Программа во время работы использует запороленный ZIP-архив.
Цель: узнать пароль для этого архива.
Пытался поотлаживать, но что-то толком не нашел ничего.
Хотя в ольке попадались строки типа:
UNICODE "0 I10 D1 H1 P300 T6 "
Фиг знает, может это и есть пароль. Но как его проверить в юникоде? Каким образом попробовать с таким паролем архив открыть?

| Сообщение посчитали полезным:

А сама прога большая? Может выложишь?

| Сообщение посчитали полезным:

WELL А прога на чем написана ?

| Сообщение посчитали полезным:

WELL пишет:
Каким образом попробовать с таким паролем архив открыть?
а Password recovery не помогает ? zip вроде очень быстро перебирается..

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
12 символьный ступай подпирай с пару лет...
Если только Plain text аттака тут не прокатит....

Помоему проще всеже поотлаживать прогу и найти пасс, так как он в 100% проявиться рано или поздно при распаковке.

Прогу всеже былоб лучше увидеть и поковырять совместными усилиями...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Это Консультант+. Весит многовато. Один ехешник 7 мегов. А пароль из части файлов баз берется.

| Сообщение посчитали полезным:

[HEX] пишет:
12 символьный ступай подпирай с пару лет...

смотря какой zip, если до версии 8.1 то распакуется влет без перебора

| Сообщение посчитали полезным:

WELL пишет:
Это Консультант+. Весит многовато. Один ехешник 7 мегов. А пароль из части файлов баз берется.

Упс, как интересно. Ковыряюсь в нем эдак года 4, но пока такого не встречал. Последний res, который у меня - vr320010.res без всяких zip-ов. Что за версия?

| Сообщение посчитали полезным:

WELL пишет:
Программа во время работы использует запороленный ZIP-архив.
Сначала надо определить какие библиотеки в проге используются для работы с zip-архивом. Далее берешь эту библиотеку в тексте или в чистом виде и смотришь как в ней пароль задается.
Именно так я ломал Дидактор - в нем Дельфи компонента VCLZip используется, пароль там длинный хекс нечитаемый. Распаковывал восстановителем паролей по 3 словам.

| Сообщение посчитали полезным:

YDS пишет:
Упс, как интересно. Ковыряюсь в нем эдак года 4, но пока такого не встречал. Последний res, который у меня - vr320010.res без всяких zip-ов. Что за версия?
Рес vr320012. Но не в этом суть.
В самих базах есть файлы .ini и .kub. Они являются запороленными архивами. Вот в них и интересно посмотреть.

Выкладываю архив WinRAR пишет SFX ZIP, версия 2.0, DOS. Размер 177КБ. Если кто может, посмотрите.




99da_15.05.2006_CRACKLAB.rU.tgz - law.kub

| Сообщение посчитали полезным:

WELL Ну так выложи всю програмулину или дай линку

| Сообщение посчитали полезным:

Z0oMiK пишет:
WELL Ну так выложи всю програмулину или дай линку
Будешь качать 30 мегов?

| Сообщение посчитали полезным:

Z0oMiK пишет:
Ну так выложи всю програмулину или дай линку
Какую линку, прога известная. Со всеми базами на работе у меня около 3 гигов в распакованном виде.
WELL
Если скажешь, как запустить скопированный консультант на другом компе-я тоже погляжу завтра

| Сообщение посчитали полезным:

Ara пишет:
Если скажешь, как запустить скопированный консультант на другом компе-я тоже погляжу завтра
Завтра в ПМ скину все необходимое ;)

| Сообщение посчитали полезным:

WELL пишет:
Завтра в ПМ скину все необходимое ;)

Уже бросил, чтобы не ждать завтра

| Сообщение посчитали полезным:

YDS
Угу, спасибо, попробуем. Но до завтра всё равно ждать - консультант на работе

| Сообщение посчитали полезным:

Пара таких файликов в аттаче. Совал их в Adnavced Password Recovery от Элкомосфта - пишет не является архивом, в Passware Zip Key - эффекту тоже ноль.

P.S. Sorry, не разглядел, что WELL уже нечто подобное выложил.

e041_15.05.2006_CRACKLAB.rU.tgz - LAW.RAR

| Сообщение посчитали полезным:

Фишка Проста, в начале файла некая Инфа и Гдето с Середины Начинается Сам Архив, чтоб его ПассРековери Проглотл, нодо в ХексРедакторе удалить весь Хлам ! Остальное Будет Архив.

| Сообщение посчитали полезным:

Tyra
Ну и где именно начало архива? До куда удалять? Аттач же есть-на примере покажи.

| Сообщение посчитали полезным:

law.kub это внутренний формат файла Консультанта. В конце действительно идет zip файл. Однако, перебор пароля это просто трата времени. Отладчик в руки и вперед. Для тех, кто хочет перебирать держите Law.zip.

9804_15.05.2006_CRACKLAB.rU.tgz - Law.zip

| Сообщение посчитали полезным:

Ara
По Первому Аттачу ! Архив Начинается со смещением 21F22 ! Пелный Перебор Заёмет Больше Года Это Точно, а Копать Прогу у Меня Знания Нехватат ! Сори !

| Сообщение посчитали полезным:

Ara
у зипа сигнатурка - 50 4B 03, так что находится влет

| Сообщение посчитали полезным:

NitrogenПрогнал через 3Гб словарь(не целый а кусками) результатов 0 Буду перебором .И еще мне как тупому обьясните что такое плэйн атака и как ее юзать?

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2
www.elcomsoft.com/help/azpr/known_plaintext_attack.html

security.nnov.ru/docs4058.html

www.lostpassword.com/zip.htm#plain

Если описать методику в краце то вот:
Для ZIP- и ARJ-архивов есть возможность ускоренной атаки по известному содержимому (known plaintext attack). Если известно содержимое хотя бы одного файла в архиве, восстановление пароля происходит за несколько часов независимо от его сложности и длины.
www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack.html

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

di-2di-2 пишет:
И еще мне как тупому обьясните что такое плэйн атака и как ее юзать?
Плейнт Текст Атак Подразумавает Наличие хотябы одного файла в запароленном виде ! Грубо говоря надо иметь Архив с Паролем и Файлом Х и Такойже архив Без Пароля с Файлом Х.
В Данном Случае в Архиве всего один Искомый Файл Который надо вытащить.
И Ещё в ПлейнТекст Атаке Пароль не Показывается, там показываются 3-и Ключика, которые в Последуюущем Можно использовать на схожие архивы. Сорри за Корявое объячснение.

| Сообщение посчитали полезным:

Спасибо что обьяснили.К сожалению в выше приведеном архиве всего только один файл Остается перебор и словарь.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2di-2 пишет:
Остается перебор и словарь.
Ещё Можно Отдебажить и Посмотреть Пароль При Обращению к Файлу, но ИМХО Можно попробовать Отловить Уже Распакованный Файли, Затем ПлейнтЕкстом Узнать Ключики, Думаю Могут Подойти и к Другим Архивчикам !

| Сообщение посчитали полезным:

WELL пишет:
Программа во время работы использует запороленный ZIP-архив.
Вот процедура генерации трех ключей, которыми потом все шифруется/расшифровывается.
procedure TVCLUnZip.Init_Keys( Passwrd: String );
var
i: Integer;
begin
Key[0] := 305419896;
Key[1] := 591751049;
Key[2] := 878082192;

For i := 1 to Length(Passwrd) do
update_keys( Passwrd[i] );
end;
Найти ее можно по ключам, либо по АПИ зиповским.
procedure TVCLUnZip.update_keys( ch: char );
begin
Key[0] := UpdCRC(BYTE(ch), Key[0]);
Inc(Key[1], Key[0] and $ff);
Key[1] := Key[1] * 134775813 + 1;
Key[2] := UpdCRC( BYTE(WORD(Key[1] shr 24)), Key[2] );
end;

| Сообщение посчитали полезным:

tundra37 пишет:
Key[0] := 305419896;
Key[1] := 591751049;
Key[2] := 878082192;
Таких цифирь в проге не нашел. Зиповые либы тоже никакие не юзаются вроде...

| Сообщение посчитали полезным:

WELL пишет:
Зиповые либы тоже никакие не юзаются вроде...
Раз не используются - значит зашиты внутри. IDA попробуй и сигнатур нагенери.

WELL пишет:
Таких цифирь в проге не нашел
Извини за глупый вопрос, но ты учел, что это десятичные числа ?! К тому же запросто может оказаться, что они генерятся перед использованием. Ссылку дай на прогу - попробую помочь, если конечно она не намного больше 30 Мб.

| Сообщение посчитали полезным: