Сейчас на форуме: Kybyx, user99 (+3 невидимых)

 eXeL@B —› Оффтоп —› advapi32.CryptEncrypt
Посл.ответ Сообщение


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 16 октября 2012 14:34
· Личное сообщение · #1

Кому не влом, посмотрите, что за пасс используется для криптовки текста, бряку ставить тут:

Code:
  1. 0047BB24  |.  50            PUSH EAX



ДелфиЮ непакована
http://zalil.ru/33858143

З.Ы. Меня на по IP забанили, за попытку XSpider-ом из сервак просканить...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: Salabasama


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 16 октября 2012 20:12 · Поправил: Flint
· Личное сообщение · #2

Кажись искать надо отсюда
Code:
  1. 0047B817  |.  >PUSH F0000000
  2. 0047B81C  |.  >PUSH 1
  3. 0047B81E  |.  >PUSH 0
  4. 0047B820  |.  >PUSH 0
  5. 0047B822  |.  >LEA EAX,DWORD PTR DS:[EDI+4]
  6. 0047B825  |.  >PUSH EAX
  7. 0047B826  |.  >CALL 0047B7A4                            ; <JMP.&advapi32.CryptAcquireContextW>
  8. 0047B82B  |.  >LEA EAX,DWORD PTR SS:[EBP-8]
  9. 0047B82E  |.  >PUSH EAX
  10. 0047B82F  |.  >PUSH 0
  11. 0047B831  |.  >PUSH 0
  12. 0047B833  |.  >PUSH 8004                                ; CALG_SHA
  13. 0047B838  |.  >MOV EAX,DWORD PTR DS:[EDI+4]
  14. 0047B83B  |.  >PUSH EAX
  15. 0047B83C  |.  >CALL 0047B7BC                            ; <JMP.&advapi32.CryptCreateHash>
  16. 0047B841  |.  >MOV ESI,DWORD PTR SS:[EBP-4]
  17. 0047B844  |.  >TEST ESI,ESI
  18. 0047B846  |.  >JE SHORT 0047B84D                        ; txtlock.0047B84D
  19. 0047B848  |.  >SUB ESI,4
  20. 0047B84B  |.  >MOV ESI,DWORD PTR DS:[ESI]
  21. 0047B84D  |>  >PUSH 0
  22. 0047B84F  |.  >PUSH ESI
  23. 0047B850  |.  >LEA EAX,DWORD PTR SS:[EBP-4]
  24. 0047B853  |.  >CALL 00405254                            ; txtlock.00405254
  25. 0047B858  |.  >PUSH EAX
  26. 0047B859  |.  >MOV EAX,DWORD PTR SS:[EBP-8]
  27. 0047B85C  |.  >PUSH EAX
  28. 0047B85D  |.  >CALL 0047B7C4                            ; <JMP.&advapi32.CryptHashData>
  29. 0047B862  |.  >LEA EAX,DWORD PTR DS:[EDI+8]
  30. 0047B865  |.  >PUSH EAX
  31. 0047B866  |.  >PUSH 0
  32. 0047B868  |.  >MOV EAX,DWORD PTR SS:[EBP-8]
  33. 0047B86B  |.  >PUSH EAX
  34. 0047B86C  |.  >PUSH 6801                                ; CALG_RC4
  35. 0047B871  |.  >MOV EAX,DWORD PTR DS:[EDI+4]
  36. 0047B874  |.  >PUSH EAX
  37. 0047B875  |.  >CALL 0047B7CC                            ; <JMP.&advapi32.CryptDeriveKey>
  38. 0047B87A  |.  >MOV EAX,DWORD PTR SS:[EBP-8]
  39. 0047B87D  |.  >PUSH EAX
  40. 0047B87E  |.  >CALL 0047B7D4                            ; <JMP.&advapi32.CryptDestroyHash>


Похоже что от 460100F1-A661-4729-BE83-A35797855AC4 берется sha хэш в качестве ключа и им шифруют данные по RC4

-----
Nulla aetas ad discendum sera


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 16 октября 2012 20:23
· Личное сообщение · #3

Flint, закриптуй какой то текст, я хоть проверю или у нас ключи одинаковые будут... Мне кажется что после отвязки от сервера, ключ сменился...

-----
-=истина где-то рядом=-


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 16 октября 2012 20:25
· Личное сообщение · #4

12345 > 72D8169BFA

-----
Nulla aetas ad discendum sera


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 16 октября 2012 21:12 · Поправил: KingSise
· Личное сообщение · #5

Flint, спасибо. Что я хотел уже вроде понял, ключ не изменился, текст раскриптовал...

непонятно только цель данной программулены, ключ то вшит, а значит раскриптовать может кто угодно, купив/сломав программу...

Программа похоже неёбка, бо есть подозрение что автор сам может читать то, что через эту программулину програнли...

Если кому интересно. то отвязка от сервера (для мультимэйт Ассемблера):

Code:
  1. <00569D47>   
  2.  MOV DWORD PTR DS:[575834], 1
  3.  CALL 00568E78
  4.  JMP 00569FF5 ;Start tfrMain
  5.  
  6.  
  7.  
  8. <00569B10>   
  9. jmp   0056A2C4            ; en, Crypt
  10.  
  11. <00569454>  
  12. jmp 0056A2A4              ; ru, Decrypt
  13.  
  14. <0056A2A4>  
  15. mov BYTE PTR DS:[EAX+414],1
  16. CALL 0056A1A4               ;Dectypt
  17. ret
  18.  
  19. <0056907C>
  20. @strDe: "Decrypt"
  21.  
  22. <0056908C>
  23. @strEn: "Encrypt"


Раскриптовка через меню "language", разблокировать кнопки и поле memo было в лом...


Пост скриптум:

A308D7413FA9E92E82E8F3F45EDF5A5FD8BB3045CC312DE7BF2D2ED07798419DBABF2B7D881D948FB27F


P.P.S. кому интересно: --> Link1 <--, --> Link2 <--, --> Link3 <--

Часть расшифровывается примерно так:

Code:
  1. Процент вероятности пароля составляет:  91%
  2. __________________________________
  3. Login: cьE8Цl6Y
  4. Pass: xwAjg7pIfOKцiZk4
  5. __________________________________
  6.  


Остольное походу с другим ключем, в общем вывод: какой то непонятный мне развод.

-----
-=истина где-то рядом=-

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 16 октября 2012 23:16
· Личное сообщение · #6

KingSise
Судя по используемым компонентам эта утиль одна большая копипаста.




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 17 октября 2012 00:42 · Поправил: KingSise
· Личное сообщение · #7

F_a_u_s_t пишет:
Судя по используемым компонентам эта утиль одна большая копипаста.

ну это я с самого начала предполагал, просто думал может что интересное раскопаю.. не пойму только смысл продавать это говно... кому оно вообще может понадобиться...

эдд

мож кому надо: --> txtlock_offline <--

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: ressa, Salabasama

Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 17 октября 2012 09:47
· Личное сообщение · #8

Бред конечно, полно достойных опен-сорс крипторов для инфы, с выгрузкой в .ехе и тд. Но для ознакомления - почему бы и нет. Конечно - дичь и хз кто это будет покупать. Но наверное в свете последних событий домашние задроты обеспокоятся перепиской или наличием порно и начнут думать о криптозащите, а т.к. мозгов не хватит разобраться с gpg - будут покупать подобную херь.
На счет задротов:
как и все тут попался на этот развод. в чате предложила вирт с вебкой.
потом контакт и потом скайп.
в итоге просила 5000 р до понедельника. или всем разошлет в ВК друзьям.
С дуру на карточке было 4500 и я их перевел (эффект паники или идиотизма в мозгах). После этого она прислала видео с тем как удалила папку и файл с компьютера. снятое видео показывала через контакт. все это длилось не больше двух минут. на видео от меня было только лицо подсвеченное айфоном и пару раз показал член в темной комнате который тоже подсетился экраном и то член не стоял так как не завело а так чисто как будто чешу его
http://inetpol.ru/forum/archive/index.php/t-528.html

Как я от этого далек, даже не знал, что подобное есть) Поэтому и не жалею, что не зареган в соцсетях)))
Вспоминается Шекспир: "Есть многое в природе, друг Горацио, что и не снилось нашим мудрецам"
Ну а этому задроту хочется сказать только одно.

| Сообщение посчитали полезным: SReg
 eXeL@B —› Оффтоп —› advapi32.CryptEncrypt

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати