|
|
Publicado en 21/11/2018 9:08:27
|
|
|
|
Prólogo: En los últimos días, encontré una publicación de ayuda en el foro de la escuela sobre cómo descifrar el PDF cifrado por EXE, y busqué en el foro y encontré la misma publicación. Tras consultar los métodos relevantes, contacté con el ayudante, obtuve un conjunto de códigos de máquina y contraseñas que habían sido verificados, y comencé a descifrar el código máquina y extraer archivos PDF. (pseudo-original)
No consigo un bombardeo sin contraseña, puedes responder a la publicación para comunicarte
Por motivos de derechos de autor, toda la información relevante del software ha sido codificada y procesada, y el archivo no se sube como muestra, proporcionando únicamente métodos de referencia de comunicación. Este artículo es solo para fines de estudio e investigación; El contenido no se utilizará con fines comerciales o ilegales, de lo contrario, el usuario asumirá todas las consecuencias y no asumiré ninguna responsabilidad al respecto.
Consulta el texto fragmentado:
1.El inicio de sesión del hipervínculo es visible.
2.El inicio de sesión del hipervínculo es visible.
Herramientas de preparación:
ExeinfoPE (información de shell y PE básica), OD (sin explicación), Process Monitor + Process Explorer (monitorización de procesos y operaciones relacionadas), PCHunter (para la extracción final del archivo), Adobe Acrobat DC Pro (visualización, edición, exportación de PDFs de Adobe, etc.)
Tema principal:
Para un funcionamiento normal, utiliza EXEInfoPE para comprobar primero la carcasa
Delphi, parece que no hay concha. La máquina virtual intenta abrirse directamente
Efectivamente, no es tan sencillo, hay detección de máquinas virtuales y saldrás tras hacer clic. No rompí esta detección de máquinas virtuales, la hice directamente en Windows 10 (pero no se recomienda, si hay una cuadrícula de pilas oculta, apagado, etc., es muy peligroso). Primero, es un poco problemático y, segundo, el nivel técnico puede no ser alcanzable. Si tienes buenas habilidades, puedes intentarlo. Lo siguiente que se hace en la plataforma win10: lo mejor es desactivar el defender después de la operación, puede bloquearse y reportar mal el kit de herramientas My Love
Tras iniciar el exe, la interfaz se muestra como se muestra en la imagen, y se genera una carpeta llamada drmsoft en el directorio raíz de la unidad C. Baidu puede obtener su información empresarial
Arrastra OD y abre Process Explorer, Process Monitor y PCHunter. Según el artículo de referencia 2, usa Ctrl+G en OD, salta a la posición "00401000" (esta dirección debería ser familiar, es una entrada común de programas de carga) y usa la búsqueda inteligente de búsqueda china para encontrar la cadena como se muestra en la figura (la última cadena de 00000).
Después de hacer doble clic para saltar, cambia el punto de interrupción bajo F2 en el lugar mostrado en la figura 2 (en el segundo movimiento de los dos movimientos en medio de las 3 llamadas), y entonces F9 ejecuta el programa
Se puede ver que, tras la desconexión exitosa, el código máquina de esta máquina aparece en la ventana como se muestra en la figura
Haz clic derecho en el código máquina, selecciona "Seguir en la ventana de datos", selecciona el código máquina que aparece abajo y haz clic derecho en Binary-Edit para reemplazarlo por el código máquina que ha sido verificado que funciona con normalidad
Tras el reemplazo, F9 sigue ejecutándose y puedes ver que el código máquina de la interfaz de software ha sido cambiado al código máquina de arriba
Consulta el proceso (proceso adicional bajo OD) en el Explorador de Procesos para conocer su PID, borra el evento en el Monitor de Procesos para detener la captura, configura el filtro según el PID y activa la captura
Luego pega la contraseña correspondiente al código máquina para abrirlo correctamente, haz clic en imprimir en la esquina superior derecha y aparecerá una ventana que prohíbe la impresión. Una vez abierto el software, se prohíben capturas de pantalla (el portapapeles está desactivado) y la apertura de ciertos programas y ventanas (derechos de autor, antirrobo), y solo pueden tomarse con el móvil para presentarlos (los píxeles quedarán indefinidos)
O usar OD para buscar "prohibir la impresión", encontrar la declaración clave y aplicar directamente NOP a la declaración jnz que juzgue el salto para empezar a imprimir
Nota: También necesitas activar el servicio Print Spooler del sistema para habilitar la función de impresión
Pensé que debería poder exportar la impresión en PDF en ese momento, y pensé que ya estaba hecho, pero al imprimir cometí un error y me bloqueé (PD: Si no hay error, simplemente sigue haciéndolo según el artículo de referencia 1)
Esta violación de acceso aún no se ha resuelto usando el método de Baidu, que es realmente inútil. Por eso se utilizan el Process Explorer, el Process Monitor y el PCHunter mencionados anteriormente
Para entonces, Process Monitor debería haber capturado muchos, muchos eventos. Supongo que el software funciona liberando archivos temporales (archivos .tmp), solo hay que mirar el funcionamiento del archivo en el Monitor de Procesos
He notado que el software ha publicado un archivo temporal llamado 6b5df en el directorio de usuario de C:Users AppdataLocalTemp cuando estaba en ejecución, y he supuesto que era el archivo PDF (ten en cuenta que también hay muchas operaciones en el archivo en Process Monitor, y hay muchos archivos temporales que aparecen después, pero aquí solo necesitas mirar el archivo temporal que aparece por primera vez)
A continuación, en el archivo PCHunter, amplía el nombre de usuario de C:Users AppdataLocalTemp, busca el archivo llamado 6b5df.tmp y haz doble clic para abrirlo. La ventana emergente pregunta cómo se abre y selecciona Adobe Acrobat DC
Finalmente, abrí con éxito el archivo PDF y, tras revisar, el número de páginas seguía siendo 126 y el archivo estaba completo
Finalmente, usa la función de guardar como para exportar como archivo PDF y la extracción se completa
|
Anterior:Japan Economic Series, casi 100 librosPróximo:Desplega Kong API Gateway en CentOS 7
|
Publicado en 17/4/2020 16:22:35
|
