为什么有些ransomware会在标题中添加填充内容
为什么有些ransomware会在标题中添加填充内容
提问于 2023-04-08 12:10:31
有谁知道为什么有些赎金家庭(例如古巴,但如果我没有弄错的话,还有火卫一)把文件头压到1024字节?
我的意思是,ransomware开发人员不仅要加密整个文件,还要添加填充以达到一定的标题大小,这是什么原因呢?
在加密文件之前,古巴ransomware为1024字节标头,前256个字节为字符串FIDEL.CA和一些DWORD字节值,接下来的512个字节为加密的ChaCha20密钥/IV和公钥RSA密钥,其余为0。
我明白他们为什么要添加FIDEL.CA标志和密钥,但是为什么要添加额外的填充呢?标题是1024字节,重要的是什么?
回答 1
Security用户
回答已采纳
发布于 2023-04-08 12:49:33
这样解密过程就知道从哪里开始了。如果添加的报头是可变长度的,解密过程如何知道从何处删除添加的报头以及从何处开始解密?如果没有预先确定的标头长度,则必须在某个地方记录实际标头长度。
因此,使用标准的标头长度,解密过程变得简单明了:取前1024字节,检查标志,获取密钥,解密文件的其余部分。
是的,可以使用其他方法,比如分隔符,但是预先确定的标头长度是一个非常好的设计模式。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/269592
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号