某加密样本 Trace分析 - 2

Security Classification: 【C-1】 | Publish Time:2024-02-20 | Category:Test Notes | Edit | Comment

Expiry Notice: The article was published three months ago. Please independently assess the validity of the technical methods and code mentioned within. :)

AI Info

AI Point: 95
AI Summary: 本文通过动态 Trace 分析，成功定位到 Mach-O 文件在内存中的明文数据，并验证其 MD5 哈希过程为标准实现。分析揭示了明文来源地址、魔数识别及哈希验证的关键步骤，确认样本未对 MD5 算法进行篡改。
AI Evaluation: 文章逻辑清晰，技术细节丰富，结合汇编指令与内存分析精准定位明文来源，并通过 CyberChef 验证哈希一致性，结论可靠。图片引用恰当，代码片段格式规范，整体分析深入且具有实际逆向工程价值。唯一可优化之处为部分图片链接可考虑本地化处理以提升可读性。

## 基础信息

加密结果： 7fdf80a3bab0a71cc16aac6f71a9448e 
可以在trace中找到md5魔数和k表。

## 找到明文入参

之前的文章说过

![](https://img.meituan.net/imgupload/78922daf29b91903af43c97b8e39734857951.png)

那么实际上 0xffffff进行 add运算时，可能就是第一轮运算的明文的第一个

![](https://img.meituan.net/imgupload/b76f7799f7306cb9d54a8d9ec517c50e135026.png)

说明 进行相加的明文的第一个分组的m[0] 是 0xfeedfacf

![](https://img.meituan.net/imgupload/ad6353b25d62112d3b65c5c9905fcd91110022.png)

谷歌能知道是Mach-O文件的魔数头

```
[0xd32e04c]	0x10e60604c	ldr w16, [x1];                	# r[ x1=0x11f4ac000, ] w[ x16=0xfeedfacf, ]
[0xd32e050]	0x10e606050	str w16, [x0, #0x58];         	# r[ x0=0x17027a4c0, ] r[ x16=0xfeedfacf, ]
```

这条指令是一个加载指令，它从内存地址x1指向的位置加载一个字（word，32位）到寄存器w16中。

x1的值为0x11f4ac000，指令执行后，w16被加载的值是0xfeedfacf。说明明文message来源在0x11f4ac000，找找线索。看到对0x11f4ac000进行数据装载操作的指令有大量的0填充。

![](https://img.meituan.net/imgupload/3e234e35d4b286de1436db2eab5ca073212601.png)

此处看到是feedfacf ，恰好是明文前几个字节。说明这个地址在开始进行明文填充，并加载到内存上了。一直到填充结束的位置。copy table到新的log文件，使用python正则匹配

![](https://img.meituan.net/imgupload/e9352343a03db40ad736cfed345b0fe3281279.png)

![](https://img.meituan.net/imgupload/4e51abaa2fc5a4cef6d989e2cc1aa9ea64375.png)

使用cyberchef进行哈希，结果一致。证明md5没有做魔改

![](https://img.meituan.net/imgupload/4c4cd543d788b46cea500ba4fc3fcedf108414.png)

## 结论

样本在对Mach-O文件获取md5值。

Comment List

Comment

AI助手回复

内容添加 @depybot 可召唤AI机器人回复。此操作将自动公开评论内容,如涉及敏感信息请勿使用,如有需要请联系站长删除

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

『📕Category 』

某加密样本 Trace分析 - 2

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint