|
|
Δημοσιεύτηκε στις 21/11/2018 9:08:27 π.μ.
|
|
|
|
Πρόλογος: Τις τελευταίες ημέρες, βρήκα μια ανάρτηση βοήθειας στο φόρουμ του σχολείου σχετικά με το σπάσιμο του PDF κρυπτογραφημένου από το EXE και έψαξα στο φόρουμ και βρήκα την ίδια ανάρτηση. Αφού συμβουλεύτηκα τις σχετικές μεθόδους, επικοινώνησα με τον βοηθό, έλαβα ένα σύνολο κωδικών μηχανής και κωδικών πρόσβασης που είχαν επαληθευτεί και ξεκίνησα τη διάρρηξη αντικατάστασης κώδικα μηχανής και την εξαγωγή αρχείων PDF. (ψευδο-πρωτότυπο)
Δεν μπορώ να επιτύχω ανατίναξη χωρίς κωδικό πρόσβασης, μπορείτε να απαντήσετε στην ανάρτηση για να επικοινωνήσετε
Για λόγους πνευματικών δικαιωμάτων, όλες οι σχετικές πληροφορίες λογισμικού έχουν κωδικοποιηθεί και υποβληθεί σε επεξεργασία και το αρχείο δεν μεταφορτώνεται ως δείγμα και παρέχει μόνο μεθόδους για αναφορά επικοινωνίας. Αυτό το άρθρο προορίζεται μόνο για σκοπούς μελέτης και έρευνας. Το περιεχόμενο δεν θα χρησιμοποιηθεί για εμπορικούς ή παράνομους σκοπούς, άλλως ο χρήστης θα υποστεί όλες τις συνέπειες και δεν θα φέρω καμία ευθύνη για αυτό.
Ανατρέξτε στο σπασμένο κείμενο:
1.Η σύνδεση με υπερσύνδεσμο είναι ορατή.
2.Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Εργαλεία προετοιμασίας:
ExeinfoPE (κέλυφος και βασικές πληροφορίες PE), OD (χωρίς εξήγηση), Process Monitor + Process Explorer (παρακολούθηση διεργασιών και σχετικών λειτουργιών), PCHunter (για εξαγωγή τελικού αρχείου), Adobe Acrobat DC Pro (προβολή, επεξεργασία, εξαγωγή PDF της Adobe κ.λπ.)
Κύριο θέμα:
Για τακτική λειτουργία, χρησιμοποιήστε το EXEInfoPE για να ελέγξετε πρώτα το κέλυφος
Δελφοί, δεν μοιάζει με κέλυφος. Η εικονική μηχανή προσπαθεί να ανοίξει απευθείας
Σίγουρα, δεν είναι τόσο απλό, υπάρχει ανίχνευση εικονικής μηχανής και θα βγείτε αφού κάνετε κλικ. Δεν έσπασα αυτήν την ανίχνευση εικονικής μηχανής, το έκανα απευθείας στο win10 (αλλά αυτό δεν συνιστάται, εάν υπάρχει κρυφό πλέγμα πασσάλων, τερματισμός λειτουργίας κ.λπ., είναι πολύ επικίνδυνο). Πρώτον, είναι λίγο ενοχλητικό και δεύτερον, το τεχνικό επίπεδο μπορεί να μην είναι προσβάσιμο. Εάν έχετε καλές δεξιότητες, μπορείτε να το δοκιμάσετε. Το επόμενο πράγμα γίνεται στην πλατφόρμα win10, είναι καλύτερο να απενεργοποιήσετε το defender μετά τη λειτουργία, μπορεί να μπλοκάρει και να αναφέρει εσφαλμένα το My Love Toolkit
Μετά την εκκίνηση του exe, η διεπαφή είναι όπως φαίνεται στην εικόνα και δημιουργείται ένας φάκελος με το όνομα drmsoft στον ριζικό κατάλογο της μονάδας δίσκου C. Η Baidu μπορεί να λάβει τις επιχειρηματικές της πληροφορίες
Σύρετε το OD και ανοίξτε το Process Explorer, το Process Monitor και το PCHunter. Σύμφωνα με το άρθρο αναφοράς 2, χρησιμοποιήστε Ctrl+G στο OD, μεταβείτε στη θέση "00401000" (αυτή η διεύθυνση θα πρέπει να είναι γνωστή, είναι μια κοινή είσοδος προγράμματος φόρτωσης) και χρησιμοποιήστε την έξυπνη αναζήτηση κινεζικής αναζήτησης για να βρείτε τη συμβολοσειρά όπως φαίνεται στο σχήμα (η τελευταία συμβολοσειρά του 00000).
Αφού κάνετε διπλό κλικ για άλμα, αλλάξτε το σημείο διακοπής κάτω από το F2 στη θέση που φαίνεται στο σχήμα 2 (στη δεύτερη κίνηση των δύο κινήσεων στη μέση των 3 κλήσεων) και, στη συνέχεια, το F9 εκτελεί το πρόγραμμα
Μπορεί να φανεί ότι μετά την επιτυχή αποσύνδεση, ο κωδικός μηχανήματος αυτού του μηχανήματος εμφανίζεται στο παράθυρο όπως φαίνεται στο σχήμα
Κάντε δεξί κλικ στον κωδικό του μηχανήματος, επιλέξτε "Παρακολούθηση στο παράθυρο δεδομένων", επιλέξτε τον κωδικό του μηχανήματος παρακάτω και κάντε δεξί κλικ στο Binary-Edit για να τον αντικαταστήσετε με τον κωδικό του μηχανήματος που έχει επαληθευτεί ότι λειτουργεί κανονικά
Μετά την αντικατάσταση, το F9 συνεχίζει να εκτελείται και μπορείτε να δείτε ότι ο κώδικας μηχανής της διεπαφής λογισμικού έχει αλλάξει στον παραπάνω κωδικό μηχανής
Προβάλετε τη διαδικασία (πρόσθετη διαδικασία στο OD) στην Εξερεύνηση διεργασιών για να μάθετε το PID της, διαγράψτε το συμβάν στο Process Monitor για να σταματήσετε τη λήψη, ρυθμίστε το φίλτρο σύμφωνα με το PID και ενεργοποιήστε τη λήψη
Στη συνέχεια, επικολλήστε τον κωδικό πρόσβασης που αντιστοιχεί στον κωδικό του μηχανήματος για να τον ανοίξετε με επιτυχία, κάντε κλικ στην εκτύπωση στην επάνω δεξιά γωνία και θα εμφανιστεί ένα παράθυρο που απαγορεύει την εκτύπωση. Μετά το άνοιγμα του λογισμικού, απαγορεύονται τα στιγμιότυπα οθόνης (το πρόχειρο είναι απενεργοποιημένο) και το άνοιγμα συγκεκριμένου λογισμικού και παραθύρων απαγορεύεται (πνευματικά δικαιώματα, αντικλεπτικά) και μπορεί να ληφθεί μόνο με το κινητό τηλέφωνο για παρουσίαση (τα pixel θα είναι απροσδιόριστα)
Ή χρησιμοποιήστε το OD για να αναζητήσετε "απαγόρευση εκτύπωσης", βρείτε τη δήλωση κλειδιού και απευθείας NOP τη δήλωση jnz που κρίνει το άλμα για να ξεκινήσει η εκτύπωση
Σημείωση: Πρέπει επίσης να ενεργοποιήσετε την υπηρεσία Print Spooler του συστήματος για να ενεργοποιήσετε τη λειτουργία εκτύπωσης
Σκέφτηκα ότι θα έπρεπε να μπορώ να εξάγω εκτύπωση PDF σε αυτό το σημείο και νόμιζα ότι είχε τελειώσει, αλλά όταν εκτύπωσα, έκανα ένα τέτοιο σφάλμα και κατέρρευσα (ΥΓ: Εάν δεν υπάρχει σφάλμα, απλώς συνεχίστε να το κάνετε σύμφωνα με το άρθρο αναφοράς 1)
Αυτή η παραβίαση πρόσβασης δεν έχει ακόμη επιλυθεί χρησιμοποιώντας τη μέθοδο της Baidu, η οποία είναι πραγματικά αβοήθητη. Γι' αυτό χρησιμοποιούνται το Process Explorer, το Process Monitor και το PCHunter που αναφέρονται παραπάνω
Μέχρι αυτή τη στιγμή, το Process Monitor θα έπρεπε να έχει καταγράψει πολλά, πολλά συμβάντα. Το λογισμικό εικασίας λειτουργεί απελευθερώνοντας προσωρινά αρχεία (.tmp αρχεία), απλώς κοιτάξτε τη λειτουργία του αρχείου στο Process Monitor
Παρατήρησα ότι το λογισμικό κυκλοφόρησε ένα προσωρινό αρχείο με το όνομα 6b5df στον κατάλογο C:Users username AppdataLocalTemp όταν εκτελούνταν και μάντεψε ότι αυτό ήταν το αρχείο PDF (σημειώστε ότι υπάρχουν επίσης πολλές λειτουργίες στο αρχείο στο Process Monitor και υπάρχουν πολλά προσωρινά αρχεία που εμφανίζονται αργότερα, αλλά εδώ χρειάζεται μόνο να κοιτάξετε το προσωρινό αρχείο που εμφανίζεται για πρώτη φορά)
Στη συνέχεια, στο αρχείο PCHunter, αναπτύξτε τον κατάλογο ονόματος χρήστη C:Users AppdataLocalTemp, βρείτε το αρχείο με το όνομα 6b5df.tmp και κάντε διπλό κλικ για να το ανοίξετε. Το αναδυόμενο παράθυρο ρωτά πώς ανοίγει και επιλέξτε Adobe Acrobat DC
Τελικά, άνοιξα με επιτυχία το αρχείο PDF και μετά τον έλεγχο, ο αριθμός των σελίδων ήταν ακόμα 126 σελίδες και το αρχείο ήταν πλήρες
Τέλος, χρησιμοποιήστε τη συνάρτηση αποθήκευσης ως για εξαγωγή ως αρχείο PDF και η εξαγωγή ολοκληρώνεται
|
Προηγούμενος:Japan Economic Series, σχεδόν 100 βιβλίαΕπόμενος:Αναπτύξτε το Kong API Gateway στο CentOS 7
|
Δημοσιεύτηκε στις 17/4/2020 4:22:35 μ.μ.
|
