Нужна помощь от ветеранов реверсинга. Имеется самораспаковывающийся архив. После частичной распаковки просит отправить SMS для получения пароля. Необходимо заставить его работать без пароля. О себе: ориентируюсь в x86, на уровне новичка работаю в Ольке, опыт взлома минимален (crackme cruehead с помощью той же Ольки). Для взлома искал по всей памяти строку "Вы ввели неправильный пароль.", которую архив выводит в диалоговом окне в случае ошибки. Item is not found. Кто виноват? Что делать?
Недостаточно информации. Распаковщик просто говорит "отправьте SMS" или в SMS надо выслать какой-нибудь номерок, который он выдаёт? Распаковщик запакован/зашифрован? Если да, удалось ли распаковать/расшифровать? Удалось ли опознать формат архива? Если да, похож ли он на стандартный? К примеру, установлен ли флаг "зашифрован" у файлов?
As far as i know, такие архивы не шифруются. Это подделка под известные Self-Экстракторы. Однажды возникла надобность распаковать такой архив ( там ноты что-ли были для музыкантов) -- Архив зашифрован, отправьте сообщение на NТелефона. Как бы банально не звучало, архив по моей инициативе был скормлен антивирусу drWeb, который всё сделал за нас. Архив был распакован.
Архив гласит: "Отправь смс с текстом на номер и получи пароль". Есть поле для ввода пароля и кнопочка "Продолжить", при нажатии на которую выводится диалог с ругательным сообщением. Использую Ольгу. Злополучную строку я все-таки нашел (Unicode + про little endian не надо забывать), да вот толку мало. Ставлю на строку Memory, on access, брякаюсь где-то в USER32. Жму Debug->Execute till user code, после чего оказываюсь инструкцией ниже от CALL <JMP.&user32.MessageBoxW>. Нашел первую инструкцию в вышележащем участке кода, на которую первую передается у правление при нажатии на "Продолжить" (через жопу, конечно: забрячил двадцатку инструкций выше ). Участок кода между этой инструкцией и CALL <JMP.&user32.MessageBoxW> содержит несколько вызовов собственных функций и единственный(!) условный переход, перепрыгивающий один XOR (силовое вмешательство в этот переход дало лишь косяки в отображении диалога). Значит, проверка пароля, скорее всего осуществляется ДО этого участка кода. Как узнать, кто на него прыгает - для меня загадка. Адрес первой инструкции, скорее всего, вычисляется, так как поиск по абсолютному значению ничего не дал. Решил пойти другим путем. Попытался поставить Message breakpoint on ClassProc на окно кнопки "Продолжить". Олька занервничала и вывела диалог: Жму "да". Выбираю Messages = 202 WM_LBUTTONUP, break on any window, Pause program on message, log WinProc on Message, Pass count = 0. Жму "OK". И опять облом! Олька матерится в очередном диалоге: Кто виноват? Что делать?
Да хрен его знает, если честно. Подопытный файл - экзешник. Сам о себе он заявляет, что смораспаковывающийся архив ZIP-Folder ver.3.02.9109.
Проверьте, действительо ли это самораспаковывающийся ZIP-архив - для этого возьмите какой-нить свежий ZIP-распаковщик и скормите ему свой архив... Если ZIP-распаковщик подтвердит формат файла и начнет распаковывать, то скорее всего предложит ввести пароль для дешифрации - в этом случае вам никакой отладчик не поможет, т.к. в теле самораспаковывающегося архива ключ дешифрации естественно не хранится - тогда вам прямой путь к программам по подбору паролей...
Понял. Спасибо, что отозвались. "Архивчик" поломан. Полное фуфло. Просит отправить 3 смс-ки по 170р. после чего дает ссылку на сайт (можно подумать, я бы и без него не обошелся). Разумеется, в нем ничего не заархивировано/зашифровано. Все 3 пароля захардкожены.
>>Понял. Спасибо, что отозвались. "Архивчик" поломан. Полное фуфло. Просит отправить 3 смс-ки по 170р. после чего дает ссылку на сайт (можно подумать, я бы и без него не обошелся). Разумеется, в нем ничего не заархивировано/зашифровано. Все 3 пароля захардкожены. Можно поподробнее? Так на чем вы ставили брякпоинт? Если можно на примерах иль же скречдампах, конечно опять таки если не затруднит. ЗЫ.: Думаю что сей топик интересен не только мне но и тем кто сталкивался с этой проблемой.
Скопилось некоторое количество книжек (якобы заархивированных), для получения пароля на распаковку которых просят прислать SMS (обычно, на сумму около 500 руб.) Простая CRC-проверка показывает, что независимо от наименования, содержимое "архива" идентично.
junior_cracker Если ваш архив создан с помощью ZipCoin, то это вам поможет http://www.multiupload.com/1CO1FK55ZS
