Předmluva: V posledních dnech jsem našel příspěvek s pomocí na školním fóru o prolomení PDF šifrovaného pomocí EXE, a prohledal jsem fórum a našel stejný příspěvek. Po konzultaci s příslušnými metodami jsem kontaktoval pomocníka, získal ověřenou sadu strojových kódů a hesel a začal s prolomením náhrady strojového kódu a extrakcí PDF souborů. (pseudo-originál)
Nemohu dosáhnout blastování bez hesla, můžete odpovědět na příspěvek a komunikovat
Z autorských důvodů byly všechny relevantní informace o softwaru naprogramovány a zpracovány a soubor není nahrán jako vzorek, slouží pouze jako komunikační reference. Tento článek slouží pouze ke studiu a výzkumu; Obsah nesmí být používán pro komerční nebo nelegální účely, jinak nese veškeré následky uživatel a já za to nenesu žádnou odpovědnost.
Odkazujte na rozbitý text:
1.Přihlášení k hypertextovému odkazu je viditelné.
2.Přihlášení k hypertextovému odkazu je viditelné.
Přípravné nástroje:
ExeinfoPE (shell a základní informace o PE), OD (bez vysvětlení), Process Monitor + Process Explorer (monitorování procesů a souvisejících operací), PCHunter (pro finální extrakci souborů), Adobe Acrobat DC Pro (Adobe pro prohlížení, úpravu, export atd.)
Hlavní téma:
Pro běžný provoz použijte EXEInfoPE k nejdřív kontrole shellu
Delphi, vypadá to na žádnou skořápku. Virtuální stroj se snaží otevřít přímo
A skutečně, není to tak jednoduché, existuje detekce virtuálního stroje a po kliknutí odejdete. Tuto detekci virtuálního stroje jsem nenarušil, udělal jsem to přímo na win10 (ale to se nedoporučuje, pokud je tam skrytá hromada mřížky, vypnutí atd., je to velmi nebezpečné). Za prvé, je to trochu složité, a za druhé, technická úroveň nemusí být dosažitelná. Pokud máš dobré dovednosti, můžeš to zkusit. Další věc, která se dělá na platformě Win10, je nejlepší po operaci Defender vypnout, může zablokovat a špatně nahlásit My Love Toolkit
Po spuštění exe je rozhraní zobrazeno na obrázku a v kořenovém adresáři disku C je vygenerována složka s názvem drmsoft. Baidu může získat informace o podnikání
Přetáhni OD a otevři Process Explorer, Process Monitor a PCHunter. Podle referenčního článku 2 použijte Ctrl+G v OD, přejděte na pozici "00401000" (tato adresa by měla být známá, je to běžný vstup do načítacího programu) a použijte čínské vyhledávání inteligentního vyhledávání k nalezení řetězce, jak je znázorněno na obrázku (poslední řetězec 00000).
Po dvojkliku pro skok přepněte bod přerušení pod F2 na místě zobrazeném na obrázku 2 (při druhém pohybu ze dvou pohybů uprostřed 3 volání) a poté program spustí F9
Je vidět, že po úspěšném odpojení se strojový kód tohoto stroje objeví v okně, jak je znázorněno na obrázku
Klikněte pravým tlačítkem na strojový kód, vyberte "Follow in Data Window", vyberte strojový kód níže a pravým kliknutím klikněte na Binary-Edit, abyste jej nahradil strojovým kódem, který byl ověřen jako normální
Po výměně F9 pokračuje v provozu a je vidět, že strojový kód softwarového rozhraní byl změněn na strojový kód výše
Zobrazit proces (další proces pod OD) v Process Exploreru, abyste poznali jeho PID, vymažte událost v Process Monitoru pro zastavení zachycení, nastavte filtr podle PID a zapněte zachycení
Pak vložte heslo odpovídající strojovému kódu, abyste ho úspěšně otevřeli, klikněte na tisk v pravém horním rohu a objeví se okno zakazující tisk. Po otevření softwaru jsou screenshoty zakázány (schránka je deaktivována) a otevírání některých programů a oken je zakázáno (autorská práva, ochrana proti krádeži) a lze je pořídit pouze mobilním telefonem (pixely budou nedefinované)
Nebo použijte OD k vyhledání "prohibit printing", najděte klíčové prohlášení a přímo NOP jnz příkaz, který posuzuje skok pro zahájení tisku
Poznámka: Také musíte povolit službu Print Spooler systému, abyste mohli umožnit tiskovou funkci
Myslel jsem, že bych už měl být schopen exportovat PDF tisk, a myslel jsem, že je to hotové, ale když jsem tiskl, udělal jsem takovou chybu a spadl (PS: Pokud chyba není, pokračujte podle referenčního článku 1)
Toto porušení přístupu stále nebylo vyřešeno Baiduovou metodou, která je opravdu bezmocná. Proto se používají výše zmíněné Process Explorer, Process Monitor a PCHunter
V té době by Process Monitor měl zachytit mnoho, mnoho událostí. Tipuji, že software funguje tak, že uvolňuje dočasné soubory (.tmp soubory), stačí se podívat na fungování souboru v Process Monitoru
Všiml jsem si, že software při spuštění uvolnil dočasný soubor s názvem 6b5df v adresáři C:Users AppdataLocalTemp, a tipoval jsem, že jde o PDF soubor (všimněte si, že v Process Monitoru je také hodně operací na souboru a mnoho dočasných souborů se objeví později, ale zde stačí podívat se na dočasný soubor, který se objeví poprvé)
Dále v souboru PCHunter rozbalte uživatelské jméno C:Users adresář AppdataLocalTemp, najděte soubor s názvem 6b5df.tmp a dvojitým kliknutím ho otevřete. Okno se ptá, jak se otevírá, a vyberte Adobe Acrobat DC
Nakonec jsem úspěšně otevřel PDF soubor a po zkontrolování bylo stále 126 stran a soubor byl kompletní
Nakonec použijte funkci uložit jako export do PDF souboru a extrakce je dokončena
|
Zveřejněno 21.11.2018 9:08:27
|
|
|
|
Zveřejněno 17.04.2020 16:22:35
|
