Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Выдрать пароль из *.tib (https://forum.antichat.xyz/showthread.php?t=101785)

@nt0n 17.01.2009 23:24
Выдрать пароль из *.tib
 
Возможно ли выдрать из образа *.tib созданного Acronis TrueImage пароль OLLYDBG или IDA.

@nt0n 22.02.2009 22:29
Там вроде используеться шифрование типа RSA, тогда так же как из архива Winrar. А вот как именно???

neprovad 22.02.2009 23:14
как варианта вижу декомпилировать акронис, найти место сверки пароля по сообщению о неверном пароле, затем найти фукнцию где передается пароль для сверки и прямо в олли вписать кусок кода для брутфорса пароля, либо если алгоритм на самом деле стандартен, сделать брут отдельно, выдрав хэш (или что там в архиве) и работать дальше с ним отдельно от программы акрониса

mrDOS 10.03.2009 11:40
Если нужно открыть запароленый образ, а не сам пароль, то для архивов версии 8.x можно сделать следующее (там данные не шифруются, только хэш пароля записан):
1) Берем TrueImage.exe v 8.0.0.791 (какой был под рукой такой и ломал)
MD5:
304877305B09329187787E96B85E877B TrueImage.exe
length: 2*926*921 b

2) Распаковываем UPX v 1.24
upx1_24.exe -d TrueImage.exe -o TrueImage_unpacked.exe
MD5:
A561C7B731E2AF828EF7E383D672164A TrueImage_unpacked.exe
length: 5*230*921 b
3) Меняем байт:
offset:103FC0
from 74 to EB
Контекст такой был
3884C056578965F0751D8B4D0C33C085C90F94C08B4DF46489 0D000000005F5E5B8BE55DC208008B43248B4D0C8B55085189 45DC528D45DC50E8A20F130083C40CB9040000008D7B288D75 E033D2F3A774
Последний байт и меняем (74 -> EB)
4) Запускаем измененный файл из директории Acronis и открывать запароленный архив.
Работать будет на 8.x версии (проверено на образах 8.0.0.791 и 8.1 build 945) Возможно и на более ранних.


Время: 15:36