**** 此帖子链接到基于 Windows 的恶意软件可执行文件!请勿执行解码的样本 ****
我希望我可以在这里发布它而不会被撤下。
我有 2 个看似相同的 base64 编码文件。第一个是我手动复制的。第二个是通过脚本下载的。我使用 cmp 尝试查找任何差异。我没有在文件中看到任何差异......除了......
我手动复制的文件添加了超过 1200 行的 base64 编码文本。通过脚本下载的文件只添加了 1 行的 base64 编码文本。
当我针对手动创建的文件运行 base64 -d 命令时,我将解码后的文本放入存档文件中
当我对脚本创建的文件运行 base64 -d 命令时,出现此错误:
base64:无效输入
以下是 1 行 base64 编码的文本(保存为:Note_3316_copy): http://pastebin.com/Qs35MkS1
以下是1200行的base64编码文本(保存为:order_id): http://pastebin.com/H3BNcQdf
此代码在 1200 行代码上运行:
base64 -d order_id > order_id3.zip
此代码在第一行代码上不起作用
base64 -d Note_3316_copy > note.zip
有人知道为什么这不起作用吗?
答案1
该 1-liner 并非实际的单行代码,但包含转义字符(代表性样本):
hQ0MjO4DGWN\/Czoj8IR\/LX1z8\ne+M
被\转义了,换行符 ( \n) 也是如此。我猜这就是导致错误的原因。修复您的脚本。
$ curl 'http://pastebin.com/raw.php?i=Qs35MkS1' -s | sed 's/\n//g;s;\\;;g' | base64 -d > blah.zip
$ curl 'http://pastebin.com/raw.php?i=Qs35MkS1' -s | base64 -d > blah.zip
base64: invalid input