recALL 19.05

Publikacja 1 maja 2019 przez

recALL 19.05 wydany! Najnowsza wersja to setki usprawnień, wsparcie dla ponad 20 nowych programów (m.in. Microsoft Edge Chromium w wersji beta, QQ Browser) oraz nowe funkcje (przeglądarka SAM, przeglądarka plików). Wykaz wszystkich zmian poniżej.

Podziękowania dla wszystkich wspierających i testujących program!

Przeglądarki internetowe

Ace Explorer
Microsoft Edge (Chromium)
QQ Browser 10.x
Kinza 5.x

Programy pocztowe

Sylpheed 3.x
PopTrayU 5.x
FoxMail 7.2
CheckMail 5.19

FTP

Graboid Download Manager
gFTP 2.x
Nicotine+ 1.x
GigaTribe
FreeCommander XE
WinNC 8.5

Bazy danych

MiTeC Interbase Query 8.x

Pozostałe

Pantry 1.2
SpotLite 2.x
DynDNS Simply Client 2.x
WinRAR 4.x Password Organizer
Remmina 1.x
Remote Desktop Connection Manager 2.x
RDPManager 1.x (RDP)
Apache Directory Studio 2.x
Punto Switcher 2.5-2.9
Tiandy Easy7 Smart Client Express
Windows SAM (offline); jeśli istnieje SYSTEM w tym samym katalogu
- LM i NTLM hash
Windows LSA (offline); jeśli istnieje SYSTEM w tym samym katalogu
- DefaultPassword
- DialUp
- aspnet_WP_PASSWORD

Formaty plików

RDP
ATLG

Licencje

Overnet (XML, MET)

Poprawki

optymalizacje ogólne
- zmiana wewnętrznego formatu .tdb na .sdb – uproszczona i czytelniejsza struktura
- usunięte zbędne wersjonowanie modułów (ok 30kb)
- liczne optymalizacje przy przetwarzaniu tekstu
- optymalizacja zapisu ustawień globalnych
- usunięta zależność od DCPCrypt
  - RightLoad
  - Stefan
  - selftest – usunięty TwoFish
- HMAC – zwiększenie prędkości przetwarzania danych
obsługa deszyfrowania programów:
- Mozilla:
  - liczne optymalizacje, usunięcie obsługi odzyskiwania haseł przez biblioteki Mozilli
  - zmiana priorytetów dla plików kluczy (key4.db wyższy nad key3.db jeśli istnieją w tym samym katalogu)
  - informacja o ustawionym kluczu głównym, jeśli istnieje
  - możliwość wprowadzenia hasła głównego w oknie “Szczegóły”
  - możliwość ataku słownikowego z poziomu okna “Szczegóły”
- Howard E-Mail Notifier 1.x – dodana obsługa IMAPServer2
- Pidgin2
  - dodana obsługa alternatywnej wersji pliku
  - dodana obsługa plików save
- Microsoft Access 2000 – poprawki w algorytmie deszyfrującym
- DC++ poprawione odzyskiwanie haseł, dodane wsparcie dla plików bak i tmp, obsługa alternatywnych formatów plików
- RealVNC i inne – odzyskiwanie hasła do podglądu (PasswordViewOnly)
- Avant Browser – optymalizacja, usunięte ok 10kb zewnętrznych modułów deszyfrujących
- Skype 4.x – 6.x – uproszczenie algorytmu deszyfrującego
- PSI – usunięty błąd gdy klucz jest pusty (konflikt z Pidgin)
- FullTilt Poker – poprawiona obsługa dysku, optymalizacje
- Forte Agent – optymalizacje
- Nexus File – optymalizacje, ujednolicone deszyfrowanie
- IMVU – optymalizacje
- ASP.NET – usunięty błąd przy zwalnianiu pamięci
- DialUp
  - ograniczenie odzyskiwania tylko do lokalnego systemu (pominięcie systemów z “Menedżera systemów”)
  - usunięty błąd przy zwalnianiu pamięci
- Internet Explorer 10.x-11.x/Edge – ograniczenie odzyskiwania tylko do lokalnego systemu (pominięcie systemów z “Menedżera systemów”)
- Błędnie oznaczanie haseł na czerwono dla programów: Eset Security, JZK X2, Internet Explorer 7.x, FreeGG, FTP Control, HomeNet, mRemoteNG, NetDrive, OrbitDownloader, Razer Synapse, WinBox
Routery
- Dasan H660: odzyskiwanie z nieszyfrowanych plików
- Dasan H660: obsługa szyfrowanych kopii zapasowych (sygnatura: Salted__)
- Dasan H660: sugerowanie hasła CLI dla nowego oprogramowania systemowego
funkcja eksperymentalna: własne skrypty z użyciem PascalScript
- dodany edytor i kompilator modułów
- dodana opcja włączenia własnych modułów
- zobacz: własne moduły
Nowe funkcje haszujące:
- LM, NTLM
Interfejs
- okno ustawień:
  - poprawiono obsługę TAB
  - możliwość zaznaczenia/odznaczenia wszystkich modułów
- naprawiona nawigacja (wstecz, zamknij itd) występująca czasami po skanowaniu
- poprawione wskazania postępu przy automatycznym skanowaniu i aktywnym jednocześnie inteligentnym skanowaniu
- statystyki (czas, użycia modułów, przeskanowanych plików, odzyskanych danych)
- techniczne informacje o modułach dostępne z poziomu statystyk
- możliwość ukrycia statystyk i ikony wsparcia projektu
- poprawiony pasek postępu przy filtrowaniu wyników
- prawidłowe usuwanie duplikatów gdy załączona opcja ukryj login i hasło
- ustawienia: możliwość wyłączenia modułów podczas skanowania
- możliwość wyboru kodowania znaków
- Przebudowane okno “Szczegóły”
- Informacja o systemie użytym do deszyfrowania w oknie “Szczegóły”
- Pauza/wznowienie podczas skanowania
- Możliwość przejścia do okna startowego w narzędziach
DPAPI
- zunifikowane deszyfrowanie we wszystkich modułach
- podgląd obiektu w oknie Szczegóły, interaktywny nawigator po zawartości obiektu
- podgląd obiektu w oknie Tablice systemowe
- Self test DPAPI-Native Crypto
Rejestr (w kolejności modyfikacji)
- przepisana od nowa obsługa rejestru, lepsze wsparcie dla unicode
- format regf: poprawione odzyskiwanie z Wow6432Node
- regf – przyspieszenie odczytu, redukcja użycia pamięci
- creg – drobne optymalizacje
- możliwość odczytu zablokowanych plików SAM/SYSTEM
- poprawiono odczyt plików w formacie regf 1.1 i 1.2
Przeglądarka rejestru:
- naprawiony i zoptymalizowany eksport do pliku w przypadku odczytu rejestru z pliku
- rzeczywiste nazwy kluczy (bez translacji z np $$$PROTO.HIV)
- drobne optymalizacje w formatkach
- możliwość wyboru sposobu otwierania plików (formatowany, RAW)
- poprawione wsparcie dla REG_QWORD, REG_RESOURCE_REQUIREMENTS_LIST dla rejestru systemowego
- automatyczne rozpoznawanie obiektów DPAPI i ich formatowanie
- podgląd obiektów binarnych w przeglądarce binarnej
- naprawiona obsługa binarych wartości domyślnych
- HKLM\SECURITY, HKLM\SAM\SAM, HCKU\Software\Microsoft\Protected Storage System Provider
  - możliwość odczytu z aktualnego systemu po dwukliku na ikonę folderu (w przypadku posiadania odpowiednich uprawnień)
  - możliwość eksportu z aktualnego systemu; jeśli dostępne
- prawidłowe wyświetlanie kluczy dla Windows 64-bit
Self-test:
- usunięte prefiks z nazwy klasy
- poprawiony wynik końcowy przy szyfrach symetrycznych
- testy: HMAC, PBKDF2 zgodne z RFC
Przeglądarka plików
- SQLite 3
- SQLite 3 + SEE (automatyczne deszyfrowanie plików Maxthon, TradeManager 2013)
- INI
- Berkeley DB 1.85 (key3.db)
- CredHist
- FoxMail 7.x (częściowe rec0 i tdat)
Przeglądarka SAM/LSA
- [19.04] LSA: poprawiony błąd parsowania GUID
Pomoc z poziomu CLI (polecenie recall.exe -help)
Skaner sieci bezprzewodowych:
- wykrywanie szyfrowania BIP-GMAC-128, BIP-GMAC-256, BIP-CMAC-256, WPI-SMS4
- nowe generatory WPS PIN: 24bit, 28bit, 32bit, Airocon Realtek
Pozostałe zmiany:
- możliwość wyboru katalogu plików tymczasowych – ręczna konfiguracja w pliku ini config/dir.temp domyślnie %app% (katalog aplikacji)
- możliwość przypisania własnej nazwy protokołu do portu, sekcja [port_mapping] w globalnym pliku ini wartości domyślne:
  - 21=ftp
  - 22=ssh
  - 25=smtp
  - 80=http
  - 110=pop3
  - 119=nntp
  - 143=imap
  - 3306=mysql
  - 5060=sip
- plik konfiguracyjny, sekcja [config] opcja (ręczna konfiguracja):
  - main.registry.max.level – ograniczenie głębokości skanowania rejestru, domyślnie 30
  - main.registry.scan.detail=0 – wyłącza pokazywanie szczegółowych nazwy modułów podczas skanowania na plikach rejestru. Skraca czas skanowania na plikach rejestru o połowę w porównaniu do wersji 16.12 i wcześniejszych. Załączone domyślnie od wersji 18.xx
  - main.registry.scan.detail=1 – włącza pokazywanie modułów podczas skanowania. Zachowanie kompatybilne z wersjami 16.12 i wcześniejszymi. Wolniejsze.
- system plików: usunięte mapowanie do katalogów 32-bitowych w systemach 64-bitowych
- system plików: poprawione tworzenie plików tymczasowych
- po zakończeniu skanowania próba znalezienia funkcji skrótu na podstawie wszystkich znalezionych loginów i haseł
- wyszukiwanie hashy online:
  - dodane funkcje SHA1, LM i NTLM
  - przeniesione na koniec wyszukiwania
- odzyskiwanie haseł metodą słownikową po zakończonym skanowaniu (dodatkowe opcje w ustawieniach)
- poprawki w modułach tłumaczących interfejs

Napisano w Ogólne