Клиент канувшей в лету BTC-E: узнать аккаунт

Тема в разделе "WASM.HEAP", создана пользователем _DEN_, 11 дек 2017.

  1. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    У знакомого пару лет назад был установлен клиент BTC-E, потом винт на этом компе накрылся, и в сервисе восстановления данных смогли вынуть часть файлов. Клиент тоже пострадал - в нем не осталось .exe-шника, и, возможно, чего-то еще. Нужно узнать, какой почтой чел логинился в свой BTC-E аккаунт с этого клиента.

    Я рассмотрел уцелевшие файлы, и единственное, что мне показалось интересным, это файл:

    BTC-e Exchange MT4\config\accounts.ini

    Но внутри этого файла - бинарь, не текст. Гуглеж намекнул, что там AES256, но я не уверен. В папке config часть .ini-файлов бинарные, часть - текстовые. Сначала я подумал, что бинарь может быть следствием неправильного восстановления файлов. Но вот какая увиделась закономерность. Во-первых, зашифрованы (если считать мусор - шифрованием) только часть бинарных .ini-файлов. Во-вторых - первые 4 байта:

    accounts.ini: 91 01 00 00 (зашифрован)
    charts.ini : 90 01 00 00 (не зашифрован)
    community.ini : 90 01 00 00 (зашифрован)
    events.ini: 91 01 00 00 (не зашифрован)
    experts.ini: 90 01 00 00 (не зашифрован)
    notifications.ini: 91 01 00 00 (зашифрован)
    objects.ini: 90 01 00 00 (не зашифрован)
    trade.ini: 90 01 00 00 (не зашифрован)

    Из этой картины выпадает файл server.ini - он зашифрован, и в нем нет этой сигнатуры из 4-х байт. На всякий случай, грубая оценка степени хаотичности байт: этот файл 90 кб, и пожался RAR5 best в 88 кб.

    Наверняка у кого-нибудь где-нибудь завалялся установленный рабочий клиент BTC-E. Если не затруднит, посмотрите пожалуйста, у вас эти .ini файлы тоже бинарные внутри? С такой же сигнатурой? Или челу просто коряво восстановили файлы? Еще один довод в пользу того, что восстановление сработало правильно: внутри events.ini перечислены wav-файлы, и это из настроек о звувоком оповещении клиента. Так что видимо восстановлено все правильно. Как тогда расшифровать accounts.ini? Это действительно AES? А где хранится ключ? Он какой-то стандартный? :) Мамкины Шерлоки призываются в этот тред :)

    PS. Дабы сразу пресечь возможные спекуляции: нет, в этом кошельке нет биткоинов на 100 миллионов долларов :)
     
    Последнее редактирование: 11 дек 2017
  2. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    да это же брендированая версия meta trader 4, нужно копать туда. У меня вот осталась одна с тех времен когда баловался форексом. на месте файлы accounts.ini и server.ini они содержат абракадабру но разную, какой чем зашифрован не понятно. Попробуйте скормить эти файлы какого нибудь клиенту. Мыльник там врядли будет, брокеры обычно выдают цифровую пару логин-пароль к этим программам. И BTC-E вроде слились с рынка.
     
  3. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    _DEN_, кстати судя по соседней теме блокчейн, уж не свою валюту хотите сделать? а сори то не ваша тема была...
     
  4. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Alexey, привет :) Да, уже подсунул эти файлы и увидел числовой номер логина. Никаких других данных увидеть не удалось. Чел никак не может вспомнить - логинился он числом, или почтой. Значит ты утверждаешь, что в MT4 логин именно числом, и почты там нет?
     
  5. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    Именно это я и говорил. Как вариант попросить приемника https://wex.nz/ восстановить аккаунт
     
  6. neutronion_old_school

    neutronion_old_school Попугай Сильвера

    Публикаций:
    0
    Регистрация:
    23 июл 2017
    Сообщения:
    411
    я бы делал так, запускаем клиента с подсунутыми данными под дебаггером. После запуска, ищем строку в памяти, домен он хоть помнит? Допустим почтовик это mail.ru Если да то тогда поиск такой строки, @mail.ru или что там за сервак по всей памяти приложения. Если не получается тогда так, в клиенте запускаем послать почту, но делаем точку останова на функции send. Это даст возможность программе расшифровать файлы и вытащить мыло если оно есть. Да и еще, поиск нужно осуществлять как ansi так и unicode строк.
     
  7. neutronion_old_school

    neutronion_old_school Попугай Сильвера

    Публикаций:
    0
    Регистрация:
    23 июл 2017
    Сообщения:
    411
    update:
    Не обязательно запускать под дебаггером. Есть такой редактор WinHex он позволяет открыть память любого процесса живого и там искать и даже заменять байты.
     
  8. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Да там не все так просто, там целый квест, не буду утомлять деталями :) В общем, похоже все что можно было вынуть из клиента - мы вынули :)