Предговор: В последните дни намерих помощен пост във форума на училището за разбиване на PDF, криптиран от EXE, и потърсих във форума и намерих същия пост. След консултация с подходящите методи се свързах с помощника, получих набор от машинни кодове и пароли, които бяха проверени, и започнах разбиване на машинен код и извличане на PDF файлове. (псевдо-оригинал)
Не мога да постигна blasting без парола, можеш да отговориш на публикацията, за да комуникираш
Поради авторски права, цялата релевантна софтуерна информация е кодирана и обработена, а файлът не се качва като пример, а предоставя само методи за комуникация. Тази статия е само за изучаване и изследователски цели; Съдържанието не трябва да се използва за търговски или незаконни цели, в противен случай потребителят носи всички последствия, а аз няма да нося никаква отговорност за това.
Вижте счупения текст:
1.Входът към хиперлинк е видим.
2.Входът към хиперлинк е видим.
Инструменти за подготовка:
ExeinfoPE (обвивка и основна информация за PE), OD (без обяснение), Process Monitor + Process Explorer (мониторинг на процеси и свързани операции), PCHunter (за финално извличане на файл), Adobe Acrobat DC Pro (Adobe PDF преглед, редактиране, експортиране и др.)
Основна тема:
За обикновена работа използвайте EXEInfoPE, за да проверите обвивката първо
Делфи, изглежда няма черупка. Виртуалната машина се опитва да отвори директно
И наистина, не е толкова просто, има откриване от виртуална машина и ще излезеш след кликване. Аз не разбих това откриване на виртуални машини, направих го директно на win10 (но това не се препоръчва, ако има скрита мрежа от купчини, изключване и т.н., е много опасно). Първо, това е малко проблематично, а второ, техническото ниво може да не е достижимо. Ако имаш добри умения, можеш да опиташ. Следващото нещо е направено на платформата win10 – най-добре е да изключите Defender след операция, може да блокира и да отчита погрешно My Love Toolkit
След стартиране на exe файла, интерфейсът е както е показан на картината, а в кореновата директория на C диска се генерира папка с име drmsoft. Baidu може да получи своята бизнес информация
Влачете OD и отворете Process Explorer, Process Monitor и PCHunter. Според статия 2, използвайте Ctrl+G в OD, прескочете до позицията "00401000" (този адрес трябва да ви е познат, това е често срещан вход в програма за зареждане) и използвайте интелигентното търсене на китайско търсене, за да намерите низа, както е показано на фигурата (последният низ на 00000).
След двойно кликване за скок, сменете точката на прекъсване под F2 на мястото, показано на фигура 2 (при второто движение на двата хода в средата на трите повиквания), и след това F9 стартира програмата
Може да се види, че след успешното прекъсване, машинният код на тази машина се появява в прозореца, както е показано на фигурата
Кликнете с десен бутон върху машинния код, изберете "Follow in Data Window", изберете машинния код по-долу и кликнете с десния бутон Binary-Edit, за да го замените с машинния код, който е проверен да работи нормално
След замяна, F9 продължава да работи и се вижда, че машинният код на софтуерния интерфейс е променен към горния машинен код
Прегледайте процеса (допълнителен процес под OD) в Process Explorer, за да знаете неговия PID, изчистете събитието в Process Monitor, за да спрете улавянето, настройте филтъра според PID и включите заснемането
След това поставете паролата, съответстваща на машинния код, за да я отворите успешно, натиснете "печат" в горния десен ъгъл и ще се появи прозорец, забраняващ печата. След като софтуерът бъде отворен, скрийншотовете са забранени (клипбордът е изключен), а отварянето на определен софтуер и Windows е забранено (авторски права, антикражба), и може да се прави само с мобилния телефон, за да бъде представен (пикселите ще бъдат недефинирани)
Или използвайте OD, за да потърсите "забрани печат", да намерите ключовото изявление и директно да NOP изказването на jnz, което определя скока за започване на печат
Забележка: Трябва също да активирате услугата Print Spooler на системата, за да активирате функцията за печат
Мислех, че вече трябва да мога да експортирам PDF печат, и мислех, че е готово, но когато отпечатах, направих такава грешка и се срине (P.S.: Ако няма грешка, просто продължете според статия 1)
Това нарушение на достъпа все още не е решено с метода на Baidu, който е наистина безпомощен. Затова се използват Process Explorer, Process Monitor и PCHunter, споменати по-горе
До този момент Process Monitor би трябвало да е заснел много, много събития. Софтуерът за предположение работи като пуска временни файлове (.tmp файлове), просто погледнете работата на файла в Process Monitor
Забелязах, че софтуерът е пуснал временен файл на име 6b5df в директорията C:Users username AppdataLocalTemp, докато е работил, и предположих, че това е PDF файлът (обърнете внимание, че има и много операции във файла в Process Monitor, а има и много временни файлове, които се появяват по-късно, но тук трябва да погледнете само временния файл, който се появява за първи път)
След това, в PCHunter файла, разширете директорията C:Users username AppdataLocalTemp, намерете файла с името 6b5df.tmp и кликнете два пъти, за да го отворите. Изскачащият прозорец пита как се отваря и избира Adobe Acrobat DC
Накрая успешно отворих PDF файла и след преглед броят на страниците остана 126 страници и файлът беше завършен
Накрая, използвайте функцията за запазване като експорт като PDF файл и извличането е завършено
|
Публикувано в 21.11.2018 г. 9:08:27 ч.
|
|
|
|
Публикувано в 17.04.2020 г. 16:22:35 ч.
|
