Реверс инженеринг (алгоритма сжатия)

[OtherSide]

Попала в руки древняя софтина, из которой нужно выжать данные.
Определил, что использует БД firebird, часть полей зашифрована
Смог определить соответвие зашифрованным данным, и разшифрованым.
Алгоритм шифрования на 99% один и тот же, т.к. копировал и подсовывал для чтения программе данные и она их читала. Если ручками вносить помехи пишет Read stream error



расшифровывается вот в такое

2=1.17;7=1.17;8=1.17;$$$$

Первые 3 символа понятно что - длина в HEX (20 - длина потока 32 байта, первая 2 длина '20')

Думаю, что это остальные это какой то стандартный алгоритм сжатия. На эти мысли наводит то, что выходные строки, отличающиеся на 1-2 символа зашифрованы с отличием где-то 20-30%, остальное так же

Подскажите куда копать, чем может быть запаковано

[Boriskin]

Какая ось, какой объем шифрования/сжатия (отдельные строки, килобайты етс), примерный возраст софта и насколько быстро происходит сжатие - разжатие? Требуется ли вводить пароль или оно само распаковывается?
Ответы на эти вопросы могут существенно уменьшить кол-во кандидатов.

[OtherSide]

Какая ось, какой объем шифрования/сжатия (отдельные строки, килобайты етс), примерный возраст софта и насколько быстро происходит сжатие - разжатие? Требуется ли вводить пароль или оно само распаковывается?
Ответы на эти вопросы могут существенно уменьшить кол-во кандидатов.

На самом деле обновления софта происходят до сих пор, но судя по всему был начат в какой то гос конторе чуть ли в 90х, БД FireBird и похоже это написано на делфи.
Расжатие происходит мгновенно, там зашифрованы отдельные строки, объем - ну как обычно в БД объем строк с наименованиями.. в пределах 200-300 символов. Для юзера вообще это шифрование никак незаметно, столкнулся уже когда возникла потребоность перенести базу в MSSQL и использовать в своей версии софта.

Вот скрин из ib expert для наглядности

https://snag.gy/vmM0YN.jpg

[AndreyT]

Так а что показывает статистика по более длинным строкам: это все таки делается ради сжатия или ради шифрования?

[OtherSide]

Так а что показывает статистика по более длинным строкам: это все таки делается ради сжатия или ради шифрования?

я на 90% уверен что это просто самопальная защита от копирования данных. Вот посчитал строку на экране, получилось 238 (или около того), в БД зашифрованная 250 байт
подозрение на то что упакованная каким то алгоритмом, потом что строки в упакованном виде очень похожи, если распакованные данные отличаются на 1-2 символа. А я насколько знаю, современные виды шифрования при замене одного символа меняют строку до неузнаваемости

[Boriskin]

Позырь, может это LZ/LZW фигня. Оно старинное и широко применяется в раскладах когда надо иметь возможность что-то разжать очень быстро и без вычислительных затрат, а одноразовые затраты на сжатие не волнуют.

ЗЫ Самопал - это было бы слишком сложно

[OtherSide]

Позырь, может это LZ/LZW фигня. Оно старинное и широко применяется в раскладах когда надо иметь возможность что-то разжать очень быстро и без вычислительных затрат, а одноразовые затраты на сжатие не волнуют.

ЗЫ Самопал - это было бы слишком сложно

я так понимаю в алгоритмах сжатия получается словарь + сам текст, а где тут словарь не понятно и как без него проверить алгоритм

[Flash-04]

Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

[OtherSide]

Дизасемблером да пользовался последний раз лет 15 назад даже не знаю что сейчас используют. Поставил IDA под ним приложение не запускается

[OtherSide]

пробовал загружать программу через IDA - при запуске вылетает.
к процессу вроде цепляется, но куда ставить брекпоинт?

если руками править значения в базе, вылетает окошко stream read error. На вылет этого окошка можно поставить брекпоинт, что бы дойти через callstack до нужного места

[VovaK98]

XOR

[ALV00]

Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

А Вы, Flash, должны вообще такие задачи в уме решать Это же простейшее упражнение на криптоанализ.

[AndreyT]

Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

А Вы, Flash, должны вообще такие задачи в уме решать Это же простейшее упражнение на криптоанализ.

Вы имеете в виду



или



???

[Uzito]

Сдается мне это обычный XOR длинной маской.

[VladDod]

Извиняюсь ... а это не банальный вопрос кодировки второй половины ASCII ?

Windows-1251----->Привет
КОИ-8 -------------->оПХБЕР
DOS-866 ----------->ЏаЁўҐв

[ALV00]

Вы имеете в виду
или
???

Например, так

phpBB [video]

[Flash-04]

Я так понял автор не умеет дизассемблером пользоваться, иначе бы тему не создавал.

А Вы, Flash, должны вообще такие задачи в уме решать Это же простейшее упражнение на криптоанализ.

может и должен, но не хочу я уже затрахался на работе всеми этими упражнениями заниматься. дайте отдохнуть наконец!!!

[AndreyT]

Извиняюсь ... а это не банальный вопрос кодировки второй половины ASCII ?

Windows-1251----->Привет
КОИ-8 -------------->оПХБЕР
DOS-866 ----------->ЏаЁўҐв

Тема не будет полна без упоминания "бНОПНЯ ВХРЮК?", тем более что возможность более чем подходящая

[OtherSide]

Извиняюсь ... а это не банальный вопрос кодировки второй половины ASCII ?

Windows-1251----->Привет
КОИ-8 -------------->оПХБЕР
DOS-866 ----------->ЏаЁўҐв

дело не в кодировке, т.к. не прослеживается посимвольного соответвия, и длина не совпадает с оригиналом.
Подозрения что это пожато, а не зашифровано, т.к. похожие надписи с разным окончанием (отличающимся не сильно, т.е. на 3-5 символов) тоже отличаются в конце. Надписи, которые начинаются одинаково, но вторая половина другая отличаются в начале и в конце. Поэтому подозрение, что там в начале словарь для разжатия, а дальше поток битов

[OtherSide]

По декодировке есть прогресс (Спасибо приветовцу, очень сильно помог). Но закончился триал программы, переустановил винду с переразбивкой диска, отключил интернет, запускаю, пишет "невозможно установить лицензию для отладки" - тут даже идей не возникает, а где он мог сделать на компьютере пометку?! Реестра то нет никакого, диск переразбит, интернет при установке отключен?

[Мальчик-Одуванчик]

По декодировке есть прогресс (Спасибо приветовцу, очень сильно помог). Но закончился триал программы, переустановил винду с переразбивкой диска, отключил интернет, запускаю, пишет "невозможно установить лицензию для отладки" - тут даже идей не возникает, а где он мог сделать на компьютере пометку?! Реестра то нет никакого, диск переразбит, интернет при установке отключен?

При желании можно поменять бит в определенном месте флешки. Обычно в конце достаточно неиспользуемого места, забитого FF
Или между загрузчиком и биосом.

[OtherSide]

А разве операционка даст писать в биос? Как это может работать универсально? Как можно полностью отформатировать системный диск? Переразбивки не достаточно?

[Мальчик-Одуванчик]

А разве операционка даст писать в биос? Как это может работать универсально?

Легко, полно утилит для материнок, которые скачивают и обновляют флешку.
Универсальность можно достичь двумя путями - считывать размер флеша и смотреть в конец
Или смотреть в конец загрузчика - он обычно занимает фиксированный размер в начале флешки.

[Serguei666]

По декодировке есть прогресс (Спасибо приветовцу, очень сильно помог). Но закончился триал программы, переустановил винду с переразбивкой диска, отключил интернет, запускаю, пишет "невозможно установить лицензию для отладки" - тут даже идей не возникает, а где он мог сделать на компьютере пометку?! Реестра то нет никакого, диск переразбит, интернет при установке отключен?

Не проще ли лицензию купить?

[OtherSide]

Помогло посекторная очистка диска + перепрошивка Биос, что из этого конкнетно - не ясно.