 能够检测密钥是否有效
PIDKey密钥检测工具v2.1.2.1017
06-29
PIDKey是一款超强密钥检验工具 此程序用来查看有关MS产品密钥的信息并将其保存到一个日志文件中。简单说就是代替VAMT的!VAMT即Volume Activation Management Tool,批量激活管理工具,它主要是来管理MS密钥,另外在企业中,网络管理员可以用它自动管理和集中管理 Windows、Microsoft Office,PIDKey 可以批量检测Windows&Office;&VS;密钥是否有效,批量对密钥信息(PID和激活计数)进行核对,通过对收集来的密钥进行测试有效性,备份密钥,检查许可证信息,检查零售及MAK密钥是否可用于电话激活,还支持VAMT 3.1的CILX文件、txt文件的导入。
探索隐藏的秘密:SecretMagpie,全方位的秘钥检测工具
gitblog_00043的博客
06-05 329
探索隐藏的秘密:SecretMagpie,全方位的秘钥检测工具 在信息安全领域,保护敏感信息至关重要。然而,当面对众多代仓库时,检查每一份代中是否存在泄漏的密钥或敏感数据变得异常困难。这就是SecretMagpie大展身手的时候了! 项目介绍 SecretMagpie是一款强大的秘密检测工具,它能遍历您在GitHub、GitLab、Azure DevOps、Bitbucket和本地文件系统中的...
秘钥验证
haoyiyide的博客
03-30 406
点击 PuTTYgen  去生成秘钥对。点击 Generate  移动鼠标,生成秘钥加密密文的公钥。再次填写秘钥提示所登陆密:            点击Save private key 生成文件需要放到一个安全地方,待用 12321321312312 私钥匙文件名复制Key 里面的内容 # ls /root/ | less# mkdir /root/.ssh# ls -a /root
AutoSAR Crypto Stack
weixin_43586667的博客
01-12 3445
AUTOSAR Crypto Stack 介绍
Autosar MCAL-S32k324 Crypto配置-基于EB
赞的博客
04-27 1880
NXP官网提供了免费的HSE固件,同时也提供了对应的协议栈。本文以算法为例,介绍MCAL相关的配置及在代中的集成与使用。使用HSE计算,比软件算法确实方便许多。后面会完善更多的算法测试。
[ACTF新生赛2020]crypto-aes(考点:AES)
MikeCoke的博客
02-18 6309
#注:文中代都使用 python3 题目: from Cryptodome.Cipher import AES import os import gmpy2 from flag import FLAG from Cryptodome.Util.number import * def main(): key=os.urandom(2)*16 iv=os.urandom(16) print(bytes_to_long(key)^bytes_to_long(iv)) aes=A
from Crypto.Signature import pkcs1_15 from Crypto.PublicKey import RSA from Crypto.Hash import SHA256 from Crypto.Cipher import AES
04-01
### 使用 PyCryptodome 实现 PKCS1_v1_5 签名方法与 RSA 公钥、SHA256 哈希及 AES 加密 以下是关于如何使用 `PyCryptodome` 库来完成基于 RSA 的签名验证流程,以及结合 AES 进行数据加密的操作说明。 #### 安装 ...
import base64 import os import sys import secrets from Crypto.Cipher import AES from Crypto.Random import get_random_bytes from Crypto.Hash import SHA256 from Crypto.Protocol.KDF import HKDF # ---------- 多轮 XOR 加密 ---------- def multi_xor(data: bytes, keys: list) -> bytes: for key in keys: key_bytes = base64.b64decode(key) data = bytes([b ^ key_bytes[i % len(key_bytes)] for i, b in enumerate(data)]) return data # ---------- 生成 header 字符串 ---------- def to_c_header(b64_data, b64_key, b64_iv, b64_tag, xor_keys): xor_lines = '\n'.join([f' "{k}",' for k in xor_keys]) return f"""#pragma once const char* b64_data = R"({b64_data})"; const char* b64_key = "{b64_key}"; const char* b64_iv = "{b64_iv}"; const char* b64_tag = "{b64_tag}"; const char* xor_keys[] = {{ {xor_lines} }}; const int xor_key_count = {len(xor_keys)}; """ # ---------- 主函数 ---------- def main(): if len(sys.argv) != 2: print("Usage: python generate_header.py sc.bin") return input_file = sys.argv[1] if not os.path.exists(input_file): print(f"[ERROR] 文件不存在: {input_file}") return with open(input_file, "rb") as f: raw = f.read() # ----- 随机多轮 XOR key(3轮) ----- xor_keys = [base64.b64encode(secrets.token_bytes(8)).decode() for _ in range(3)] xor_applied = multi_xor(raw, xor_keys[::-1]) # 逆序加密 # ----- 随机 AES-GCM 加密 ----- key_material = get_random_bytes(32) aes_key = HKDF(master=key_material, key_len=32, salt=None, hashmod=SHA256) iv = get_random_bytes(12) cipher = AES.new(aes_key, AES.MODE_GCM, nonce=iv) encrypted, tag = cipher.encrypt_and_digest(xor_applied) # ----- Base64 编结果 ----- b64_data = base64.b64encode(encrypted).decode() b64_key = base64.b64encode(key_material).decode() b64_iv = base64.b64encode(iv).decode() b64_tag = base64.b64encode(tag).decode() # ----- 生成 C++ 头文件 ----- header = to_c_header(b64_data, b64_key, b64_iv, b64_tag, xor_keys) with open("shellcode_b64.h", "w", encoding="utf-8") as f: f.write(header) print("[OK] 生成成功!文件: shellcode_b64.h") if __name__ == "__main__": main() 有没有问题
最新发布
11-09
要检查这段Python代是否存在问题,由于没有给出具体代,下面列出一些在实现多轮XOR加密、AES - GCM加密和生成C++头文件功能时可能出现的问题及相应的注意点: ### 多轮XOR加密 - **密钥管理**:如果XOR密钥是硬...
pidkey lite(微软密钥检测工具) v1.63.6 绿色版
05-21
一款检测微软密钥的小工具,可以非常方便的检测用户电脑上的产品密钥,包括检测winxp\win7\Win8/win8.1/win10及所有Office产品密钥。新版本增加了检测库,包括windows,windows server,office!
微软秘钥次数,可用性检测
11-20
微软秘钥次数,可用性检测, MAK密钥检测工具(终极PID检查器)
密钥检查和安装
yh13879705517的博客
05-11 883
从 file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql 检索密钥 源 "MySQL 5.7 Community Server" 的 GPG 密钥已安装,但是不适用于此软件包。请检查源的公钥 URL 是否配置正确。 失败的软件包是:mysql-community-server-5.7.37-1.el7.x86_64 GPG 密钥配置为:file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql 解决方案: GPG验证不通过,我理解是本机配..
Windows系统密钥检测工具PIDKey 2.1中文版:一款强大的系统密钥管理助手
gitblog_06792的博客
05-28 344
Windows系统密钥检测工具PIDKey 2.1中文版:一款强大的系统密钥管理助手 【下载地址】Windows系统密钥检测工具PIDKey2.1中文版 Windows系统密钥检测工具PIDKey 2.1中文版是一款功能强大的工具,专为管理Windows系统密钥而设计。它支持批量核对密钥信息,包括PID和激活计数,帮助用...
1 行代开启「密钥检测」,给敏感数据加上防护锁
GitLab 中国发行版
06-01 677
杜绝密钥泄露,守护软件安全。
密钥硬编检查
qq_44636225的博客
10-12 373
风,来无影,去无踪,无孔不入,又无处不在。由于平时很少看电视,去年正在为一个算法发愁,偶然看到这个剧,感同身受,便一口气看完了,里面一些对加密算法逻辑的一些看法,还是给了当时的我很大的启发,让我完成了当时的算法,还特意发了微博纪念。在代中,对于口令的变量的取名上,很多并不会遵守可读性和可维护性来设定变量名,通过前面正则表达式的方式来查找硬编的方式,会造成很多的漏报。就像我们为了增加密的复杂性,要求长度不小于8,必须包含大小写、特殊字符、以及数字一样的道理,所以密钥的熵值会比一般的文本要高的多。
【Windows XP】下载地址及产品密钥
热门推荐
Asher117的博客
06-26 4万+
这次需要在虚拟机中装XP系统,找了好多产品密钥都是不好用的,最后终于找到合适的了,迫不及待的分享。 1.XP系统下载 http://msdn.itellyou.cn/ 用迅雷下载Windows XP Professional with Service Pack 3 (x86) - CD VL (Chinese-Simplified) 下载下来后的名字是zh-hans_windows_xp_prof...
win7系统网页激活实验
Iam_Xgg的博客
08-20 8491
1.网页搜索密钥Windows密钥 2.利用:webact.185.hk(在线检测密钥是否有效) (检测失败) (检测成功) 3.把检测通过的密钥复制,Ctrl+R运行cmd(输入:slmgr.vbs -ipk 鼠标右键粘贴后回车 4.在电脑属性选择激活 5.弹出窗口选择其他方式激活 6.使用自动电话系统 7.弹出选择地址窗口,选择中国--下一步 8.出现ID窗口后,打开webact.185.hk网址网页激活 成功的话会
如何在 Golang 中使用 crypto/ed25519 进行数字签名和验证
walkskyer的博客
02-01 1923
ed25519是一种公钥签名算法,属于 Edwards-curve Digital Signature Algorithm (EdDSA) 的一种实现。它由 Daniel J. Bernstein 等人设计,目的是提供更快、更安全的签名算法。相比传统的 RSA 或 ECDSA(椭圆曲线数字签名算法),ed25519在多个方面展现出优越性。主要特点包括:高安全性ed25519提供了与更长密钥长度的传统算法相当的安全级别,使其在抵抗各种密攻击方面更为强大。效率高:相较于 RSA 和传统的 ECDSA,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值