Gh0st配置加密与解密算法（异或、Base64）

最新推荐文章于 2024-11-07 11:59:39 发布

17bdw学编程

最新推荐文章于 2024-11-07 11:59:39 发布

阅读量494

点赞数

分类专栏：算法

本文链接：https://blog.youkuaiyun.com/sworld_/article/details/106031003

版权

本文介绍了Gh0st木马配置信息的加密与解密过程，包括控制端的异或、移位和Base64编码，以及服务端的Base64解码、移位和异或操作。通过分析2017年Gh0st样本，揭示了加密方式在源码中传播后门的现象，并提供了实践代码和实际效果展示。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、前言

分析木马程序常常遇到很多配置信息被加密的情况，虽然现在都不直接分析而是通过Wireshark之类的直接读记录。

2017年Gh0st样本大量新增，通过对木马源码的分析还发现有利用Gh0st加密方式来传播的源码中的后门。

2、加密思路

控制端：对字符串异或、移位、Base64编码
服务端：对字符串Base64解码、移位、异或

3、实践代码

加密编码

// Base64编码
static char base64[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";

int C模仿Gh0st加密上线地址Dlg::base64_encode(const void *data, int size, char **str)
{
	char *s, *p;
	int i;
	int c;
	const unsigned char *q;

	p = s = (char*)malloc(size * 4 / 3 + 4);
	if (p == NULL)
		return -1;
	q = (const unsigned char*)data;
	i = 0;
	for (i = 0; i < size;) {
		c = q[i++];
		c *= 256;
		if (i < size)
			c += q[i];
		i++;
		c *= 256;
		if (i < size)
			c += q[i];
		i++;
		p[0] = base64[(c &

最低0.47元/天解锁文章