Криптография - статьи



Алгоритм декодирования ресурсов из PWL-файла с правильным паролем - часть 2


02A0: 49 53 54 49 41 4E 5C 44 68 65 6C 6C 67 61 74 65 |ISTIAN\Dhellgate

Ее формат такой:

? длина ресурса (WORD), в нашем примере - 26(0x1A) байт.

? длина логина (WORD), в нашем примере - 10 символов.

? длина пароля (WORD), в нашем примере - 8 символов.

? BYTE, назначение которого пока точно не известно.

? тип хранимого ресурса (BYTE):

  • 1 = NT Domain
  • 2 = NT Server
  • 3 = Shared
  • 4 = MAPI
  • 6 = Dial-Up
  • 18 = NetWare
  • 19 = WWW
  • Далее располагаются логин, а после него - пароль.

    В нашем примере - тип ресурса "Shared", логин "CRISTIAN\D", пароль "hellgate".
    (Примечание: для Shared-ресурсов запись CRISTIAN\D будет означать следующее: CRISTIAN - имя компьютера, а D - ресурс, предоставленный для общего пользования.)

  • Далее анализируем текущий блок с ресурсами, пока не перевалили за N, "поглядывая" в таблицу по адресу 0x109, т.к. в PWL-файлах между блоками ресурсов очень часто бывает "мусор" (неисповедимы пути Microsoft), а в этой таблице будет точное указание - в каком блоке сколько ресурсов.



  • Содержание  Назад  Вперед