新的恶意软件分析，寻找字符串类型列表

Question

正如标题所示，我对恶意软件分析很陌生，当我在一个示例中查看字符串时，我发现了一个在使用+和/(6AAAAABZg+kFjYm2BgAAUegBAAAAw1WL7IPk+等.)之前从未见过的字符串。

我想知道是否有某种类型的列表包含特定类型字符串的示例，比如SGVsbG8=是base64，48 65 6c 6c 6f是十六进制，等等。谢谢!

Answer 1

从+和/可以看出这是每个RFC 4648，4的Base64：

• 字符ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
• 最后填充=，==或者什么都没有。

然后是：

• 二进制01
• 十进制0123456789
• Base16 a.k.a.十六进制：0123456789ABCDEF (不区分大小写) RFC 4648，8
• Base32：
  • RFC 4648，6：and，2-7：ABCDEFGHIJKLMNOPQRSTUVWXYZ234567 (省略0和1)
  • Z-碱-32：ybndrfg8ejkmcpqxot1uwisza234h769
  • 克罗克福德的Base32：0123456789ABCDEFGHJKMNPQRSTVWXYZ +可能的校验和
  • base32hex，RFC 4648，7：0123456789ABCDEFGHIJKLMNOPQRSTUV
  • Geohash：0123456789bcdefghjkmnpqrstuvwxyz (省略a，i，L和o)
  • ...many其他的，有些具有完全重叠的集合，顺序不同

• Base36: 0-9，A：0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
• Base58将0、O、I、l、+和/从Base64中删除，但有变体：
  • 比特币使用的123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz
  • Flickr使用的123456789abcdefghijkmnopqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ

• Base85或Ascii85.不可能在这里格式化，因为里面有"`“。见RFC 1924，4.2。
• URL编码.百分比-从RFC 3986，2.1编码
• 旁码RFC 3492
• 无穷无尽的私有或无文件编码列表..。

正如您已经看到的，只可能排除任意字符串不能是什么，然后对其可能是什么进行有根据的猜测。在此之后，您仍然需要知道编码的内容是否对您有任何意义。由于它完全取决于上下文，所以不可能在Q/A站点上分析这种字符串。

Answer 2

我没有这样的列表，因为它可能很大程度上取决于上下文。如果它属于密码或压缩，那么字节应该是随机的，所以没有列表会有帮助。

但值得知道的是：

• 公共密钥通常以类似的模式开始。
• 密码散列类型也可以猜测。
• 而了解mime类型及其神奇字节对我来说是有用的