Как вытащить zip-архив из SFX-zip?

Сейчас на форуме: Magister Yoda, site-pro, Rio, johnniewalker (+4 невидимых)

Посл.ответ	Сообщение
Solidgrasp Ранг: 1.3 (гость), 3thx Активность: 0=0 Статус: Участник	Создано: 22 июля 2012 09:20 · Личное сообщение · #1 Приветствую, уважаемое сообщество. Нашел несколько смежных тем, но не удовлетворил свое любопытство. Имеется SFX-zip архив, вообщем платник - типа отправь смс и получи код. Достоверно известно, что не пустышка. Universal Extractor просит пароль при извлечении файлов. Хотелось бы провести plaintext атаку на архив, так как у меня есть отдельные незаархивированные файлы из этого архива, но AAPR пишет, что файл не является архивным, хотя в описании программы указано, что она работает с SFX-zip. Есть предположение, что если снять заголовок SFX с файла и выцарапать сам zip-архив, то plaintext-атака может получиться. Собственно вот и вопрос, как выцарапать zip-архив из SFX-zip файла.

ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 22 июля 2012 10:06 · Личное сообщение · #2 Solidgrasp пишет: "Достоверно известно, что не пустышка." - уже отправил СМС и получил код?
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 22 июля 2012 10:29 · Личное сообщение · #3 Solidgrasp Архивы обычно хранятся либо в оверлее , либо в ресурсах Если UniExtract просит пароль, значит архив лежит в открытом виде (т.е сигнатура будет стандартная). Хотя не исключён вариант с фейковым архивом как раз для всяких уни-экстракторов Ищи подозрительно большие массивы бинарных данных Если нашел в оверлее - лови вызов CreateFile, и жди, пока он дочитает себя до сигнатуры архива Если нашел в ресурсах - лови FindResource/LoadResource Удачи! она тебе очень пригодится \| Сообщение посчитали полезным: TLN
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 22 июля 2012 10:56 · Личное сообщение · #4 Открываешь в любом hex редакторе, переходишь в конец MZ файла, ищешь там сигнатуры Rar!, PK, 7z или даже MZ, и все что выше отрезаешь.
Dart Raiden Ранг: 81.6 (постоянный), 102thx Активность: 0.06↘0.02 Статус: Участник	Создано: 22 июля 2012 12:08 · Поправил: Dart Raiden · Личное сообщение · #5 Может это и не sfx-zip вообще, зачастую там exe-шник с гуем, стилизованным под. Возможно, будет полезным - http://forum.ru-board.com/topic.cgi?forum=55&topic=10563
sivorog Ранг: 49.7 (посетитель), 19thx Активность: 0.05↘0 Статус: Участник	Создано: 22 июля 2012 12:10 · Личное сообщение · #6 Solidgrasp попробуй ExeInfoPE, Rip -> BIN archives у меня еще бывало так: закачивал я ZipMonstr архив, как раз о них ты, наверно, говоришь 99% скачал - НОД32 обрубает и говорит, что "Packed.ZipMonstr.C" или типа того из карантина вынаешь - последних 50-100 байт нет, поэтому не все проги корректно опознают zip а с выключенным НОД'ом закачаю опять - целый. потом открыл в WinRAR, он сказал "SFX ZIP архив" и "Размер SFX модуля -" ну, например, 2456789 байт открываю монстра (исходный SFX архив) в любом Hex Editor'е (WinHex, ...) дохожу до указанного байта (в данном случае будет 2456789d = 257CD5h), выделяю до начала, отрезаю, сохраняю файл как ZIP ...и если повезло с plaintext файлом, то конкретно для ZIP архивов - они всегда начинаются с PK, т.е. с байтов 50 4B, и если файлов в архиве несколько, то они и повторятся неск. раз далее по ходу файла
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 22 июля 2012 15:32 · Личное сообщение · #7 Посмотрите эту тему http://forum.ru-board.com/topic.cgi?forum=55&topic=10563#1 там выкладывали и брутфорсеры и универсальные ключи и тулзы для выдерания рабочих архивов.
Solidgrasp Ранг: 1.3 (гость), 3thx Активность: 0=0 Статус: Участник	Создано: 22 июля 2012 16:02 · Личное сообщение · #8 ELF_7719116 пишет: "Достоверно известно, что не пустышка." - уже отправил СМС и получил код? СМС не отправлял. А почему не пустышка знаю точно, просто секрет это. ))) Veliant пишет: ищешь там сигнатуры Rar!, PK, 7z или даже MZ, и все что выше отрезаешь. сигнатур PK около 10 в файле, а если отрезать все что выше, то правда ли то, что все что останется ниже и есть архив в чистом виде? Сомневаюсь. А MZ может быть? В самораспаковывающемся архиве еще один self-extract архив? Dart Raiden пишет: Возможно, будет полезным - http://forum.ru-board.com/topic.cgi?forum=55&topic=10563 Большущее спасибо Dart Raiden! То что надо. Пофиксил архив с помощью DiskInternals ZIP Repair, теперь он хоть стал определятся AAPR как архив. Пока брутфорс поставил, только завтра plain-text смогу проверить. Если не выйдет попробую и метод sivorog-а. Завтра отпишусь.
Solidgrasp Ранг: 1.3 (гость), 3thx Активность: 0=0 Статус: Участник	Создано: 22 июля 2012 16:03 · Личное сообщение · #9 Vovan666 - тезка, спасибо!
Solidgrasp Ранг: 1.3 (гость), 3thx Активность: 0=0 Статус: Участник	Создано: 23 июля 2012 13:36 · Личное сообщение · #10 Помогла обработка SFX-zip с помощью программы ZIP Repair и последующий plaintext. Всем участвующим и сочувствующим спасибо! Можно закрывать тему. Хотя это у меня прокатило потому что есть известный файл - можно тогда и не закрывать тему )))
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 23 июля 2012 14:18 · Личное сообщение · #11 Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение". Пользуйся кнопкой "Правка", не создавай сообщения подряд.

Для печати