Winmend Folderhidden

[amarok]

Guten Tag werte HaBo's!

Ich werde versuchen mich kurz und sachlich zu halten.
Aus haushaltlichen Gründen hatte ich sensible persönliche Dateien in einem Folder gesammeltund diesen dann mit genanntem Freewareprogramm "versteckt".
Nun ist es leider so, daß der Zahn der Zeit an meinen Synapsen genagt hat und ich mich ums Verrecken nicht mehr an das gesetzte Passwort erinnern kann.
Welche Möglichkeiten habe ich um den Ordner "zurückzuholen"?
Muss es bruteforcing sein? Ich würde gerne vermeiden mir potenziell verseuchte Progs aus dem Netz zu ziehen.
Gibt es Möglichkeiten dieses Problem über das OS zu lösen?

Win7, Winmend FolderHidden, mein Rechner-also uneingeschränkter Zugang und Rechte, Folder liegt ganz ordinär auf einer HDD Partition.

lg und prophylaktischen Dank

 

[psittacus]

Vielleicht hilft das:
I lost the password of WinMend Folder Hidden. Can I get my password back? How?

 

[amarok]

Hilft mir leider nicht weiter, da ich vor Jahren die Freewareversion geladen und installiert habe(chip.de) somit keine order-id besitze.

Edit: Order-Id wurde falsch aufgefasst.
Wäre dennoch dankbar für Vorschläge die nicht auf einer monetären Lösung beruhen.

 

[CDW]

Das Passwort wird hier im Klartext gespeichert (nicht im Explorer/CMD unter WinXP zugänglich - sollte wohl die Ausnutzung irgendeines Bugs/Legacyverhaltens sein)

C:\Winmend~Folder~Hidden\...\cn\842925246-2025429265-HidePassword.ini

wobei der numerische Teil höchstwahrscheinlich variieren kann.

Lösungsmöglichkeiten:
0) Debuggen der Anwendung - mittels Debugger ist das Programm leicht dazu zu bewegen, z.B das Password anzuzeigen oder die Falscheingabe zu ignorieren.
1) einen alternativen Dateimanager suchen oder es mit einer Pinguin-LiveCD probieren.
2) Die Anwendung "Getpassword" aus "Getpass.zip" (siehe den obigen Link: I lost the password of WinMend Folder Hidden. Can I get my password back? How?) ausführen und die Ausgabe (mit Kommata getrennte Zahlen) selbstständig dekodieren, ohne eine Gebühr zu zahlen


2.1) Details:
die "Kodierung" ist einfach - es gibt eine 15-stellige Konstante(?) "147258369123456", die dann, Stelle für Stelle, zum jeweiligen ASCII Wert des Passwortbuchstabens addiert und letzendlich diese Zahlen (dezimal) vom Programm dargestellt werden - a la "117,118,123,116,120,"

z.B für das Password "test"
Z.B "ascii(t) == 116, 116 + 1 = 117, ascii(e) == 101, 101 + 4 = 105," usw mit (+7, + 2).

Ich habe mal schnell ein Pythonscript (benötigt Python 2.7, https://www.python.org/downloads/release/python-278/ ) zusammengehacktschustert, welches zumindest in der Testumgebung (WinXP + das oben erwähnte Programm in der letzen verfügbaren Version) funktioniert hat:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import sys

MAGIC_VAL = [int(c) for c in "147258369123456"]

def main():
    print("Obfuscated password:")
    obfuscated_pw = [int(raw_word.strip())
                     for raw_word in sys.stdin.readline().split(',')
                     if raw_word.strip().isdigit()]
    
    print("Result:")
    map(sys.stdout.write, [chr(c_val - m_val)
                           for c_val, m_val in zip(obfuscated_pw, MAGIC_VAL)])

main()
sys.stdin.readline()

Ausführbar aus der Kommandozeile

python hide_folder_decode.py

oder mit Doppelklick.

Bsp. Ein/Ausgabe:

CDW@highlander-jr:~/projects/habo/06.04.15 % python hide_folder_decode.py 
Obfuscated password:
119,105,121,123,113,119,113,109,121,98,117,118,123,116,120,
Result:
verylongpasswor

Edit:
Um mögliche Probleme mit Copy&Paste aus dem Browser in eine Textdatei zu vermeiden, habe ich das Script zusätzlich gepackt&angehängt.

 

[Kirby]

die "Kodierung" ist einfach - es gibt eine 15-stellige Konstante(?) "147258369123456"

Mich betrifft dieses Problem nicht, jedoch fand ich dein Beitrag gut

Mich würde noch interessieren, wie du auf die Konstante gekommen bist? Google oder durch RE?

[OFFTOPIC]
Wollte den Beitrag gerne liken. Aber entweder ich bin blind geworden oder ist der "Like" Button verschwunden/verschoben.
[/OFFTOPIC]

 

[CDW]

Google oder durch RE?

Die Ausgabe des "PW-Recovery-Tools" sah schon verdammt verdächtig aus (für "test": 117, 105, ... <zwei weitere Zahlen> - gleiche Länge und ganz nah an Originalwerten dran - da war schon der erste Gedanke "rot13/Verlgeichbares").

Und mal im Debugger laufen lassen war jetzt kein großer Aufwand - ein Breakpoint auf "CreateFile" Aufruf, warten bis die "supergeheime Datei" geöffnet wird, dann ein Breakpoint auf "ReadFile" - das Passwort taucht nach dem Aufruf als Referenz auf dem Stack auf und kurz danach wird diese auffällige Konstante als String geladen - und an dieser Stelle war schon fast klar, was gleich passiert (vor allem, wenn man sich zuerst die Tool-Ausgaben für verschiedene Passwörter angeschaut hat)

ist der "Like" Button verschwunden/verschoben.

Die dafür genutze VBulletin-Komponente wird mittlerweile nicht mehr unterstützt und stellt ein Sicherheitsrisiko dar. Es wurde vorerst abgeschaltet und wird ggf. ersetzt.