‘壹’ 如何分析apk用户密码加密算法
我们通过某APK代码安全免费检测平台,对这款手机软件进行了APK的源代码安全分析检测。可以看出这款手机软件未做很高级的加密保护,只是对APK进行了混淆源码和防二次打包的基础加密保护。下面我们通过对APK的源代码分析,看一下这款手机软件的安全如何!
首先,我们来分析下防二次打包加密保护,我们先去网上找到这款Android APK的安装包。然后对这款手机软件进行:解包-->打包-->安装-->运行,发现当我们登录的时候会提示签名信息不一致,导致不能登录!经过分析发现他是将apk的签名信息,上传到服务器然后进行验证,这时我们需要找到他获取签名信息的地方,如下图:
Ok,获取签名信息的方法已经拿到,现在我们要做的是把他这个签名信息换做我们从原包里边获取的签名字符串,如下图:
(到这一步就可以绕过这款APK的二次打包防护了,这样我们就可以登录了!)
4
其次针对这种社交类APK,用户的账号密码也是很重要的,下边我们就来分析一下怎样获取用户的账号密码,如下图:
(这样就可以轻松随意的拿到用户的账号密码。)
‘贰’ 区块链密码算法是怎样的
区块链作为新兴技术受到越来越广泛的关注,是一种传统技术在互联网时代下的新的应用,这其中包括分布式数据存储技术、共识机制和密码学等。随着各种区块链研究联盟的创建,相关研究得到了越来越多的资金和人员支持。区块链使用的Hash算法、零知识证明、环签名等密码算法:
Hash算法
哈希算法作为区块链基础技术,Hash函数的本质是将任意长度(有限)的一组数据映射到一组已定义长度的数据流中。若此函数同时满足:
(1)对任意输入的一组数据Hash值的计算都特别简单;
(2)想要找到2个不同的拥有相同Hash值的数据是计算困难的。
满足上述两条性质的Hash函数也被称为加密Hash函数,不引起矛盾的情况下,Hash函数通常指的是加密Hash函数。对于Hash函数,找到使得被称为一次碰撞。当前流行的Hash函数有MD5,SHA1,SHA2,SHA3。
比特币使用的是SHA256,大多区块链系统使用的都是SHA256算法。所以这里先介绍一下SHA256。
1、 SHA256算法步骤
STEP1:附加填充比特。对报文进行填充使报文长度与448模512同余(长度=448mod512),填充的比特数范围是1到512,填充比特串的最高位为1,其余位为0。
STEP2:附加长度值。将用64-bit表示的初始报文(填充前)的位长度附加在步骤1的结果后(低位字节优先)。
STEP3:初始化缓存。使用一个256-bit的缓存来存放该散列函数的中间及最终结果。
STEP4:处理512-bit(16个字)报文分组序列。该算法使用了六种基本逻辑函数,由64 步迭代运算组成。每步都以256-bit缓存值为输入,然后更新缓存内容。每步使用一个32-bit 常数值Kt和一个32-bit Wt。其中Wt是分组之后的报文,t=1,2,...,16 。
STEP5:所有的512-bit分组处理完毕后,对于SHA256算法最后一个分组产生的输出便是256-bit的报文。
2、环签名
2001年,Rivest, shamir和Tauman三位密码学家首次提出了环签名。是一种简化的群签名,只有环成员没有管理者,不需要环成员间的合作。环签名方案中签名者首先选定一个临时的签名者集合,集合中包括签名者。然后签名者利用自己的私钥和签名集合中其他人的公钥就可以独立的产生签名,而无需他人的帮助。签名者集合中的成员可能并不知道自己被包含在其中。
环签名方案由以下几部分构成:
(1)密钥生成。为环中每个成员产生一个密钥对(公钥PKi,私钥SKi)。
(2)签名。签名者用自己的私钥和任意n个环成员(包括自己)的公钥为消息m生成签名a。
(3)签名验证。验证者根据环签名和消息m,验证签名是否为环中成员所签,如果有效就接收,否则丢弃。
环签名满足的性质:
(1)无条件匿名性:攻击者无法确定签名是由环中哪个成员生成,即使在获得环成员私钥的情况下,概率也不超过1/n。
(2)正确性:签名必需能被所有其他人验证。
(3)不可伪造性:环中其他成员不能伪造真实签名者签名,外部攻击者即使在获得某个有效环签名的基础上,也不能为消息m伪造一个签名。
3、环签名和群签名的比较
(1)匿名性。都是一种个体代表群体签名的体制,验证者能验证签名为群体中某个成员所签,但并不能知道为哪个成员,以达到签名者匿名的作用。
(2)可追踪性。群签名中,群管理员的存在保证了签名的可追踪性。群管理员可以撤销签名,揭露真正的签名者。环签名本身无法揭示签名者,除非签名者本身想暴露或者在签名中添加额外的信息。提出了一个可验证的环签名方案,方案中真实签名者希望验证者知道自己的身份,此时真实签名者可以通过透露自己掌握的秘密信息来证实自己的身份。
(3)管理系统。群签名由群管理员管理,环签名不需要管理,签名者只有选择一个可能的签名者集合,获得其公钥,然后公布这个集合即可,所有成员平等。
链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径,推进专业学位研究生产学研结合培养模式改革,构建应用型、复合型人才培养体系。
‘叁’ 知道了密文如何判断所采用的加密算法
这个没法判断吧!
如果知道密钥的话,还可以用各种密码算法来试试看!
‘肆’ 知道密码,但不知使用的加密算法,如何解密
把你那个什么文件的用你那个什么软件打开
用软件把文件加载进去
用OD分析他的算法流程,直接就得到解密算法了
前提是他编程编的够傻
能直接给你看得出
‘伍’ 有多少种密码方式除了摩斯密码外还有什么密码
1、RSA算法密码
RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。
2、ECC加密法密码
ECC算法也是一个能同时用于加密和数字签名的算法,也易于理解和操作。同RSA算法是一样是非对称密码算法使用其中一个加密,用另一个才能解密。
3、三分密码
首先随意制造一个3个3×3的Polybius方格替代密码,包括26个英文字母和一个符号。然后写出要加密的讯息的三维坐标。讯息和坐标四个一列排起,再顺序取横行的数字,三个一组分开,将这三个数字当成坐标,找出对应的字母,便得到密文。
4、栅栏加密法密码
栅栏加密法是一种比较简单快捷的加密方法。栅栏加密法就是把要被加密的文件按照一上一下的写法写出来,再把第二行的文字排列到第一行的后面。
5、针孔加密法密码
这种加密法诞生于近代。由于当时邮费很贵,但是寄送报纸则花费很少。于是人们便在报纸上用针在需要的字下面刺一个孔,等到寄到收信人手里,收信人再把刺有孔的文字依次排列,连成文章。
‘陆’ 如何破解密码:识别加密哈希算法
答:假设你想要查看从外部源来的数据包(可能已用几个方法加密),并且想用正确的解密工具来解密数据包。第一种答案是“可以”,第二种答案是“这可能是一个非法的活动。”在许多国家,逆向工程保护机制(如加密)是非法的。
尽管如此,如果你还想继续,你可以在十六进制编辑器里查看二进制文件(DLL, EXE等),它可能会显示一个字符串,表示一个特定的加密哈希算法。你还可能发现一个字符串,指示特定的第三方加密库。
另外还要检查DLL的名称。如果存在ssleay.dll或libeay.dll,那么很容易知道该数据包是用SSL加密的。如果加密使用一个第三方库,那么就可以查找该库导出的功能,看它们采用的是什么参数,以及它们是如何使用的。然后,你可以捕获你感兴趣的调用:例如,用LIBeay或SSLeay,你可以看ssl_read和ssl_write。这样你就可以访问纯文本,然后就可以开始转存整个会话,审查原始协议。
如果加密看起来是内置于可执行文件,或加密作家使用他或她自己的代码,那么你需要用调试器来探测,查明在socket read后,数据去哪了。这应该可以帮助您找到解密例程。记住,这些活动要求你有相当广泛的调试工具和可执行编辑的经验,所以如果你不熟悉这些,那么我最后的答案是“不能”。
‘柒’ 知道密码,但不知使用的加密算法,如何解密
n=p*q=5*11=55
z=4*10=40
e*d mod z=1
3*d mod 40=1
d=27
公开密钥=(n,e)=(55,3)
私密密钥=(n,d)=(55,27)
C=m的e次方 mod n=14
M=c的d次方 mod n
设m为要传送的明文,利用公开密钥(n,e)加密,C为加密后的密文。
则加密公式为:C=m的e次方 mod n,(0<=c<n)
利用秘密密钥(n,d)解密,则解密公式为:m=c的d次方 mod n(0<=m<n)