eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subword, parfetka (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Исследование формата сжатия
Посл.ответ Сообщение

Ранг: 1.2 (гость)
Статус: Участник

Создано: 10 мая 2017 12:15 New!
Цитата · Личное сообщение · #1

Добрый день, уважаемые.

Вопрос мой таков, а точнее предыстория к нему: столкнулся с Backup Log'ами MSSQL Server'а, архивированными стандартными средствами этого самого сервера. Сторонние утилиты не применялись. Глянул заголовки файлов, не нашел стандартных для формата MTF сигнатур TAPE, MSTL, MQTL и прочих... понятно почему, потому что все сжато. несжатыми остались лишь служебные маркеры SFMB, где хранятся обычно контрольные суммы и адреса точек ленты для позиционирования (понятно, что лента никакая не используется, все на харде, но формат есть формат).

Еще немного предыстории: нашел в этом сжатом файле маркеры сжатых стримов. Вот фрагмент моих записей об этом:
список найденных хедеров

обозначения:
: - конец хедера, знак отделяющий хедер от того, что там дальше
++ - байты, в которых так или иначе записана длина блока следующего после знака ":"
-- - какой то непонятный кусок, часть хедера, какие то флаги итд
** - флаги блока данных, предположительно в них закодирован используемый алгоритм сжатия

1 блок. возможный блок данных:

81 ** ++ ++ -- -- -- --:

** может быть таким: 02, 04, 06, 0E, 20, 80

если ** = 0E, то после "-- -- -- --" мы имеем Deflate block

2 блок. служебка какая то:

8C 00 00 00 01 00 01 00 -- -- -- -- ++ ++:

3 блок. еще какая то служебка. обычно как заполнитель используется:

84 00 ++ ++:

А теперь сам вопрос. Кто-нибудь видел что-то подобное? интересует в первую очередь корреляция ** = {02, 04, 06, 0E, 20, 80} - то есть как определить формат сжатого стрима по этим меджик намберам...

Ранг: 47.2 (посетитель)
Статус: Участник

Создано: 10 мая 2017 15:22 New!
Цитата · Личное сообщение · #2

Compression algo is proprietary.
Говорит гугл.
Прогони через binwalk, он рипнет стримы дефлэйт итд если найдёт.

Добавлено спустя 8 минут
А может и нет...
http://laytongraphics.com/mtf/MTF_100a.PDF

Ранг: 1.2 (гость)
Статус: Участник

Создано: 10 мая 2017 15:41 New!
Цитата · Личное сообщение · #3

документ по мтфу читал (причем, более свежую версию), там этого гарантированно нет и быть не может - т.к. стримы прогонялись через сжатие и уже потом писались в файл без своих маркеров. скорее всего маркеры - часть сжатого стрима. бинвалк тоже гонял - не нашел ровно ничего.

Ранг: 74.8 (постоянный)
Статус: Участник

Создано: 10 мая 2017 17:37 New!
Цитата · Личное сообщение · #4

CountZero пример файла скинь

Ранг: 1.2 (гость)
Статус: Участник

Создано: 11 мая 2017 10:38 New!
Цитата · Личное сообщение · #5

милости прошу)

{ Атач доступен только для участников форума } - 2.bak

Ранг: 74.8 (постоянный)
Статус: Участник

Создано: 12 мая 2017 17:22 New!
Цитата · Личное сообщение · #6

http://nishi.dreamhosters.com/u/msqlbk_v0.rar

{ Атач доступен только для участников форума } - 2_Uncompressed.bak

Ранг: 16.3 (новичок)
Статус: Участник

Создано: 12 мая 2017 18:41 New!
Цитата · Личное сообщение · #7

LinXP
в запросы на взлом не пытались, весной Вам кто поможет

Добавлено спустя 1 минуту
да не пашет оно

Ранг: 37.0 (посетитель)
Статус: Участник

Создано: 12 мая 2017 20:42 New!
Цитата · Личное сообщение · #8

VT-x ты тредом ошибся.
___
Всё разжимает!

Ранг: 16.3 (новичок)
Статус: Участник

Создано: 12 мая 2017 21:06 · Поправил: VT-x New!
Цитата · Личное сообщение · #9

Че разжимает? LZNT2 - 4 тож ))))
Это Вы товарищь глупости несете

Ранг: 37.0 (посетитель)
Статус: Участник

Создано: 12 мая 2017 21:08 New!
Цитата · Личное сообщение · #10

Файл CountZero разжимается.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 15 мая 2017 11:00 New!
Цитата · Личное сообщение · #11

Вот сколько не пытался отыскать описание формата - не выходило.
благодарю за наводку. Сейчас попробую скачать и посмотреть, что мне это даст.

Добавлено спустя 4 часа 32 минуты
хммм.... да этож тот же XpressDecode, который представлен в 7zip. один в один.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 27 ноября 2017 15:23 New!
Цитата · Личное сообщение · #12

время некропостинга: в версии сервера 2014+ изменился формат маркеров
81->21
84->24
8C->2C
Также, заголовок каждого из маркеров стал жирнее на 20 байт
для 21 (данные) лишние 20 байт идут после контрольной суммы
для 24 - просто 20 нулевых байт в конце блока
для 2C - 20 нулевых байт после первых 4 байт заголовка, перед 01 00 01 00

возможно, кому то это поможет.
 eXeL@B —› Вопросы новичков —› Исследование формата сжатия

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS