Нужна помощь. Найти пароль в бинарнике.

Тема в разделе "WASM.RESEARCH", создана пользователем scazy, 13 май 2008.

  1. scazy

    scazy New Member

    Публикаций:
    0
    Регистрация:
    13 май 2008
    Сообщения:
    3
    Есть запароленные архивы. Есть экзешник который работает с этими архивами. Нужно узнать пароль к zip-архивам с которыми работает экзешник.
    Один из архивов и экзешник здесь: http://test.e63.ru/555.rar 9712Kb

    Заранее спасибо.
    ICQ #771818

    UPD: Отдельно бинарник: http://test.e63.ru/yp_explorer.exe 3481Kb
     
    scazy, 13 май 2008
    #1
  2. twgt

    twgt New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2007
    Сообщения:
    1.494
    9,3 мб....
     
    twgt, 13 май 2008
    #2
  3. scazy

    scazy New Member

    Публикаций:
    0
    Регистрация:
    13 май 2008
    Сообщения:
    3
    scazy, 13 май 2008
    #3
  4. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    scazy
    Если бы еще оно смогло бы запуститься ...
     
    Osen, 13 май 2008
    #4
  5. OKOB

    OKOB New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2006
    Сообщения:
    19
    то что не запускается это так, но...
    есть такая строка
    .rdata:0057D078 aUnzip0_15Copyr db ' unzip 0.15 Copyright 1998 Gilles Vollant ',0
    которая дает нам направление поисков (сие творение надстройка над zlib)
    в исходниках zlib (файл crypt.h) есть функа для инициализации ключей распаковки на основе пароля
    /***********************************************************************
    * Initialize the encryption keys and the random header according to
    * the given password.
    */
    static void init_keys(const char* passwd,unsigned long* pkeys,const unsigned long* pcrc_32_tab)
    {
    *(pkeys+0) = 305419896L;
    *(pkeys+1) = 591751049L;
    *(pkeys+2) = 878082192L;
    while (*passwd != '\0') {
    update_keys(pkeys,pcrc_32_tab,(int)*passwd);
    passwd++;
    }
    }

    которая в исполняемом файле как инлайн находится здесь
    .text:004EC62F loc_4EC62F: ; CODE XREF: sub_4EC230+3EEj
    .text:004EC62F mov edi, [ebp+0]
    .text:004EC632 test edi, edi
    .text:004EC634 lea esi, [ebp+30h]
    .text:004EC637 mov dword ptr [esi], 12345678h
    .text:004EC63D mov dword ptr [ebp+34h], 23456789h
    .text:004EC644 mov dword ptr [ebp+38h], 34567890h
    .text:004EC64B jz short loc_4EC660
    .text:004EC64D lea ecx, [ecx+0]
    .text:004EC650
    .text:004EC650 loc_4EC650: ; CODE XREF: sub_4EC230+42Ej
    .text:004EC650 mov al, [edi]
    .text:004EC652 test al, al
    .text:004EC654 jz short loc_4EC660
    .text:004EC656 mov edx, esi
    .text:004EC658 call update_keys
    .text:004EC65D inc edi
    .text:004EC65E jnz short loc_4EC650

    т.е. наш пароль в процессе распаковки тут
    .text:004EC62F mov edi, [ebp+0]

    поискав в этой функе или выше по вызовам наверняка наткнешься на пароли
     
    OKOB, 13 май 2008
    #5
  6. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    Если нормально сделано, а судя по названию это экзамены какие-то, то только отладчиком.
    Обычно пароль длинный и формируется динамически. Правда иногда и в открытую кладут.
     
    valterg, 13 май 2008
    #6
  7. scazy

    scazy New Member

    Публикаций:
    0
    Регистрация:
    13 май 2008
    Сообщения:
    3
    Всем спасибо, вопрос решен, спасибо Osen за помощь и консультацию по аське
    ОКОВу спасибо за оперативность и ликбез
     
    scazy, 13 май 2008
    #7
  8. Com[e]r

    Com[e]r Com[e]r

    Публикаций:
    0
    Регистрация:
    20 апр 2007
    Сообщения:
    2.624
    Адрес:
    ого..
    он видимо имел в виду ОКОВ
     
    Com[e]r, 13 май 2008
    #8