Реверс инженеринг (алгоритма сжатия)

OtherSide · Post by **OtherSide** » 13 Jun 2018 12:56

Попала в руки древняя софтина, из которой нужно выжать данные.
Определил, что использует БД firebird, часть полей зашифрована
Смог определить соответвие зашифрованным данным, и разшифрованым.
Алгоритм шифрования на 99% один и тот же, т.к. копировал и подсовывал для чтения программе данные и она их читала. Если ручками вносить помехи пишет Read stream error

расшифровывается вот в такое

2=1.17;7=1.17;8=1.17;$$$$

Первые 3 символа понятно что - длина в HEX (20 - длина потока 32 байта, первая 2 длина '20')

Думаю, что это остальные это какой то стандартный алгоритм сжатия. На эти мысли наводит то, что выходные строки, отличающиеся на 1-2 символа зашифрованы с отличием где-то 20-30%, остальное так же

Подскажите куда копать, чем может быть запаковано

Boriskin · Post by **Boriskin** » 13 Jun 2018 15:33

Какая ось, какой объем шифрования/сжатия (отдельные строки, килобайты етс), примерный возраст софта и насколько быстро происходит сжатие - разжатие? Требуется ли вводить пароль или оно само распаковывается?
Ответы на эти вопросы могут существенно уменьшить кол-во кандидатов.

OtherSide · Post by **OtherSide** » 13 Jun 2018 15:43

Boriskin wrote: 13 Jun 2018 15:33 Какая ось, какой объем шифрования/сжатия (отдельные строки, килобайты етс), примерный возраст софта и насколько быстро происходит сжатие - разжатие? Требуется ли вводить пароль или оно само распаковывается?
Ответы на эти вопросы могут существенно уменьшить кол-во кандидатов.

На самом деле обновления софта происходят до сих пор, но судя по всему был начат в какой то гос конторе чуть ли в 90х, БД FireBird и похоже это написано на делфи.
Расжатие происходит мгновенно, там зашифрованы отдельные строки, объем - ну как обычно в БД объем строк с наименованиями.. в пределах 200-300 символов. Для юзера вообще это шифрование никак незаметно, столкнулся уже когда возникла потребоность перенести базу в MSSQL и использовать в своей версии софта.

Вот скрин из ib expert для наглядности

https://snag.gy/vmM0YN.jpg

AndreyT · Post by **AndreyT** » 13 Jun 2018 16:01

Так а что показывает статистика по более длинным строкам: это все таки делается ради сжатия или ради шифрования?

OtherSide · Post by **OtherSide** » 13 Jun 2018 16:13

AndreyT wrote: 13 Jun 2018 16:01 Так а что показывает статистика по более длинным строкам: это все таки делается ради сжатия или ради шифрования?

я на 90% уверен что это просто самопальная защита от копирования данных. Вот посчитал строку на экране, получилось 238 (или около того), в БД зашифрованная 250 байт
подозрение на то что упакованная каким то алгоритмом, потом что строки в упакованном виде очень похожи, если распакованные данные отличаются на 1-2 символа. А я насколько знаю, современные виды шифрования при замене одного символа меняют строку до неузнаваемости

Boriskin · Post by **Boriskin** » 13 Jun 2018 16:17

Позырь, может это LZ/LZW фигня. Оно старинное и широко применяется в раскладах когда надо иметь возможность что-то разжать очень быстро и без вычислительных затрат, а одноразовые затраты на сжатие не волнуют.

ЗЫ Самопал - это было бы слишком сложно

OtherSide · Post by **OtherSide** » 13 Jun 2018 16:22

Boriskin wrote: 13 Jun 2018 16:17 Позырь, может это LZ/LZW фигня. Оно старинное и широко применяется в раскладах когда надо иметь возможность что-то разжать очень быстро и без вычислительных затрат, а одноразовые затраты на сжатие не волнуют.

ЗЫ Самопал - это было бы слишком сложно

я так понимаю в алгоритмах сжатия получается словарь + сам текст, а где тут словарь не понятно и как без него проверить алгоритм

Flash-04 · Post by **Flash-04** » 13 Jun 2018 18:20

Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

OtherSide · Post by **OtherSide** » 13 Jun 2018 18:34

Дизасемблером да пользовался последний раз лет 15 назад даже не знаю что сейчас используют. Поставил IDA под ним приложение не запускается

OtherSide · Post by **OtherSide** » 14 Jun 2018 19:04

пробовал загружать программу через IDA - при запуске вылетает.
к процессу вроде цепляется, но куда ставить брекпоинт?

если руками править значения в базе, вылетает окошко stream read error. На вылет этого окошка можно поставить брекпоинт, что бы дойти через callstack до нужного места

VovaK98 · Post by **VovaK98** » 14 Jun 2018 20:33

ALV00 · Post by **ALV00** » 14 Jun 2018 21:20

Flash-04 wrote: 13 Jun 2018 18:20 Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

А Вы, Flash, должны вообще такие задачи в уме решать

Это же простейшее упражнение на криптоанализ.

AndreyT · Post by **AndreyT** » 14 Jun 2018 22:20

ALV00 wrote: 14 Jun 2018 21:20
Flash-04 wrote: 13 Jun 2018 18:20 Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.
А Вы, Flash, должны вообще такие задачи в уме решать Это же простейшее упражнение на криптоанализ.

Вы имеете в виду

или

???

Uzito · Post by **Uzito** » 14 Jun 2018 22:25

Сдается мне это обычный XOR длинной маской.

VladDod · Post by **VladDod** » 14 Jun 2018 23:12

Извиняюсь ... а это не банальный вопрос кодировки второй половины ASCII ?

Windows-1251----->Привет
КОИ-8 -------------->оПХБЕР
DOS-866 ----------->ЏаЁўҐв

Привет

Реверс инженеринг (алгоритма сжатия)

Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)

Re: Реверс инженеринг (алгоритма сжатия)