Меня поразила программа-вымогатель, которая шифрует первые 512 байт в верхней части файла и помещает их в конец. Глядя на зашифрованный текст, кажется, что это какой-то тип шифра XOR. Я знаю весь простой текст одного из зашифрованных файлов, поэтому теоретически я решил, что смогу обработать его, чтобы получить ключ для расшифровки остальных моих файлов. Что ж, мне очень тяжело с этим, потому что я не понимаю, как создатель это сделал на самом деле. Я думаю, он воспользуется двоичным читателем, чтобы прочитать первые 512 байтов в массив, выполнить XOR и заменить его. Но означает ли это, что он произвел XOR в HEX? или десятичный? Я очень запутался на этом этапе, но я считаю, что просто что-то упускаю.
Я пробовал Xor Tool с python, и все, что он пытается взломать, выглядит бессмысленным. Я также пробовал сценарий Python под названием Unxor, которому вы передаете известный простой текст, но файл дампа, который он выводит, всегда пустой.
Хороший дамп файла заголовка: Good-Header.bin а>
Дамп зашифрованного файла заголовка: Enc-Header.bin
Возможно, это не лучший пример файла, чтобы увидеть шаблон XOR, но это единственный файл, который у меня есть, который также имеет исходный заголовок 100% до шифрования. В других заголовках, где есть больше изменений, зашифрованный заголовок изменяется вместе с ним.
Есть какие-нибудь советы по поводу метода, который я должен попробовать, или приложения, которое я должен использовать, чтобы попробовать и дальше? Большое спасибо за Вашу помощь!
P.S Stackoverflow кричал на меня, когда я пытался опубликовать 4 ссылки, потому что я такой новый, поэтому, если вы предпочитаете видеть шестнадцатеричные дампы на pastebin, чем загружать файлы заголовков, пожалуйста, дайте мне нет. Файлы никоим образом не являются вредоносными и представляют собой только извлеченные 512 байт, а не целый файл.