Je vais faire bref mais complet. Je bosse acutellement sur le packaging Debian/Ubuntu d'ophcrack qui est un cracker de mot de passe MS Windows basé sur des Rainbow Tables. C'est assez hallucinant niveau performances.
Cependant je me heurte à un problème: ophcrack utilise deux petits binaires pour dumper les mots de passe depuis l'arborescence de Windows. Et c'est bien là que j'ai un problème:
 

 
Comme vous pouvez le voir sur screenshot les hashes des mot de passe trouvé sur amd64 et sur sparc bkhive n'arrive même pas à ouvrir le fichier...
 
Je demande vous propose donc, à vous qui savez codé en C et s'affranchir des problème d'endianess et de taille des registres de m'aider à porter ses applis sur toutes les archs.
 
Il est important de noter que c'est de très petits binaires, il n'y a peu de code mais le C reste encore très mistérieux pour moi
 
 
Je vous mets à dispo des fichiers sorti de mon arbo Windows ce qui vous permettra de tester le résultat :

• Le fichier system: http://www.le-vert.net/divers/ophcrack-tools/system
• Le fichier sam: http://www.le-vert.net/divers/ophcrack-tools/sam

Vous pouvez facilement tester ses deux applis en faisant:

 
Les hashes devraient s'afficher et doivent correspondre aux hashes obtenue sur la machine i386 (cf screenshot).
 
 
Les sources sont disponibles ici:

• Bkhive: http://www.le-vert.net/divers/ophc [...] 0.1.tar.gz
• Samdump2: http://www.le-vert.net/divers/ophc [...] 0.1.tar.gz

En vous remerciant d'avance... Toute contribution, la plus minime soit-elle est évidemment la bienvenue!
 
Merci!

Interessant ton projet...
 
Je fait du c (plutot du c++ maintenant) et je me penche donc doucement sur ton probleme... mais attantion, j'ai pas vraiment de temps en ce moment... alors je ne pense pas faire beaucoup avancer les choses mais bon
 
La toute petite aide que je peut tout de suite apporter: pour compiler samdump2, il faut installer la librairie libssl-dev ... voilou, je suis sur ubunutu.
 
J'ai une chtite question concernant l'uilisation : j'imagine que /tmp/syskey, c'est le fichier de sortie ??? a priori si ce fichie n'existe pas le programme le cree???
Parce que j'ai des erreurs sur samdump2 : error reading from /tmp/syskey    
Normal ce fichier existe pas !! ???
 
pour kbhive, il me sort : Error accessing key JD    Wrong/corrupted hive??
 
J'imagine qu'il n'arrive pas a lire le fichier :-( saletes !! bah c'est bien tout ton probleme je crois...
JE regarderai mais enfin, deja sous ubuntu i686 dapper.. ca n'a pas l'air de marcher, pourtant c'est proche d'une debian !!

Oui il faut libssl en effet, j'ai des paquets Debian de prêt.
 
En fait voila la théorie du truc.
 
sam contient les hash des passwords. Il est crypté par une clef appelé syskey/bootkey. Bkhive decrypte cette clé dans le fichier system et la store dans /tmp/syskey.
Ensuite samdump decrypte le fichier sam avec la syskey que t'as extrait avec bkhive et dump les hashes des passwords.
 
Je vais essayer de voir pourquoi ca marche pas chez toi

Oups excusez-moi c'est une erreur de typo, j'ai inversé les deux fichiers, j'édite

 
Tu veut dire que mon Sam devrai d'appeler system ???
Parce que c'est ce que je viensde voir : le nom de la cle lue par bkhive (chez moi, avec moult printf) me renvoie un nom de type SAM... hmmm
 
Tu confirme : il faut que j'intervertisse mes deux noms de fichiers "cles", system et sam .???
 
[edit] apres test : j'ai fait manger mon fichier system a bkhive et ca me donne bien le bon type de cle...
Par contre, j'ai un magnifique sgfault !
 
[edit2] : j'ai une piste pour mon segfault :  
Dans le fichier hive.cpp, ligne 106 environ (j'ai ajoute des printf, j'ai pas pile poil les meme numero que ceux telechargeables) :  
 

 
pour comprendre ce qu'il se passe, voila ce que j'affiche :  
 

 
Dans la console, il me sort :  
 

 
C'est logique : n->key_name fait 11 caracteres, et t 12... et n->name_len fait 44, donc il compare les 44 premiers octets entre t et n->key_name... !!!
 
Il y a donc un soucis au niveau de l'initialisation de n, effectue probablement (c'est la lecture que je fait du code hein je demande confirmation) par la fonction read_nk, appelee ligne 99 par cette meme fonction...
 
Elle est ou cette fonction ????   Je la trouve pas !!

Tes fichiers sont bons, faut juste appelé system via bkhive et sam par samdump (j'ai éditer le premier post )
 
PS: Tu es sur quelle architecture ?
 

Desole.. un peut fatigue la pas trouve comme un idiot
 
Bon un petit uname -a :  

 
voilavoila..
 
Sinon, je trouve le comportement de memcmp bizarre... la fonction _RegOpenKey est d'abord appelee une premiere fois dans le main, surement pour diverses init, pas trop fouille vu que ca passe, et puis ensuite elle est appellee dans une boucle effectuant 4 passages...
Donc vu ou sont places mes printf, je devrais avoir en tout 5 fois les fameuses infos que j'ai placees dans la fonction..
Hors j'ai ca :  
 

 
[edit] Mon segfault n'est pas encore bien localise.. j'ai ajoute un autre debug a la sortie de la fonction... et celui-ci s'affiche !
D'ailleurs, la fonction renvoie 0, ce qui est bien (lecture reussie a priori)
Et mon segfault est donc plus loin : c'est probablement du au vidage du buffer de sortie qui ne se fait pas bien, et qui m'a trompe sur la source de l'erreur

je pense qu'il faut être particulièrement attentif aux opérations sur les bits, le comportement n'est pas garanti il me semble d'une architecture à une autre, comme par exemple :
 

bkhive segfault pour moi sur i386...

 
peut-être un problème avec les fichiers sam et system que tu propose ? peux-tu les mettre dans une archive ou donner un checksum pour vérifier que le transfert est ok ?

 
Plantage au meme endroit pour moi... apres avoir enfin vide mon stdout ;-)

Ok j'ai ca en sortie de bkhive apres des modifs vraiment TRES etranges :  
 

 
Cay bon ou pas??
 
[edit] ca a l'air d'etre pas mal : la sortie du samdump apres bkhive :  

Voila mon fichier bkhive.cpp, j'ai modifie juste untruc : bizarrement l'acces aux deux premieres cases du tableau kn fait planter la lecture suivante de ce meme tableau !!!
Et uniquement les deux premieres cases   si quelqu'un peut comprendre d'où cela vient !
 
Enfin, avec un hack à la con, chez moi ca fait marcher (apparemment) le programme bkhive... je n'ai pas d'erreur ) priori sur samdump
 

ory: ils sont okay les fichiers, je l'ai retesté chez moi
 

 
Merci pour le debug guepe, je teste ca sur la sparc !

Hum je pourrais pas toute de suite
 
Si vous êtes encore motivés il y'a le problème de samdump qui donne un résultat complètement pourri sur amd64

Je veut bien m'y essayer.. mais comment je peut faire ?? Je n'ai qu'un centrino x86 32 bits moi ??
 
Si y'a une methode quelconque, je suis preneur ... On peut "emuler" une plateforme en compilant d'une maniere particuliere un programme ?? c'est possible ca???  

qemu?

OK, ce sera pas pour moi ;-) Chacun son tour !!!
Au fait, sur sparc ca donne quoi ?

 
dev only je crois

 
je parlais pour le transfert vers quelqu'un d'autre que toi genre je télécharge ces fichiers binaires,comment je peux être sûr qu'ils sont bien passés, et donc que le segfault ne vient pas d'un fichier mal transféré ?

Bah heuu je peux te donner les md5 si tu veux.

 
oui, par exemple

 
Hello, j'ai un amd64, et ça a l'air de marcher sans modif du source :
 

 
 
 
 
 
edit : au temps pour moi j'ai lu en diagonale, et je croyais que c'était censé planter ...
Bref, ça ne marche pas, les hashes sont bien incorrects.

 
Allez zou au debug ;-)
 
Comme la dit ory, faudrait regarder les resultats intermediaires au niveau des operation binaires...
Faut se creer une sorte de 'trace' des differentes operations binaires(enfin de leur resultat) et comparer avec un 32 bits... ca permettrait de localiser la ou les operations qui foire(nt) .. Qu'en penses-tu ??
 
Je n'ai absolument plus le temps de coder quelques logs biens places... a quelqu'un d'autre !

J'ai un gros doute là... Les opérations binaires sont, il me semble, invariantes selon les plateformes. Ce qui varie, c'est l'ordre des octets.

 
un débuggeur quoi    

 
le problème c'est qu'il semble pour chacun de nous 2
 
Il faudrait réussir à mettre la main sur ce que dit la norme

Si vous voulez je fais le teste, dit moi juste quoi ajouter et à quelle ligne

J'ai enfin pu tester sur la sparc (free )
 
C'est toujours pareil
 

au fait, pas pour powerpc ?
 
Je vais y consacrer du temps, vu que ces problèmes d'endianess m'intéressent
 
Seule condition, je voudrais avoir un moyen de vérifier l'intégralité des fichiers system et sam que tu propose à télécharger (un md5 ou un sha1 par exemple), histoire de pas brasser du vent à cause d'un download foireux

J'ai pas de powerpc
 
Cependant je pense que t'auras le même blem sur sparc.
 

 
Merci pour ton aide

 
M'etonne pas tellement... Mon "hack" est tellement foireux... Pourquoi donc est-ce que je ne peut pas acceder a ce fameux tableau (en tout cas les deux premieres cases) sans tout faire planter??
Je soupçonne que le probleme n'a rien a voir avec ce tableau ou son utilisation... Probablement une operation invalide ailleurs qui ressort d'une facon ou d'une autre, mais de maniere differentes selon l'architecture???
 
J'avoue que la j'ai plus le temps, j'avais juste une apres-midi...

 
Bon, en fait, j'en suis sûr
 
http://fr.wikipedia.org/wiki/Endianness

bon, j'ai enfin un shell sur un amd64, j'essaye de trouver

Okay ^^
 
Merci

bon, sur x86 j'ai trouvé la raison du sigsegv
 

 
en gros il y a corruption de données en mémoire, son hack fait que kn se retrouve écrasé au début (les premiers éléments)
 
Là j'essaye de trouver une solution pas trop cracra

Cool !

bon, déjà ca marche pour x86, je poste le patch ce soir après quelques validations
 

C'est bizarre votre blem sur x86, moi j'en ai aucun )
 
Le problème que j'ai c'est que bkhive n'arrive pas a ouvrir le fichier system sur la sparc et samdump trouve des hash miteux sur amd64. J'ai pas pu tester sur d'autre archis mais on aura sans doute des problèmes simlaires

 
moi je peux faire les tests pour powerpc et amd64, par contre pour sparc tout court j'ai rien sous la main, mais sparc64 si, j'ai une ultra5

Debian est pas encore porté en sparc64 donc c'est du sparc normal 32bits
 
Et ma sparc est aussi uen Ultra5 donc tu peux testé sans problème dessus
 
Merci beaucoup en tout cas, mes paquet attendent au chaud