Как узнать метод шифрования если есть шифрованный и расшифрованный файл?

Question

[antinet]

Не шифрованный файл
шифрованный файл

Answer 1

[xmoonlight]

Никак, т.к это частный случай функции шифрования.

Answer 2

[d-stream]

Ну если файлы идентичных размеров - можно начать с xor между ними - совсем не исключено что на выходе будет какая-нибудь читаемая фраза типа "Пися камушкин - мегахакер!")

Comments

[xmoonlight]

Вероятность такого: 0.00000000000...0001%

[d-stream]

xmoonlight, нет.
как говорила известная блондинка "50/50"

Answer 3

[Dimonchik]

только нетрадиционными способами

Comments

[xmoonlight]

Не техническими?)

Answer 4

[dollar]

Можно было бы перебором. Так как всего известных алгоритмов шифрования в мире конечное количество, то есть приличный шанс, что использовался один из них. Конечно, он не 100%, но обычно нет смысла изобретать велосипед, который еще и хуже будет работать, так что шанс хороший.

Проблема в том, что для перебора вам нужен ещё и ключ (т.е. простым словами - пароль). Без ключа не получится проверить даже один из известных алгоритмов, ведь потребуется перебрать всевозможные ключи, а их слишком много (не для простых алгоритмов).

Это был подход "в лоб", т.е. исходя из предположения, что зашифрованный файл - это реальный шифр, то есть полная не читаемая каша. Однако есть шанс, и судя по скрину приличный, что в шифре содержатся какие-то намеки, паттерны, подсказки о том, какими свойствами обладает шифр. Можно их изучить, и отталкиваться уже от них.

Например, можно посмотреть частоту встречаемости разных символов. Еще вопрос, что считать символом в этом анализе, но обычно это 1 байт. Может оказаться, например, как это часто бывает, что нулей заметно больше. Возможно, это не до конца спрятанная информация исходного файла, или же это свойство данного конкретного алгоритма шифрования. Есть простор для догадок.

Или можно посмотреть, сгруппированы ли и как именно читаемые символы, составляют ли они слова, или похоже ли они по длине на что-то. Как это интерпретировать - уже задача для вашей фантазии. Просто если это не случайно, то это подсказка, которую можно использовать.

Ну и далее можно продолжать медитировать, думать, разглядывать, гадать, пока не случится инсайт (озарение). И серия таких вот инсайтов может привести вас к ответу, что это за алгоритм. Но гарантии нет. Все найденные закономерности могут быть недостаточными для нахождения ответа, а в худшем случае автор шифра вам просто скармливает эти закономерности, чтобы вам было, чем занять ум. Ведь автор шифра вряд ли хочет, чтобы вы так просто научились извлекать не зашифрованные данные.

В заключении замечу, что самым надежным будет проанализировать (декомпилировать) приложение, которое шифрует, если у вас есть к нему доступ. Но это уже тема за рамками вашего вопроса и данного ответа.

Comments

[xmoonlight]

Так как всего известных алгоритмов шифрования в мире конечное количество,

А кто сказал, что был применён известный алгоритм?)))
Хотя даже в этом случае, вариантов их инкапсуляции - бесконечно.

[dollar]

xmoonlight, читайте дальше, я написал, что вероятность этого не 100%.

[xmoonlight]

dollar, Нет даже смысла в ответе с его КПД меньше 50%.
Произведение количества оговорок в тексте твоего ответа (Есть простор для догадок., Как это интерпретировать - уже задача для вашей фантазии., Но гарантии нет. и т.д.) даёт крайне низкую вероятность успешности достижения цели с помощью применения этого ответа.
Поэтому, без обид... Только факты.

[dollar]

xmoonlight, если вы будете реализовывать шифрование каких-то файлов в своем приложении, вы возьмете известный проверенный алгоритм или будете изобретать свой?

А суть моего ответа выделана жирным. Можно было бы найти алгоритм перебором, но без ключа не получится никак. Это и есть короткий ответ. Остальное - пояснения. Например, про то, что этот алгоритм может быть не общеизвестным, тогда перебор ничего не даст.

[xmoonlight]

dollar, 1. В зависимости от ценности информации, я выберу общеизвестный или изобрету свой.
2. То, что выделено жирным - это не суть, и вот почему.
Перебором - не найдёте никогда алгоритм по одной паре: шифрованный файл и его оригинал.
Ключ/не ключ - вообще роли не играет.
Общеизвестный или нет - тоже, что и ключ.

[dollar]

xmoonlight,

То, что выделено жирным - это не суть, и вот почему.

То, что выделено жирным - это всё же суть моего ответа, и вот почему: это то, что я хотел сказать, даже если я ошибаюсь.

Перебором - не найдёте никогда алгоритм по одной паре

Далее вы пишете не о том, что это не суть, а что вы не согласны с ней. Хорошо, вы имеете право иметь свое мнение. Только я с ним тоже не согласен. Особенно со словом "никогда". Можно даже без шифра, без оригинала и без ключа ткнуть пальцем в небо, сказав "Blowfish" и угадать. Причем, шансы этого не 0.00000000000001%, а побольше (хотя бы потому, что алгоритмов меньше, чем людей в мире).

[xmoonlight]

dollar, Ладно, предлагаю тебе просто как-нибудь попробовать не ошибиться и применить свою логику ответа к реальной задаче. Это будет лучшим доказательством моих слов.

[dollar]

xmoonlight, согласен, в реальной задаче гораздо больше вводных. Хотя бы известно, откуда вообще эти файлы (шифр и оригинал) и нафига искать алгоритм. Ведь если задача расшифровать все такие файлы, то при некоторых условиях это можно сделать, так и не узнав, что за алгоритм использовался. Ну а пока что это не реальная задача, а довольно абстрактный вопрос. И мой ответ был бы другим, будь автор более открытым и щедрым на подробности его ситуации.

[xmoonlight]

dollar, Верно: чем больше шифрованных файлов, тем уже разброс вариантов и тем точнее можно предсказать логику алгоритма шифрования.

Answer 5

[freeExec]

Обычно анализируют не файлы которые шифровались, а программу которая это делала. Как правильно тут заметили, в подавляющем большинстве используют уже готовые алгоритмы и их реализации. И это позволяет нам искать в программе определённые последовательности. А именно, у алгоритмов есть конкретное начальное состояние, его нужно задать в момент инициализации, а следовательно его мы можем найти в программе. Так же в целях оптимизации скорости основные блоки шифрования написаны чуть ли не на ассемблере и почти не отличаются от компилятора к компилятору, их тоже можно идентифицировать.
В тулзе PEiD был как раз такой плагин.