Forord: For nylig fandt jeg et hjælpeindlæg på skoleforummet om at knække PDF'en, der er krypteret med EXE, og jeg søgte på forummet og fandt det samme opslag. Efter at have konsulteret de relevante metoder kontaktede jeg hjælperen, fik et sæt maskinkoder og adgangskoder, der var verificeret, og begyndte at knække maskinkodeudskiftning og udtrække PDF-filer. (pseudo-original)
Jeg kan ikke opnå adgangskodefri blasting, du kan svare på opslaget for at kommunikere
Af ophavsretlige årsager er al relevant softwareinformation blevet kodet og behandlet, og filen uploades ikke som et eksempel, men giver kun metoder til kommunikationsreference. Denne artikel er kun til studie- og forskningsformål; Indholdet må ikke bruges til kommercielle eller ulovlige formål, ellers bærer brugeren alle konsekvenser, og jeg påtager mig intet ansvar for dette.
Se den ødelagte tekst:
1.Hyperlink-login er synlig.
2.Hyperlink-login er synlig.
Forberedelsesværktøjer:
ExeinfoPE (shell og grundlæggende PE-information), OD (ingen forklaring), Process Monitor + Process Explorer (proces- og relateret operationsovervågning), PCHunter (til endelig filudtræk), Adobe Acrobat DC Pro (Adobes PDF-visning, redigering, eksport osv.)
Hovedemne:
For almindelig drift skal du bruge EXEInfoPE til først at tjekke skallen
Delphi, det ligner ingen skal. Den virtuelle maskine forsøger at åbne direkte
Ganske rigtigt, det er ikke så simpelt, der er virtuel maskindetektion, og du vil lukke efter at have klikket. Jeg brød ikke denne virtual machine-detektion, jeg gjorde det direkte på win10 (men det anbefales ikke, hvis der er et skjult pile-gitter, nedlukning osv., er det meget farligt). For det første er det lidt besværligt, og for det andet kan det tekniske niveau være utilgængeligt. Hvis du har gode færdigheder, kan du prøve det. Det næste sker på win10-platformen, det er bedst at slå defender fra efter operation, da det kan blokere og fejlrapportere My Love Toolkit
Efter at have startet exe-filen er grænsefladen som vist på billedet, og en mappe ved navn drmsoft genereres i rodmappen på C-drevet. Baidu kan få sine forretningsoplysninger
Træk OD ind og åbn Process Explorer, Process Monitor og PCHunter. Ifølge referenceartikel 2 skal du bruge Ctrl+G i OD, springe til positionen "00401000" (denne adresse bør være velkendt, det er en almindelig indlæsningsprogramindgang), og brug den kinesiske søgeintelligente søgning til at finde strengen som vist i figuren (den sidste streng af 00000).
Efter dobbeltklik for at springe, skift breakpoint under F2 på det sted, der vises i figur 2 (ved det andet træk af de to bevægelser midt i de 3 kald), og derefter kører F9 programmet
Det kan ses, at efter den vellykkede frakobling vises maskinkoden for denne maskine i vinduet som vist i figuren
Højreklik på maskinkoden, vælg "Følg i Datavindue", vælg maskinkoden nedenfor og højreklik Binær-Rediger for at erstatte den med den maskinkode, der er blevet verificeret til at fungere normalt
Efter udskiftning fortsætter F9 med at køre, og du kan se, at maskinkoden i softwaregrænsefladen er ændret til maskinkoden ovenfor
Se processen (yderligere proces under OD) i Process Explorer for at kende dens PID, slet hændelsen i Process Monitor for at stoppe optagelsen, sæt filteret efter PID'en, og tænd for optagelsen
Indsæt derefter adgangskoden til maskinkoden for at åbne den, klik på print i øverste højre hjørne, og et vindue, der forbyder udskrivning, vil dukke op. Efter softwaren er åbnet, er skærmbilleder forbudt (udklipsbræt deaktiveret), og åbning af visse programmer og vinduer er forbudt (ophavsret, tyverisikring), og kan kun tages med mobiltelefonen for at vise dem (pixels vil være udefinerede)
Eller brug OD til at søge efter "forbyd udskrivning", find nøglesætningen og NOP direkte den jnz-sætning, der vurderer springet for at starte print.
Bemærk: Du skal også aktivere systemets Print Spooler-tjeneste for at aktivere printfunktionen
Jeg troede, at jeg på dette tidspunkt burde kunne eksportere PDF-udskrivning, og jeg troede, det var gjort, men da jeg printede, lavede jeg sådan en fejl og crashede (PS: Hvis der ikke er nogen fejl, så fortsæt bare med det i henhold til reference artikel 1)
Denne adgangsovertrædelse er stadig ikke blevet løst med Baidus metode, som er virkelig hjælpeløs. Derfor bruges Process Explorer, Process Monitor og PCHunter nævnt ovenfor
På dette tidspunkt burde Process Monitor have fanget mange, mange begivenheder. Gættesoftware fungerer ved at frigive midlertidige filer (.tmp filer), bare se på filens funktion i Procesovervågningen
Jeg bemærkede, at softwaren udgav en midlertidig fil kaldet 6b5df i C:Users brugernavn AppdataLocalTemp-mappen, mens den kørte, og gættede på, at det var PDF-filen (bemærk at der også er mange operationer på filen i Process Monitor, og der er mange midlertidige filer, der dukker op senere, men her skal du kun kigge på den midlertidige fil, der vises første gang)
Dernæst, i PCHunter-filen, udvid C:Users brugernavnet AppdataLocalTemp-mappen, find filen kaldet 6b5df.tmp, og dobbeltklik for at åbne den. Pop-up-vinduet spørger, hvordan det åbner, og vælg Adobe Acrobat DC
Endelig åbnede jeg PDF-filen, og efter gennemgang var antallet af sider stadig 126 sider, og filen var komplet
Til sidst brug funktionen gem som til at eksportere som en PDF-fil, og udpakningen er færdig
|
Opslået på 21/11/2018 09.08.27
|
|
|
|
Opslået på 17/04/2020 16.22.35
|
