LionHeart

у проги есть дата файлы.

они то ли пожаты то ли зашифрованы.

при дебуг (по моим скромным познания) выяснилось что в проге используется zlib и вероятно файлы пожаты им

помогите люди добрые чем можно точно выяснить состояние файлов?

(у файлов нет сигнатур по которым можно определить "ху из ит")

Kuzia

Утилит много, напр. PEiD или Quick.Unpack. Инструментарий (а так-же информацию на данную тему) можно раздобыть на wasm.ru. В крайнем случае (если использован какой-нить новый упаковщик) можно сдампить софтину из памяти, а потом при помощи все того-же инструментария восстановить таблицы импорта / релокейшина / етц.

Упс, не въехал в тему до конца. Распаковать надо именно файлы данных софтины? Ну тогда универсальных способов нет. Выложи файлы, поковыряю.

LionHeart

Кузя, исполнимый фаил был пожат upx.

запустил через дебугер и вроде нашел чем запакованы\шифрованы файлы

я еще не точно уверен так как мои познания в работе с деббугером очень скромны
но :

структура дат файлов

zlib кодированный с использованием функций мд4

вывод сделал из того что на в дебуге нашел текст ошибок где упоминается zlib

в дебуге нашел функции вызываемые из библиотеки advapi32.dll

MD4Init
MD4Update
MD4Pad
MD4Final
MD4End
MD4File
MD4Data
....в дебугере я вижу параметры передаваемые для функции.
а что с этим делать?...Хелп ми

Kuzia

Слишком мало информации дабы я мог чем-либо помочь. Можно только предположить, что MD4 используется для получения ключа, которым как-либо шифруются данные. Никаких предположений относительно формата данных или какие данные используются для получения ключа, не имея ни самой софтины ни файлов данных я сделать не могу. Универсальных способов для получения подобного рода информации нет, да и быть не может. Количество вариантов ограничено только извращенностью фантазии разработчика софтины.

solor2001

А саму прогу распаковал? На чем написана? Или сдумпить в запущеном состоянии и анализировать... RVA тогда надо найти и т.д. Проще в проге найти кусок кода, который работает с дат-файлом

LionHeart

написана если судить по дебугеру на с+
...анализировать... знал бы что искать

есть исполняемый фаил 3.5 метра
и дата файлы 708, 99 и 16 метров.

из того что я понял если подменить фаил то он попробует в любом случае обратится к нему и только потом вылетит.

LionHeart

http://webfile.ru/1769785 - 17+ метров

Klez

скорей всего файлы твои записаны в формате который знает только сама прога, т.е. без файловой структуры. Насколько я понял у тебя нет пароля, но ты хочешь его подобрать, судя по тому что используется MD4, врядли автор был любителем считающим ксорку супершифром.
Хотя всякое бывает, я однажды встречал софтину которая для проверки файла лицензии использовала цифровую подпись и шифрование RSA, но довольно нехитрым способом получилось обвести проверку вокруг носа и сгенерить любой файл лицензии с любыми параметрами

LionHeart

объясню увереность в том что это архив и в том что там файловая структура

вот сегодня прога обновилась.

были скачаны 3 сотни мелких файликов и все добавлены в один их дата файлов.

при просмотре ехеш-ника четко видно какие файлы , когда и зачем считываются, даже мне (я почти баобаб в этом)

так что...все еще надеюсь на помощь

solor2001

гм... 17 Мб по gprs качать долго. А вобще интересно . А какое целевое назначение проги? Что она может хранить в дат-е?

LionHeart

там все

картинки \ звуки \ конфиги - все что обычно есть в игре.

во время скачивания обнов на другой комп выяснил что такая же система работы с закодированными данными в апдейтере , но он всего 800+ кб весит ну и функций в нем меньше, что плюс для дебага.

прога скачала с инета 52 файла (ясное дело что зашифрованные были все, даже хмл-ки и один ини фаил)

и встроила их (уверен на мильен - просто запаковала) к одному из датафайлов (точно знаю какому так как изменился размер и хеш файла)

...хнык хнык....что делать дальше - них понимать

solor2001

ладно... скачаю гляну что-ли...

solor2001

ага, скачал. что-то совсем не стартует она... ошибки и все такое

LionHeart

дык ему оно же главный дат фаил ищет (700) метров ....