РАЗКСОРИВАНИЕ ЗАКСОРЕННОГО ФАЙЛА ПРОГРАММЫ

Сейчас на форуме: ut2004, vsv1 (+5 невидимых)

Посл.ответ	Сообщение
bio-cyborg Ранг: 1.2 (гость) Активность: 0=0 Статус: Участник	Создано: 11 июня 2006 11:47 · Личное сообщение · #1 Есть заксоренный файл, только не знаю по какому ключу его заксорили. Файл на самом деле рисунок а прога разксоривает этот файл и выдает в компонент TImage в виде рисунка. Как узнать по какому ключу сделали XOR. И разксорить этот файл обратно. Программа на Delphi.

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 июня 2006 11:58 · Личное сообщение · #2 ну если ксор, то ничего сложного нету... у каждого файла есть стандартный заголовок, за него и цепляйся... т.е. возьми от обычного рисунка заголовок и поксорь первый dword с твоим файлом, по идеи должен получиться ключ ----- [nice coder and reverser]
ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 11 июня 2006 12:59 · Личное сообщение · #3 Hellspawn Если знаешь, в каком формате файло. А если заголовка нет (он зашит в прогу, известен), а есть только данные?.. bio-cyborg Попробуй отловить обращение к данному файлу, а дальше потрейсь... Мимо ксора не пройдешь, хотя может там что-то и посложней. Что за прога? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 июня 2006 13:43 · Личное сообщение · #4 ValdiS ну он же написал bio-cyborg пишет: Файл на самом деле рисунок я и написал основываясь на его посте ----- [nice coder and reverser]
bio-cyborg Ранг: 1.2 (гость) Активность: 0=0 Статус: Участник	Создано: 11 июня 2006 20:01 · Личное сообщение · #5 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= возьми от обычного рисунка заголовок и поксорь первый dword с твоим файлом, по идеи должен получиться ключ =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Hellspawn я так понимаю ты мне предлагаешь методом перебора искать ключ? Или я что-то не доглал. Я не знаю какой формат на самом деле у рисунка (jpg, gif, png...). Заксоренный файл с рисунком имеет расширение .nsp, а заксоренный файл с базой данных (есть еще и такой) расширение .nsb как видишь это мне мало о чем говорит что очень плохо (для меня). Извини меня пожалуйста если я запутал тебя насчет рисунка, просто я уверен что заксоренный файл с рисунком и есть рисунок об этом мне говорит DeDe и TImage. ValdiS По подробнее расскажи что ты ты мне предлагаешь я еще новичок. Потрейсить я смогу а вот как отлавить обращение к этому файлу? Чем посоветуешь воспользоваться?
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 июня 2006 21:05 · Личное сообщение · #6 жаль, тогда всё будет посложнее... возьми прогу Api монитор любой, и отследи ф-ии чтения (ты же знаешь по какому адрессу лежит заксоренный файл) апосмотри от куда они вызваны, ну а дальше отладчик тебе в зубы... ----- [nice coder and reverser]
bio-cyborg Ранг: 1.2 (гость) Активность: 0=0 Статус: Участник	Создано: 11 июня 2006 22:33 · Личное сообщение · #7 Нифига я не понял как юзать API монитор, но я знаю что такое ф-ии чтения щас пойду искать как юзать API мониторы. Ладно найду допустим откуда вызвываются эти ф-ии а дальше что? Трейсить или что-то еще найти надо. Да кстати по это вопросу один чел сказал - Если вам точно известно что там простой xor, то можно сравнить входной и выходной поток и потом вычислить это число. Найти их в памяти и сравнить, в принципе в этом и состоит крэкерство. Только вопросы есть что такое входной/выходной поток? И как найти эти потоки в памяти?
ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 12 июня 2006 10:29 · Личное сообщение · #8 bio-cyborg пишет: Чем посоветуешь воспользоваться? Воспользуйся kerberos 1.07 (см. аттач), инструкция прилагается. 74a6_12.06.2006_CRACKLAB.rU.tgz - kerberos 1.07.rar ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 12 июня 2006 11:12 · Личное сообщение · #9 Входной поток это и будут данные, которые прога читает, а выходным потоком будет картинка. Можно посмотреть в DeDe где компоненту TImage впихивается картика и посмотреть в OllyDbg ее заголовок. Потом поксорить это друг с другом и будет тебе ключ. PS В TImage не так уж и много форматов можно вывести, максимум 3, если я не ошибаюсь, так что можно и по заголовкам сравнить... ----- Yann Tiersen best and do not fuck
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 12 июня 2006 13:23 · Личное сообщение · #10 bio-cyborg, ты хоть скажи что это за прога: крэкми? ----- Я медленно снимаю с неё UPX... FF_User
bio-cyborg Ранг: 1.2 (гость) Активность: 0=0 Статус: Участник	Создано: 12 июня 2006 17:30 · Личное сообщение · #11 Это не крэкми эта программа тестирования (математика, история, русский язык...) запакованный дистрибутив 45 метров, так что выложить не могу. У меня home версия не знаю сколько стоит но знаю что полная версия для образовательных учереждений не меньше 300$. Прога сначала просит регистрацию но я занопил код рег. и активировал ресторатором неактивное меню. Теперь хочу получить саму базу тестов в ней вся ценность. И смогу сделать свою подобную программу но уже бесплатную.
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 15 июня 2006 02:00 · Личное сообщение · #12 bio-cyborg, приходилось мне тесты подобные смотреть, только сделаны они были в виде инсталера с паролем. Решил проблему bruteforce, правда левых пассвурдов нашел несколько, которых прога принимала, но вываливалась с ошибкой. Из того что известно на данный момент, могу предложить только bruteforce. ----- Я медленно снимаю с неё UPX... FF_User
Asterix Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник	Создано: 15 июня 2006 03:01 · Личное сообщение · #13 bio-cyborg тему закрываю, в следующий раз не используй в названии фразы в верхем регистре

Для печати