xortool是一个多字节异或加密破解工具。作者只是适配了linux版,在Windows下使用会导致保存文件错误,因为Windows会把 转成 ,加密和解密都乱了。而且命令还和readme不一致。
我做了稍许的修改,修复了这两个问题,并且不用安装,就可以在win下使用。
1. 在github下载https://github.com/raddyfiy/xortool-for-Windows
注意:如果Windows原本装了作者原版,应该先卸载。下载完win版后把它解压,放在一个固定的目录。
2.使用:
主要是这两个文件,xortool-xor.py负责加密,xortool.py负责分析和解密。text目录是测试示例。
需要python2。在使用过程中如果缺什么模块就自己装,pip install 模块名
3.加密命令示例:
python xortool-xor.py -f ./text/cmd.exe -s "secret_key" -n -o binary_xored_cmd
-f表示待加密的原文件,-s是密钥,-o是输出文件
注意,必须加上-n保证加密内容就是原本文件,不然会把原本文件加个-n再加密,这样解密出来的文件会多个 。我不清楚作者为什么这么设计,但还是保留了下来。
输出文件用-o来指定,不要用作者的>重定向来保存,这是win版最大的区别。
上述代码是加密二进制文件的示例,还可以加密字符串,具体的看xortool-xor.py的帮助说明
4.分析文件示例:
python xortool.py binary_xored_cmd
可以看到长度为10的概率最大。
5.解密文件示例:
python xortool.py binary_xored_cmd -l 10 -c 00
其中-l就是指定密钥长度,-c表示出现频率最高的字符。这个需要根据经验,比如文本内容一般是空格(20),二进制文件一般是00
7.解密后的文件在xortool_out文件夹里存放着,可以对比一下原文件与解密后的文件MD5,发现是一样的:
D:xortool >certutil -hashfile text/cmd.exe MD5 MD5 哈希(文件 text/cmd.exe): a6 17 7d 08 07 59 cf 4a 03 ef 83 7a 38 f6 24 01 D:xortool >certutil -hashfile xortool_out/0.out MD5 MD5 哈希(文件 xortool_out/0.out): a6 17 7d 08 07 59 cf 4a 03 ef 83 7a 38 f6 24 01
预告:兼容python3的版本也要即将发布,等作者发布后我再同步更新。
有什么问题可以联系我