我正在尝试对某些二进制格式进行逆向工程:我想,其中必须有一些text和exe \ res文件。它的签名(幻数)是51 4B,zip存档有50 4B。此外,过滤strings输出为我们提供了一些看似文件边缘\文件名的文件名。 zipinfo也可以识别其中的zip结构:
-rw-rw-r-- 2.0 fat 10 Bl defN 14-May-05 12:12 logfile.txt
-rw-rw-r-- 2.0 fat 2614 Bl defN 14-May-05 12:12 00f479aa.bin
-rw-rw-r-- 2.0 fat 124 Bl defN 14-May-05 12:12 00f479aa.hsh
-rw-rw-r-- 2.0 fat 23852 Bl defN 14-May-05 12:12 00f531f7.bin
-rw-rw-r-- 2.0 fat 760 Bl defN 14-May-05 12:12 00f531f7.hsh
-rw-rw-r-- 2.0 fat 2250 Bl defN 14-May-05 12:12 00f957dc.bin
-rw-rw-r-- 2.0 fat 124 Bl defN 14-May-05 12:12 00f957dc.hsh
-rw-rw-r-- 2.0 fat 23982 Bl defN 14-May-05 12:12 00fa7e40.bin
-rw-rw-r-- 2.0 fat 760 Bl defN 14-May-05 12:12 00fa7e40.hsh
-rw-rw-r-- 2.0 fat 10154 Bl defN 14-May-05 12:12 00fe6d31.bin
-rw-rw-r-- 2.0 fat 352 Bl defN 14-May-05 12:12 00fe6d31.hsh
-rw-rw-r-- 2.0 fat 2016 Bl defN 14-May-05 12:12 01010be9.bin
-rw-rw-r-- 2.0 fat 112 Bl defN 14-May-05 12:12 01010be9.hsh
-rw-rw-r-- 2.0 fat 714218 Bl defN 14-May-05 12:12 01044b56.bin
....
这看起来像是一些磁盘增量备份:http://www.drivesnapshot.de/en/differential.htm。
简单unzip不起作用
file #176: bad zipfile offset (local header sig): 2730237
和zip -FF
失败
Found spanning marker, but did not expect split (multi-disk) archive...
Found spanning marker, but did not expect split (multi-disk) archive...
此外,似乎文件以某种方式加密(由于zipinfo -v):
logfile.txt
offset of local header from start of archive: 0
(0000000000000000h) bytes
file system or operating system of origin: MS-DOS, OS/2 or NT FAT
version of encoding software: 2.0
minimum file system compatibility required: MS-DOS, OS/2 or NT FAT
minimum software version required to extract: 2.0
compression method: deflated
compression sub-type (deflation): normal
file security status: encrypted
extended local header: yes
这是否意味着没有办法获得它们?或者zip文件中的加密与rar文件一样弱? (可以很容易地强制执行。)
文件扩展名为tbulic11。有什么想法吗?
PS那不是竞争或非法的东西 - 只是有趣和自己的安慰:)