| Сейчас на форуме: testrev1337, vsv1, 2nd, bedop66938 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Архив zip, чем определить прогу-упаковщик? |
| Посл.ответ | Сообщение |
|
|
Создано: 14 марта 2009 09:19 · Личное сообщение · #1 Доброе утро/день/вечер. Необходимо определить чем упакован архив, а именно программу и версию. Архив zip. Есть какие-нибудь инструменты для этого или зацепки?  |
|
|
Создано: 14 марта 2009 09:25 · Личное сообщение · #2 выложи архив,если есть возможность посмотреть ----- Má enginn renna undan því sem honum er skapað |
|
|
Создано: 14 марта 2009 17:18 · Личное сообщение · #3 gegter пишет: Есть какие-нибудь инструменты для этого или зацепки? Нету, zip он и в Африке zip. Архиваторы в архив не пишут чем пожато. А по структуре данных ты не определишь - алгоритм у всех одинаковый. |
|
|
Создано: 14 марта 2009 21:31 · Личное сообщение · #4 Запароленные можно, по некоторым нюансам. Допустим AAPR детектит WinZIP архивы (версии ранее 8.1, по-моему) по уязвимости в алго. |
|
|
Создано: 15 марта 2009 00:13 · Личное сообщение · #5 [offtop]Насрали на коврик. Как узнать национальность и возраст насравшего?[/offtop] А цель сего исследования какова? Может, не с той стороны искать надо? |
|
|
Создано: 15 марта 2009 02:26 · Личное сообщение · #6 напр. для плайн-текст атаки нужен образец пожатый такой же версией - разные версии Винзипа одни и те же файлы с теми же настройками жмут по разному - приходится по очереди жать разными пока не получится подходящий… |
|
|
Создано: 15 марта 2009 07:37 · Личное сообщение · #7 Да, архив запаролен. Для plain-text атаки нужна инфа. Это не вин-зип. |
|
|
Создано: 16 марта 2009 13:17 · Личное сообщение · #8 Alf Для plain-text атаки не нужен тот же архиватор! Где такое вычитал? Для plain-text атаки нужен кусок распакованых данных находящихся внутри ломаемого архива. Например тот же AZPR www.elcomsoft.ru/archpr.html пишет что ему нужно только один из файлов находящихся внутри архива для взлома архива целиком. ----- Computer Security Laboratory |
|
|
Создано: 16 марта 2009 13:39 · Личное сообщение · #9 RUNaum пишет: Допустим AAPR детектит WinZIP архивы (версии ранее 8.1, по-моему) по уязвимости в алго да. не детектит даже, а пароль любой длины находит. Только в архиве должно быть не менее 5 файлов. |
|
|
Создано: 16 марта 2009 13:50 · Личное сообщение · #10 цитата из оригинальной статьи: ... "You need two files: a) the ZIP-archive which you want decrypted, and b) another ZIP-archive, containing at least one of the files from the encrypted archive in *unencrypted* form. This one has to be compressed with the same compression method used for the encrypted file." правда с тех пор может все изменилось |
|
|
Создано: 16 марта 2009 14:39 · Личное сообщение · #11 Архиватор не нужен, но нужно знать алго сжатия 
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 17 марта 2009 13:10 · Личное сообщение · #12 Формат ZIP вроде как един... Имеет смысл копать только в сторону версии спецификации, которая скорее всего либо последняя (6.3.2 вроде) либо что-то в этом роде.. |
|
|
Создано: 17 марта 2009 15:55 · Личное сообщение · #13 [HEX] нужно не просто один из файлов, а чтобы он был пожат так же как и файл в архиве. проще говоря есть максимальное сжатие, обычное и т.д. если сжатие не известно, то перебирать упаковщики и параметры сжатия. |
|
|
Создано: 17 марта 2009 23:15 · Личное сообщение · #14 ИМХО версия спецификация не поможет - тот же 7-zip жмет zip на 10% сильнее (т.е. по другому) не нарушая никаких спецификаций формата ЗЫ кстати если в атакуемом архиве файлы по папкам разбросаны, то и в референсном архиве должны лежать в таких же папках |
|
|
Создано: 19 марта 2009 13:37 · Поправил: Wyfinger · Личное сообщение · #15 Сегодня случайно заметил - WinRar при упаковке в режиме Zip помимо самих файлов добавляет еще записи о каталогах, не знаю как WinZip и другие, но вот Word 2007 сохраняет в формат *.docx (это zip архив с xml содержимым) таких записей не добавляет. add: Кстати на счет формата zip, который использует Word 2007 - он не распаковывается некоторыми библиотеками, построенными на базе zlib, в то время как WinRar стандартное расширение эксплорера работает с ними отлично. |
|
|
Создано: 19 марта 2009 15:23 · Поправил: [HEX] · Личное сообщение · #16 Wyfinger Возможно WinRar и Word разными версиями реализации пакуют. www.pkware.com/documents/casestudies/APPNOTE.TXT gegter Да действительно  Скачал AAPR и в его хелпе уже более подробно описано про атаку.
Так что если нет не пошифрованого архива от того же автора, то придется банально сидеть перебирать архиваторы и методы сжатия. Хотябы пройтись по основным архиваторам с дефолтовыми настройками. ----- Computer Security Laboratory |
|
|
Создано: 21 марта 2009 09:58 · Личное сообщение · #17 придется банально сидеть перебирать архиваторы и методы сжатия в этом и суть темы. может уже есть зацепки или анализаторы, чтобы не вручную. сам не нашел. |
|
|
Создано: 21 марта 2009 19:14 · Личное сообщение · #18 Есть пара полей в структуре Zip архива, которые тоже могут помочь, возьмите к примеру библиотеку SciZipFile http://www.torry.net/vcl/compress/std/SciZipFile0.2.zip : TFileHeader.VersionMadeBy для каждого файла в архиве и TCommonFileHeader.VersionNeededToExtract для архива вцелом. Воследнее поле я не встречал отличным от 20, хотя может таковые и есть, а первое - может меняться. В любом случае, какой-то шанс отличить один архиватор от другого анализируя служебные структуры, а не сжатый поток данных, наверное есть. Впрочем, насколько я помню, (хотя я могу ошибаться) zip основан на LZW, покрытого потом Хаффманом. Можно делать какие-то выводы по формату словаря LZW - он может заполняться по разному, при этом одинаково распаковываясь стандартным методом. |
|
|
Создано: 21 марта 2009 20:34 · Личное сообщение · #19 www.info-zip.org/ UnZip - for extracting and viewing files in .zip archives. Also includes: ZipInfo - for detailed zipfile information ----??????? ..... |
|
|
Создано: 21 марта 2009 21:01 · Личное сообщение · #20 Wyfinger пишет: Впрочем, насколько я помню, (хотя я могу ошибаться) zip основан на LZW, покрытого потом Хаффманом. Можно делать какие-то выводы по формату словаря LZW - он может заполняться по разному, при этом одинаково распаковываясь стандартным методом. Хаффмана там нету, только LZW. И со словарём ничего не получится, он в файле не хранится - динамически восстанавливается при распаковке. В этом и одно из преимуществ алгоритма. Это разве что самому распаковывать, по ходу восстанавливая словарь, и как-то анализировать характер его заполнения. Но по-моему это безперспективно. |
|
|
Создано: 22 марта 2009 03:52 · Личное сообщение · #21 cppasm пишет: И со словарём ничего не получится, он в файле не хранится - динамически восстанавливается при распаковке. В этом и одно из преимуществ алгоритма. Это разве что самому распаковывать, по ходу восстанавливая словарь, и как-то анализировать характер его заполнения. Я знаю, словарь динамический. И имел ввиду распаковывать и анализировать получившийся словарь. Конечно сложно, но а другого выхода нет. |
|
eXeL@B —› Крэки, обсуждения —› Архив zip, чем определить прогу-упаковщик? |
Для печати