eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› Архив zip, чем определить прогу-упаковщик?
Посл.ответ Сообщение

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 14 марта 2009 09:19 New!
Цитата · Личное сообщение · #1

Доброе утро/день/вечер.
Необходимо определить чем упакован архив, а именно программу и версию. Архив zip.
Есть какие-нибудь инструменты для этого или зацепки?


Ранг: 230.5 (наставник)
Статус: Участник
Norg

Создано: 14 марта 2009 09:25 New!
Цитата · Личное сообщение · #2

выложи архив,если есть возможность посмотреть

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 14 марта 2009 17:18 New!
Цитата · Личное сообщение · #3

gegter пишет:
Есть какие-нибудь инструменты для этого или зацепки?

Нету, zip он и в Африке zip.
Архиваторы в архив не пишут чем пожато.
А по структуре данных ты не определишь - алгоритм у всех одинаковый.

Ранг: 25.1 (посетитель)
Статус: Участник

Создано: 14 марта 2009 21:31 New!
Цитата · Личное сообщение · #4

Запароленные можно, по некоторым нюансам. Допустим AAPR детектит WinZIP архивы (версии ранее 8.1, по-моему) по уязвимости в алго.

Ранг: 17.6 (новичок)
Статус: Участник

Создано: 15 марта 2009 00:13 New!
Цитата · Личное сообщение · #5

[offtop]Насрали на коврик. Как узнать национальность и возраст насравшего?[/offtop]

А цель сего исследования какова? Может, не с той стороны искать надо?

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 15 марта 2009 02:26 New!
Цитата · Личное сообщение · #6

напр. для плайн-текст атаки нужен образец пожатый такой же версией - разные версии Винзипа одни и те же файлы с теми же настройками жмут по разному - приходится по очереди жать разными пока не получится подходящий…

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 15 марта 2009 07:37 New!
Цитата · Личное сообщение · #7

Да, архив запаролен. Для plain-text атаки нужна инфа. Это не вин-зип.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 16 марта 2009 13:17 New!
Цитата · Личное сообщение · #8

Alf
Для plain-text атаки не нужен тот же архиватор! Где такое вычитал?
Для plain-text атаки нужен кусок распакованых данных находящихся внутри ломаемого архива. Например тот же AZPR www.elcomsoft.ru/archpr.html пишет что ему нужно только один из файлов находящихся внутри архива для взлома архива целиком.


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 16 марта 2009 13:39 New!
Цитата · Личное сообщение · #9

RUNaum пишет:
Допустим AAPR детектит WinZIP архивы (версии ранее 8.1, по-моему) по уязвимости в алго

да. не детектит даже, а пароль любой длины находит. Только в архиве должно быть не менее 5 файлов.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 марта 2009 13:50 New!
Цитата · Личное сообщение · #10

цитата из оригинальной статьи:
...
"You need two files:
a) the ZIP-archive which you want decrypted, and
b) another ZIP-archive, containing at least one of the files from the
encrypted archive in *unencrypted* form. This one has to be compressed
with the same compression method used for the encrypted file."

правда с тех пор может все изменилось


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 16 марта 2009 14:39 New!
Цитата · Личное сообщение · #11

Архиватор не нужен, но нужно знать алго сжатия

Ранг: 17.6 (новичок)
Статус: Участник

Создано: 17 марта 2009 13:10 New!
Цитата · Личное сообщение · #12

Формат ZIP вроде как един... Имеет смысл копать только в сторону версии спецификации, которая скорее всего либо последняя (6.3.2 вроде) либо что-то в этом роде..

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 17 марта 2009 15:55 New!
Цитата · Личное сообщение · #13

[HEX]
нужно не просто один из файлов, а чтобы он был пожат так же как и файл в архиве.
проще говоря есть максимальное сжатие, обычное и т.д.

если сжатие не известно, то перебирать упаковщики и параметры сжатия.

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 17 марта 2009 23:15 New!
Цитата · Личное сообщение · #14

ИМХО версия спецификация не поможет - тот же 7-zip жмет zip на 10% сильнее (т.е. по другому) не нарушая никаких спецификаций формата

ЗЫ кстати если в атакуемом архиве файлы по папкам разбросаны, то и в референсном архиве должны лежать в таких же папках

Ранг: 52.1 (постоянный)
Статус: Участник

Создано: 19 марта 2009 13:37 · Поправил: Wyfinger New!
Цитата · Личное сообщение · #15

Сегодня случайно заметил - WinRar при упаковке в режиме Zip помимо самих файлов добавляет еще записи о каталогах, не знаю как WinZip и другие, но вот Word 2007 сохраняет в формат *.docx (это zip архив с xml содержимым) таких записей не добавляет.

add:
Кстати на счет формата zip, который использует Word 2007 - он не распаковывается некоторыми библиотеками, построенными на базе zlib, в то время как WinRar стандартное расширение эксплорера работает с ними отлично.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 19 марта 2009 15:23 · Поправил: [HEX] New!
Цитата · Личное сообщение · #16

Wyfinger
Возможно WinRar и Word разными версиями реализации пакуют.
www.pkware.com/documents/casestudies/APPNOTE.TXT

gegter
Да действительно Скачал AAPR и в его хелпе уже более подробно описано про атаку.
Так что если нет не пошифрованого архива от того же автора, то придется банально сидеть перебирать архиваторы и методы сжатия. Хотябы пройтись по основным архиваторам с дефолтовыми настройками.

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 21 марта 2009 09:58 New!
Цитата · Личное сообщение · #17

придется банально сидеть перебирать архиваторы и методы сжатия
в этом и суть темы. может уже есть зацепки или анализаторы, чтобы не вручную. сам не нашел.

Ранг: 52.1 (постоянный)
Статус: Участник

Создано: 21 марта 2009 19:14 New!
Цитата · Личное сообщение · #18

Есть пара полей в структуре Zip архива, которые тоже могут помочь, возьмите к примеру библиотеку SciZipFile http://www.torry.net/vcl/compress/std/SciZipFile0.2.zip : TFileHeader.VersionMadeBy для каждого файла в архиве и TCommonFileHeader.VersionNeededToExtract для архива вцелом. Воследнее поле я не встречал отличным от 20, хотя может таковые и есть, а первое - может меняться.
В любом случае, какой-то шанс отличить один архиватор от другого анализируя служебные структуры, а не сжатый поток данных, наверное есть.

Впрочем, насколько я помню, (хотя я могу ошибаться) zip основан на LZW, покрытого потом Хаффманом. Можно делать какие-то выводы по формату словаря LZW - он может заполняться по разному, при этом одинаково распаковываясь стандартным методом.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 21 марта 2009 20:34 New!
Цитата · Личное сообщение · #19

www.info-zip.org/
UnZip - for extracting and viewing files in .zip archives. Also includes:
ZipInfo - for detailed zipfile information ----???????
.....

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 21 марта 2009 21:01 New!
Цитата · Личное сообщение · #20

Wyfinger пишет:
Впрочем, насколько я помню, (хотя я могу ошибаться) zip основан на LZW, покрытого потом Хаффманом. Можно делать какие-то выводы по формату словаря LZW - он может заполняться по разному, при этом одинаково распаковываясь стандартным методом.

Хаффмана там нету, только LZW.
И со словарём ничего не получится, он в файле не хранится - динамически восстанавливается при распаковке.
В этом и одно из преимуществ алгоритма.
Это разве что самому распаковывать, по ходу восстанавливая словарь, и как-то анализировать характер его заполнения.
Но по-моему это безперспективно.

Ранг: 52.1 (постоянный)
Статус: Участник

Создано: 22 марта 2009 03:52 New!
Цитата · Личное сообщение · #21

cppasm пишет:
И со словарём ничего не получится, он в файле не хранится - динамически восстанавливается при распаковке.
В этом и одно из преимуществ алгоритма.
Это разве что самому распаковывать, по ходу восстанавливая словарь, и как-то анализировать характер его заполнения.


Я знаю, словарь динамический. И имел ввиду распаковывать и анализировать получившийся словарь. Конечно сложно, но а другого выхода нет.
 eXeL@B —› Крэки, обсуждения —› Архив zip, чем определить прогу-упаковщик?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS