base64是一種常見的加密方式,具體能用在哪里,咱這里就不細說了,這里只說一下,base64代碼和密文的一些特征,方便在以后的CTF或者是逆向中快速識別這種加密方式。
————————————————————————————————————————————
首先我們來看看base64的加密過程,先了解一下base64是如何加密的,才能更好的理解base64的一些特征。
首先base64中的64是指的64四個可見字符集:
我們知道,數據儲存在我們的電腦中,是按照字節來存儲的,一個字節8個bit。
base64編碼,每3個8位明文數據為一組,取這3個字數據的ASCII碼,然后以6位為一組組成4個新的數據。
對於不足3字節的處理:
1.不足三字節后面填充0;
2.對於編碼前的數據產生的6位,如果為0,則索引到的字符為‘A’;因不足3字節而填充的0,用’=’來替代。
現在用ABCD為例子:
這張圖很明顯的顯示了base64是如何加密的,這里看到最后的“=”,這就是base64的第一個特點,base64的加密后面,經常跟着等號“=”。
當然,最開始的字母表,也可以讓我們來確定是否為base64.
然后是通過代碼來判斷:
這里我們給一段某ctf中ida的base64加密偽代碼:
void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a3)
{
int v4; // STE0_4
int v5; // STE0_4
int v6; // STE0_4
int v7; // [esp+D4h] [ebp-38h]
signed int i; // [esp+E0h] [ebp-2Ch]
unsigned int v9; // [esp+ECh] [ebp-20h]
int v10; // [esp+ECh] [ebp-20h]
signed int v11; // [esp+ECh] [ebp-20h]
void *Dst; // [esp+F8h] [ebp-14h]
char *v13; // [esp+104h] [ebp-8h]
if ( !a1 || !a2 )
return 0;
v9 = a2 / 3;
if ( (signed int)(a2 / 3) % 3 )
++v9;
v10 = 4 * v9;
*a3 = v10;
Dst = malloc(v10 + 1);
if ( !Dst )
return 0;
j_memset(Dst, 0, v10 + 1);
v13 = a1;
v11 = a2;
v7 = 0;
while ( v11 > 0 )
{
byte_41A144[2] = 0;
byte_41A144[1] = 0;
byte_41A144[0] = 0;
for ( i = 0; i < 3 && v11 >= 1; ++i )
{
byte_41A144[i] = *v13;
--v11;
++v13;
}
if ( !i )
break;
switch ( i )
{
case 1:
*((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)byte_41A144[0] >> 2];
v4 = v7 + 1;
*((_BYTE *)Dst + v4++) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | 16 * (byte_41A144[0] & 3)];
*((_BYTE *)Dst + v4++) = aAbcdefghijklmn[64];
*((_BYTE *)Dst + v4) = aAbcdefghijklmn[64];
v7 = v4 + 1;
break;
case 2:
*((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)byte_41A144[0] >> 2];
v5 = v7 + 1;
*((_BYTE *)Dst + v5++) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | 16 * (byte_41A144[0] & 3)];
*((_BYTE *)Dst + v5++) = aAbcdefghijklmn[((byte_41A144[2] & 0xC0) >> 6) | 4 * (byte_41A144[1] & 0xF)];
*((_BYTE *)Dst + v5) = aAbcdefghijklmn[64];
v7 = v5 + 1;
break;
case 3:
*((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)byte_41A144[0] >> 2];
v6 = v7 + 1;
*((_BYTE *)Dst + v6++) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | 16 * (byte_41A144[0] & 3)];
*((_BYTE *)Dst + v6++) = aAbcdefghijklmn[((byte_41A144[2] & 0xC0) >> 6) | 4 * (byte_41A144[1] & 0xF)];
*((_BYTE *)Dst + v6) = aAbcdefghijklmn[byte_41A144[2] & 0x3F];
v7 = v6 + 1;
break;
}
}
*((_BYTE *)Dst + v7) = 0;
return Dst;
}
我們看到這里有幾個標志性的符號:
這里出現了0x3F和3,其中0x3F是指的base64中的64個(0-63,共64個)字符集;3是指是三個字節合並。
總結
base64的一些特征:
1.密文中會出現“=”等號。
2.有64個可見字符。
3.代碼中含有0xF、0x3F、0x3等符號(當然如果可以理解代碼就更好了)