Взлом платных архивов ZipCoin

[DCRM]

Приветствую всех! Сегодня мы будем взламывать архив ZipCoin. Многие Вы наверно слышали про ZipCoin, а те кто нет объясню в вкратце:

«ZipCoin – это просто архиватор, это проект объединяющий портал, партнёрку и архиватор в одно целое… Конечно ZipCoin не единственный проект подобного типа их не мало, подобные проекты пришли на замену обычным запароленым RAR-архивам код к которым можно было получить отправив SMS или с помощью оплаты по средствам электронных денег. Цена получение пароля может колебаться с 15 руб. (75 тг) до 300 руб. (1500 тг). По поводу оплаты могут тоже выставлены свои ограничения, например возможен вариант что оплата возможна всеми 3 способами (SMS, Звонок, Электронные деньги), а возможен вариант что только одним или например SMS-оплата возможна только для определенных стран, всё зависит от автора архива.»

У некоторых возникнет вопрос: «А зачем мозги напрягать, а не легче отправить SMS, но иногда бывает риск, что место необходимых файлов там окажется «ненужный мусор»!

В системе защиты таких архивов как ZipCoin всегда было полно дыр, например как возможность замета Hex-значений, и мы будем взламывать использую подобную дырку. Точней заменив определенные Hex-значения получим возможность разархивации без ввода пароля.

Приступим! Для начала создайте копию архива, так как если Вы допустите ошибку от архив может стать нечитабельным. Открываем архив с помощью Hex-редактора (например WinHex), для начала переходим к адресу нашего байта 0095EC, обычно его значение (в 99% случаях) равно 75, и меняем его на EB…

Далее переходим к следующим адресам 06B33C и 06B33D их значения 74 и 0F, и мы должны их оба заменить на значение 90 (в смысле выставляем и одному и второму)

Теперь нам остается сохранить наши изменения и запустить наш архив, нажимаем Разархивировать, вылезает окно предлагающее ввести пароль, ничего не вводим про жмем Извлечь файлы, и Вуаля! Пошла разархивация!

Внимание!!! Если в байте 0095EC стоит 74, то это другая версия и надо байт 009635 изменять c 84 на 85.

Как Вы видите всё довольно просто! Этим способом можно без проблем взломать 99% архивов ZipCoin, единственный случай когда я Вам не рекомендую использовать данный способ разархивации, когда в архиве много файлов и папок, так они могут перемешаться (лично у меня однажды такое случилось при разархивации скриптов), это случается редко, но случается…

Вот Вам ссылочка на материалы, которые использовались в процессе написания статьи. Удачи Вам в Ваших начинаниях!!!

(c) Серёга

[_Kadr_]

Вот накидал утилитку.
http://file.qip.ru/file/yuvXraEc/AntiZipCoin.html

[Deementor]

_Kadr_,
Собственно по сабжу, норм утилитка, но как и в коменте сказано, с новьем не работает. Докидай в нее "дровишек".

[xx_Yoda]

Наверное, описанное тут решение устарело. По указанным адресам у меня стоят совсем иные данные.
Внешне Zipcoin не отличается от тех, на которых описанный подход работает. Может есть более свежие решения?

[Lake365]

А если там стоит 13 (в байте 0095EC)...? тогда как быть...?

[Vetal M]

Всем привет, я новичок в этом деле, у меня тоже стоит 13, что делать? как ломать

[rubilinks]

1. Статья хороша, но морально устарела, есть свежие идеи?
2. Дайте ссылочку на грамотный материал по этому вопросу, ведь не понятно почему надо менять именно эти значения, хочется понять сам алгоритм и логику подобных взломов.
3. Заранее спасибо!!!

[StarFire]

Цитата: Сообщение от rubilinks ...2. Дайте ссылочку на грамотный материал по этому вопросу, ведь не понятно почему надо менять именно эти значения, хочется понять сам алгоритм и логику подобных взломов. ...

Алгоритм и логика простая - нужно уметь работать с дизассемблером (отладчиком), ну и соответственно читать дизассемблированный код...
В данном конретном случае условные переходы заменяются на переходы другого типа (картинка 1), либо убираются (заменяются на NOP) (картинка 2) - для того, чтобы игнорировать отсутствие (неправильный ввод) ключа-пароля...
Ну как-то вот так

[Sievert]

Не пробовал ли кто-нибудь поработать WinHex'ом с современными платными архивами? За три года много чего поменялось. По приведённой схеме совсем другие данные, она не срабатывает, что вполне естественно.

[ancool80]

У меня стоит 74 но в байте 009635 не 84 а 4F может кто знает че куда ставить?

[DarkAvnger]

У меня стоит
в байте 0095EC 4D
в байте 009635 45
по адресам 06B33C и 06B33D 03 и 8D
подскажите что и как делать

может кто знает че куда ставить?

[StarFire]

ancool80, DarkAvnger, я уже писал здесь (правда, модератор почему-то удалил, без объяснения причин - так что извиняюсь, если что нарушил ) - скиньте мне в личку этот архив (или ссылку, откуда брали) - посморю, что можно сделать

[Vaniaa]

StarFire, есть ещё такие платные архивы как ZIPMONSTER или ZIPPRO. Они упакованы в настоящие архивы, так что сломоть конечно их не получится, только подбором. Но дело в том что программы для подбора поролей их не видят, гововят это не архив, и соответственно даже непытаются начать подбор. Но архиваторы их видят, например 7-Zip нормально видит в них архивы, при распаковки просит ввести пароль. Что нужно сделать с этими архивами что бы их начили видеть программы для подбора паролей?
Вот для примера маленький архив ZIPMONSTER http://rghost.ru/4428316
это я сам его паковал для тестирования. Он ещё упакован обычным rar архивом, что бы не определялся как вирус антивирусами непонятно почему.

Вот маленький архив ZIPPRO http://rghost.ru/4428746 то же дополнительно упакован обычным rar архивом.

[Mapc_]

Аналогичная проблема как у DarkAvnger, и ancool80, так что взломать архив не удалось.
Интересно. с чем связана замена значений в коде, можете обьяснить? *вопрос наверное из разряда "новичков", но в принципе я им и являюсь)*

[Aqel]

Ясное дело!! почему значения адресов другие - авторы данных платных архивов тоже не дремлют - Бабло ведь хотят получать!