头部的"CF10"似乎是一个私自添加的标记,用于表示文件的其余部分被"编码"了。这是一种非常简单的异或编码:xor 8Dh
是我尝试的第一个值,而且我第一次就成功了。之所以首先尝试该值的原因是,该值8D
在前100个字节左右经常出现,在那里通常会有很多零。
"解密"非常简单:如果文件以四个字节CF10
开头,删除它们并对文件的其余部分应用xor 8Dh
。解码文件显示,第一个"JPG"实际上是一个微小的PNG图像(而且也不是很有趣),第二个确实是一个PNG文件:
文件扩展名可能是原始的,也可能不是;一个样本称为".jpg"的文件实际上也是一个PNG文件,可以从其头部签名看出来。
以下快速和肮脏的C源代码将解码图像。同样的程序也可以调整为编码它们,因为xor
操作完全相同。唯一需要的是添加一些逻辑流程:
- 读取输入文件的前4个字节(最多)并测试是否形成字符串
CF10
- 如果不是,则文件未被编码:
a. 将CF10
写入输出文件
b. 对每个字节应用xor 8Dh
来编码图像
- 如果是这样,
b. 对每个字节应用xor 8Dh
进行解码。
如您所见,没有"3a",而且两个"b"步骤是相同的。
#include <stdio.h>
#include <string.h>
#ifndef MAX_PATH
#define MAX_PATH 256
#endif
#define INPUTPATH "c:\\documents"
#define OUTPUTPATH ""
int main (int argc, char **argv)
{
FILE *inp, *outp;
int i, encode_flag = 0;
char filename_buffer[MAX_PATH];
char sig[] = "CF10", *ptr;
if (argc != 3)
{
printf ("usage: decode [input] [output]\n");
return -1;
}
filename_buffer[0] = 0;
if (!strchr(argv[1], '/') && !strchr(argv[1], 92) && !strchr(argv[1], ':'))
strcpy (filename_buffer, INPUTPATH);
strcat (filename_buffer, argv[1]);
inp = fopen (filename_buffer, "rb");
if (inp == NULL)
{
printf ("bad input file '%s'\n", filename_buffer);
return -2;
}
ptr = sig;
while (*ptr)
{
i = fgetc (inp);
if (*ptr != i)
{
encode_flag = 1;
break;
}
ptr++;
}
if (encode_flag)
{
fseek (inp, 0, SEEK_SET);
printf ("encoding input file: '%s'\n", filename_buffer);
} else
printf ("decoding input file: '%s'\n", filename_buffer);
filename_buffer[0] = 0;
if (!strchr(argv[2], '/') && !strchr(argv[2], 92) && !strchr(argv[2], ':'))
strcpy (filename_buffer, OUTPUTPATH);
strcat (filename_buffer, argv[2]);
outp = fopen (filename_buffer, "wb");
if (outp == NULL)
{
printf ("bad output file '%s'\n", filename_buffer);
return -2;
}
printf ("output file: '%s'\n", filename_buffer);
if (encode_flag)
fwrite (sig, 1, 4, outp);
do
{
i = fgetc(inp);
if (i != EOF)
fputc (i ^ 0x8d, outp);
} while (i != EOF);
fclose (inp);
fclose (outp);
printf ("all done. bye bye\n");
return 0;
}