Vorwort: In den letzten Tagen habe ich einen Hilfebeitrag im Schulforum gefunden, über das Knacken des PDFs, das mit EXE verschlüsselt ist, und ich habe im Forum gesucht und denselben Beitrag gefunden. Nachdem ich die relevanten Methoden geprüft hatte, kontaktierte ich den Helfer, besorgte mir einen Satz von verifizierten Maschinencodes und Passwörtern und begann mit dem Knacken von Maschinencode-Ersatz und der Extraktion von PDF-Dateien. (pseudo-original)
Ich schaffe es nicht passwortloses Blasten, du kannst auf den Beitrag antworten, um zu kommunizieren.
Aus urheberrechtlichen Gründen wurden alle relevanten Softwareinformationen codiert und verarbeitet, und die Datei wird nicht als Beispiel hochgeladen, sondern bietet lediglich Kommunikationsreferenzmöglichkeiten. Dieser Artikel dient ausschließlich Studien- und Forschungszwecken; Der Inhalt darf nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls trägt der Nutzer alle Konsequenzen, und ich übernehme dafür keine Verantwortung.
Siehe den unterbrochenen Text:
1.Der Hyperlink-Login ist sichtbar.
2.Der Hyperlink-Login ist sichtbar.
Vorbereitungswerkzeuge:
ExeinfoPE (Shell und grundlegende PE-Informationen), OD (keine Erklärung), Process Monitor + Process Explorer (Prozess- und zugehörige Betriebsüberwachung), PCHunter (für die endgültige Dateiextraktion), Adobe Acrobat DC Pro (Adobes PDF-Anzeige, Bearbeitung, Export usw.)
Hauptthema:
Für den regulären Betrieb verwenden Sie EXEInfoPE, um zuerst die Shell zu überprüfen
Delphi, es sieht nach einer Muschel aus. Die virtuelle Maschine versucht, direkt zu öffnen
Tatsächlich ist es nicht so einfach, es gibt eine virtuelle Maschinenerkennung, und du verlässt nach dem Klicken. Ich habe diese virtuelle Maschinen-Erkennung nicht gebrochen, sondern direkt auf Win10 (aber das wird nicht empfohlen, wenn es ein verstecktes Pile-Grid, Herunterfahren usw. gibt, ist das sehr gefährlich). Erstens ist es etwas umständlich, und zweitens ist das technische Niveau möglicherweise nicht erreichbar. Wenn du gute Fähigkeiten hast, kannst du es ausprobieren. Das Nächste ist alles auf der Win10-Plattform: Am besten schaltet man Defender nach dem Betrieb aus, da das My Love Toolkit blockiert und falsch gemeldet werden kann
Nach dem Start der exe ist die Schnittstelle wie auf dem Bild gezeigt, und ein Ordner namens drmsoft wird im Root-Verzeichnis des C-Laufwerks generiert. Baidu kann seine Geschäftsinformationen erhalten
Ziehe OD hinein und öffne Process Explorer, Process Monitor und PCHunter. Laut Referenzartikel 2 verwenden Sie Strg+G im OD, springen Sie zur Position "00401000" (diese Adresse sollte Ihnen bekannt sein, da es sich um einen gemeinsamen Ladeeingang handelt) und verwenden Sie die chinesische Such-Intelligenzsuche, um die in der Abbildung gezeigte Zeichenkette (die letzte Zeichenfolge von 00000) zu finden.
Nach dem Doppelklicken zum Springen wechselt man den Breakpoint unter F2 an der in Abbildung 2 gezeigten Stelle (beim zweiten Zug der beiden Bewegungen in der Mitte der 3 Aufrufe), und dann führt F9 das Programm aus
Man sieht, dass nach der erfolgreichen Trennung der Maschinencode dieser Maschine im Fenster erscheint, wie in der Abbildung gezeigt
Rechtsklick auf den Maschinencode, wähle "Folgen im Datenfenster", wähle den Maschinencode unten und klicke mit Rechtsklick auf Binär-Bearbeiten, um ihn durch den verifizierten Maschinencode zu ersetzen, der als normal verifiziert wurde
Nach dem Austausch läuft F9 weiter, und man sieht, dass der Maschinencode der Softwareschnittstelle auf den oben genannten Maschinencode geändert wurde
Sehen Sie sich den Prozess (zusätzlicher Prozess unter OD) im Process Explorer an, um seine PID zu kennen, löschen Sie das Ereignis im Process Monitor, um die Erfassung zu stoppen, stellen Sie den Filter gemäß der PID ein und aktivieren Sie die Erfassung
Füge dann das Passwort zum Maschinencode ein, um es erfolgreich zu öffnen, klicke oben rechts auf Drucken, und ein Fenster erscheint, das das Drucken verbietet. Nachdem die Software geöffnet wurde, sind Screenshots verboten (Zwischenablage ist deaktiviert) und das Öffnen bestimmter Software und Fenster ist verboten (Urheberrecht, Diebstahlschutz) und dürfen nur mit dem Handy aufgenommen werden, um sie anzuzeigen (Pixel bleiben undefiniert)
Oder benutze OD, um nach "prohibit printing" zu suchen, finde die Schlüsselaussage und NOP direkt die jnz-Aussage, die den Sprung zum Start des Drucks bestimmt
Hinweis: Sie müssen außerdem den Print Spooler-Service des Systems aktivieren, um die Druckfunktion zu aktivieren
Ich dachte, ich könnte jetzt PDF-Drucken exportieren, und dachte, es sei erledigt, aber als ich gedruckt habe, habe ich einen Fehler gemacht und ist abgestürzt (PS: Wenn kein Fehler vorliegt, mach es einfach weiter gemäß Referenzartikel 1).
Diese Zugriffsverletzung wurde mit Baidus Methode immer noch nicht gelöst, was wirklich hilfreich ist. Deshalb werden der oben erwähnte Process Explorer, Process Monitor und PCHunter verwendet
Zu diesem Zeitpunkt sollte Process Monitor viele, viele Ereignisse erfasst haben. Die Guessing-Software funktioniert, indem sie temporäre Dateien (.tmp Dateien) freigibt, schauen Sie sich einfach die Funktionsweise der Datei im Prozessmonitor an
Mir ist aufgefallen, dass die Software eine temporäre Datei namens 6b5df im C:Users Benutzername-Verzeichnis AppdataLocalTemp veröffentlicht hat, während sie lief, und habe vermutet, dass es sich um die PDF-Datei handelt (beachte, dass es auch viele Operationen auf der Datei im Process Monitor gibt und viele temporäre Dateien später erscheinen, aber hier musst du dir nur die temporäre Datei ansehen, die zum ersten Mal erscheint).
Erweitern Sie anschließend in der PCHunter-Datei das Verzeichnis AppdataLocalTemp des Benutzernamens C:Users, suchen Sie die Datei namens 6b5df.tmp und klicken Sie doppelt, um sie zu öffnen. Das Pop-up-Fenster fragt, wie es geöffnet wird, und wählt Adobe Acrobat DC aus
Schließlich habe ich die PDF-Datei erfolgreich geöffnet, und nach Durchsicht betrug die Seitenzahl immer noch 126 Seiten, und die Datei war vollständig
Schließlich verwenden Sie die Funktion "speichern als", um als PDF-Datei zu exportieren, und die Extraktion ist abgeschlossen
|
Veröffentlicht am 21.11.2018 09:08:27
|
|
|
|
Veröffentlicht am 17.04.2020 16:22:35
|
