Case 004: มาในรูปแบบ Base64

จาก Wiki Opensource

ปัญหา : จดหมายขยะ เมื่อมองด้วยตา จะเห็นหน้าตาอย่างนี้

Perfectnow-email.jpg

แต่เบื้องหลัง เมื่อดู Source ของมัน จะพบว่าเป็น Base64 หน้าตาอย่างนี้

 oA0KoA0KodS5wtGn5KcgPyAuLi7kwejjy+mgICoqzekgxyC5ICoqDQqgDQogPGh0dHA6Ly93d3cu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 

แนวทางการแก้ปัญหา:

   สังเกตุเห็นชื่อ URL ของจดหมายขยะ http://perfectnow.co.cc ถ้าเป็น Base64 จะมีหน้าตาอย่างไร ?

   ใช้คำสั่ง

echo -n "http://www.perfectnow.co.cc" | base64   

   ผลที่ได้คือ

aHR0cDovL3d3dy5wZXJmZWN0bm93LmNvLmNj

  ซึ่งจะนำไปหาในจดหมายนี้ จะไม่เจอ (อาจเป็นเพราะมีการตัดคำขึ้นบรรทัดใหม่) จึงลองใช้คำสั่งเหล่านี้ (สังเกตุว่า การตัดคำต่างตำแหน่งกัน จะได้ผลไม่เหมือนกัน)

# echo -n "http://www.perfectnow.co.cc" | base64
aHR0cDovL3d3dy5wZXJmZWN0bm93LmNvLmNj
# echo -n "http://www.perfectnow.co" | base64
aHR0cDovL3d3dy5wZXJmZWN0bm93LmNv
# echo -n "http://www.perfectnow" | base64
aHR0cDovL3d3dy5wZXJmZWN0bm93

  จึงพบว่า ตัดคำตรงที่ http://www.perfectnow  จึงใช้สูตรนี้

/aHR0cDovL3d3dy5wZXJmZWN0bm93/    DISCARD www.perfectnow-spam