Сейчас на форуме: asfa, _MBK_, Adler (+8 невидимых)

 eXeL@B —› Вопросы новичков —› "Приватный" архив (алгоритм)
Посл.ответ Сообщение

Ранг: 89.1 (постоянный), 134thx
Активность: 0.060.07
Статус: Участник

 Создано: 14 февраля 2013 20:39
· Личное сообщение · #1

Есть "приватный" архив и есть распаковщик, знаний не хватает понять каким алгоритмом шифруются имена файлов http://rghost.ru/43795234

кусочек в хексе


вот так расшифровывается:
Code:
  1. Russian\Female\0_.ogg
  2. Russian\Female\1_.ogg
  3. Russian\Female\2_.ogg
  4. Russian\Female\3_.ogg
  5. Russian\Female\4_.ogg
  6. Russian\Female\5_.ogg
  7. Russian\Female\6_.ogg
  8. Russian\Female\7_.ogg
  9. Russian\Female\8_.ogg
  10. Russian\Female\9_.ogg
  11. Russian\Female\A_.ogg


Ранг: 307.9 (мудрец), 196thx
Активность: 0.180
Статус: Участник

 Создано: 14 февраля 2013 20:48 · Поправил: mysterio
· Личное сообщение · #2

Судя по всему банальный XOR (вывод из HEX). А под XOR-ом возможно Rar без сжатия.

З.Ы. Файлы еще не смотрел.
Upd:
Вычисление "оверлея" из архива (оффсет в файле 0x0C-0x0F SHL 2 = 5B150C), ну а в оверлее скорее всего поксоренные пути/имена файлов - другое там врятли лежать будет ;)
Code:
  1. 004016DC  |. 890424         MOV DWORD PTR SS:[ESP],EAX
  2. 004016DF  |. E8 2C710000    CALL <JMP.&msvcrt.fread>
  3. 004016E4  |. 8B45 E8        MOV EAX,DWORD PTR SS:[EBP-18]
  4. 004016E7  |. C1E0 02        SHL EAX,2


-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: LinXP

Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 14 февраля 2013 21:32
· Личное сообщение · #3

Code:
  1. .text:004014BB                 mov     [ebp+var_C], 22h
  2. .text:004014BF                 mov     [ebp+var_B], 3Ch
  3. .text:004014C3                 mov     [ebp+var_A], 3Eh
  4. .text:004014C7                 mov     [ebp+var_9], 7Ch

Это и есть гамма для xor'а

Code:
  1. 22 3C 3E 7C


| Сообщение посчитали полезным: LinXP

Ранг: 89.1 (постоянный), 134thx
Активность: 0.060.07
Статус: Участник

 Создано: 14 февраля 2013 22:36
· Личное сообщение · #4

Veliant Спасибо, догадывался что это xor, но ума не хватило найти гамму..

есть так же подобная ситуация, есть файлы закодированные и нет http://rghost.ru/43799543 предположительно тоже xor, есть способ найти гамму?




Ранг: 114.4 (ветеран), 21thx
Активность: 0.040.01
Статус: Участник

 Создано: 15 февраля 2013 08:52
· Личное сообщение · #5

LinXP, гм, а что, поксорить закодированные данные на раскодированные, религия не позволяет?



Ранг: 89.1 (постоянный), 134thx
Активность: 0.060.07
Статус: Участник

 Создано: 15 февраля 2013 18:30 · Поправил: LinXP
· Личное сообщение · #6

Larry да причем тут религия? говорю же, знаний не хватает, я с xor второй раз сталкиваюсь, поэтому и спросил совета..
ну набросал простенький брутфорс, чето считает, результата пока нет...




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 15 февраля 2013 18:46
· Личное сообщение · #7

А что тогда мешает открыть гугл, почитать про xor и вывести, как можно получить ключ, когда известен исходный байт и зашифрованный байт? И так побайтово пройтись по строке.




Ранг: 114.4 (ветеран), 21thx
Активность: 0.040.01
Статус: Участник

 Создано: 15 февраля 2013 21:15
· Личное сообщение · #8

LinXP, судя по последнему посту, Вы явно не понимаете, что значит термин "гамма для XOR". Что Вам дало предыдущее значение гаммы, любезно предоставленное Veliant?



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

 Создано: 15 февраля 2013 21:58
· Личное сообщение · #9

Larry
Это такая штука, которую на пианине играют. А кто такой XOR - хз. =)

-----
старый пень

| Сообщение посчитали полезным: sivorog
 eXeL@B —› Вопросы новичков —› "Приватный" архив (алгоритм)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати