Криптография - статьи

       

Формат PWL-файлов Windows'OSR2/98/ME


Информация о формате PWL-файлов компанией Microsoft нигде и никогда не документировалась, и, хотя в Интернете можно найти много различных документов по форматам PWL-ок, вся эта информация взята из практического использования этих файлов и в основном написана авторами программ, аналогичных PWLInside.

Подробно рассмотрим в качестве примера следующий PWL-файл:

0000: E3 82 85 96 03 00 00 00 02 00 01 00 00 00 00 00

0010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00



00B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0100: 00 00 00 00 00 00 00 00 00 0D 03 FF FF FF FF FF

0110: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0120: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0130: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0140: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0150: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0160: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0170: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0180: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0190: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

01A0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

01B0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

01C0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

01D0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF


01E0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

01F0: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

0200: FF FF FF FF FF FF FF FF 52 02 00 00 00 00 00 00

0210: 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00

0220: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0230: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0240: 01 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00

0250: 00 00 88 51 47 58 2C 74 13 7C 6F D7 9E 9D 58 59

0260: 0B 3A A5 22 85 22 94 80 58 F9 61 00 B6 51 72 28

0270: D5 D7 3A 58 23 03 DD BC A7 4B E7 E2 71 65 66 CE

0280: 3F 58 FC 59 76 02 F0 12 8E 5F 79 94 39 E0 36 29

0290: 13 B9 8E 3B A1 F3 74 D4 78 38 01 E0 B5 FE DE A3

02A0: 80 CC 4E B7 67 1D 7C 36 7B C5 AA 76 4C D0 8E EE

02B0: 28 78 8A BB 7A 5A 81 2C AB 29 79 97 33 89 60 79

02C0: F7 6C 1C 72 1B 33 0A 09 F2 7E E4 3A A6 BE F4 C6

02D0: AE 06 DE 31 67 BB EA 7B D5 CA AE 01

Теперь внимательно посмотрим, из каких полей состоит файл:


  1. Сразу оговорю следующие ограничения PWL-файлов: в файле может находится максимум 16 блоков ресурсов. Максимальное количество ресурсов в файле - 255. Это ограничения самой Windows. В каждом блоке может располагаться любое количество ресурсов, но их суммарное количество не может быть больше 255. И еще одно ограничение PWL-файла - то, что он не может быть больше 64кБ.


  2. Итак, первое, что мы видим - это сигнатура (т.е. первые 4 байта файла), которая равна 0x968582E3, сразу же замечу, что у PWL-файлов от Windows'3.11/95 сигнатура другая - 0x4E464DB0.


  3. По смещению 0x4 следует DWORD с неизвестным содержимым.


  4. По смещению 0x8 следует WORD. Он определяет общее кол-во ресурсов в файле. В нашем примере - 2 ресурса.


  5. Начиная с адреса 0x00A до адреса 0x109 располагается странная таблица размером 255 байт. Какую она содержит информацию, известно лишь Microsoft. Есть предположение, что там хранятся номера ресурсов, хотя эта таблица для декодирования данных из файла в принципе не нужна.


  6. Начиная с адреса 0x109 до адреса 0x208 находится другая таблица (тоже размером 255 байт), в которой хранится такая информация: любой байт из этой таблицы равный i (кроме 0xFF) означает, что i-й блок содержит ресурсы. Количество одинаковых байт равных i в данной таблице отражает количество ресурсов в i-м блоке. В нашем примере - 1-й байт в таблице показывает, что у нас имеются ресурсы в 13-м (0x0D) блоке, а 2-й байт в таблице показывает, что у нас имеются ресурсы в 3-м блоке ресурсов.




  7. По адресу 0x208 находится DWORD (у нас он равен 0x00000252), который определяет смещение CryptoSign. Кстати, я в этом поле других значений не видел ни в одной PWL-ке!


  8. С адреса 0x20C по 0x24C располагается массив CryptoSeed[16], он необходим для декодирования всех 16 блоков ресурсов.


  9. По адресу 0x24C располагается CheckSeed (DWORD), с которого и начинается декодирование PWL-файла.


  10. Далее идут два нулевых байта. Какую они несут функцию - неизвестно.


  11. По адресу 0x252 располагается массив CryptoSign (16 байт).


  12. По адресу 0x262 располагается массив CheckSign (16 байт) - этот массив вместе с CryptoSign является "контрольным значением" для определения правильности пароля. Их применение рассмотрим ниже.


  13. По адресу 0x272 располагается массив из 15 WORD'ов - это адреса 15 блоков ресурсов, начиная со второго. Адрес же первого ресурса всегда один и тот же и составляет 0x290. Эти адреса уже являются зашифрованными. Посмотрим, что это будут за байты после декодирования правильным паролем:


0270: .. .. 92 02 94 02 96 02 B2 02 B4 02 B6 02 B8 02

0280: BA 02 BC 02 BE 02 C0 02 C2 02 C4 02 D8 02 DA 02

Как мы видим - действительно там находятся адреса! Эти адреса никогда не могут быть одинаковымии получается, что если блок ресурсов пустой, то он все равно занимает 2 байта  - это мы видим на начальных адресах: 0x292, 0x294 - эти значения ссылаются на "мусор", ресурсы же в этом файле находятся по адресам 0x296 ... 0x2B2 и 0x2C4 ... 0x2D8 - это видно по тому, что разница между этими соседними адресами больше двух байт и т.к. мы уже отмечали, у нас 3-й и 13-й блок имеют ресурсы (см. пункт 6).

  • А с адреса 0x290 начинаются непосредственно ресурсы. Эти данные также зашифрованы. После дешифрования мы увидим, что с адресов 0x296 и 0x2C4 действительно есть что-то, похожее на ресурсы :)


  • 0290: 4C 9C 50 94 C9 82 1A 00 0A 00 08 00 01 03 43 52 |L.P...........CR

    02A0: 49 53 54 49 41 4E 5C 44 68 65 6C 6C 67 61 74 65 |ISTIAN\Dhellgate

    02B0: E3 A8 CF DD 80 8A 8D 9A 1B 97 6B B9 BD F0 AE 9A |....?.....k.....

    02C0: 5C D4 20 88 12 00 05 00 05 00 00 04 4D 41 50 49 |\. .........MAPI

    02D0: 00 4D 41 50 49 00 28 F3 1D B2 90 80             |.MAPI.(....?

    Как правильно декодировать ресурсы и их формат будет рассмотрен ниже.


    Содержание раздела