@NSYjMwkPTgQDE0JacCYoMTYDFU0GGg== Здесь зашифрован email (не спам контент, сразу говорю). Помогите разобраться что это. Base64 не декодируется (без префикса '@' тоже пробовал). В программе, которая работает с подобными данными KANAL (PeID) ничего не нашел кроме crc/zlib. Возможно какая-то байт-модификация после Base64, но не смог выявить.
Обратите внимание на постфикс (=/==), он достаточно характерен. Префикс '@' с большой вероятностью не несет информации. Я вытащил несколько пар, возможно это облегчит ситуацию. 'sch100[at]aaanet.ru' -> '@NCo4aVZRIxUOE19LRGk7JQ==' 'triton-rnd[at]bk.ru' -> '@Mzs5LAkPTgYBFnFMW2k7JQ==' 'mail_sever[at]aaanet.ru' -> '@Kig5NDkSBgIKAHFPUSYnNSxIExY=' * без кавычек * [at] ->@ Update: Видно, что в первых двух парах одинаковое кол-во символов в почтовом ящике, в итоге '.ru' дает одинаковую оконцовку в шифре 'k7JQ'
откуда такая уверенность что там 100% эмэйл? моэжет там эмэйл ксореный однобайтовым ключем а от него взят бейс64
<b>PaCHER</b> не исключены модификации. Первым делом решил проверить байт-модификации, сделал base64 decode от 10 шифров. Оперся на поиск '@', который должен присутствовать в каждой строке, закономерности найдено не было. Исходя из того, что для равнодлинных мыл имеем одинаковый tail можно быть уверенными что дальше примитивных (побайтных) модификаций не ушли (если они и были). Что эта строка 100% обратно декодируется в email без дополнительной информации со стороны - гарантирую.
Ситуация решаема, однозначно. Маркером выделены фрагменты, которые могут дать зацепку в плане анализа. Помогите сложить все воедино. Там debase64 + original. Что мы имеем (основы, которые помогут вытащить): 1. Одинаковый tail шифра у email'ов одинаковой длины (значит не более чем байт-модификация одинаковым для всех ключом) 2. Четко видна закономерность байт модификации (на картинке), но не могу уложить ее пока математически.
Преобразование мыла в конечную строку: мыло xor'ится со строкой "GIPXfactor1.0" (без кавычек, циклически повторяемой при необходимости), кодируется в Base64, в начале приписывается @. Исходный email для строки из первого поста: roskon-plast на aaanet.ru. P.S. Для справки: длина Base64-encoded строки всегда делится на 4, а @ в возможные 64 символов Base64-encoded строк не входит. Так что можно было и не пытаться считать @ частью строки.
