Eessõna: Viimastel päevadel leidsin kooli foorumist abipostituse, mis käsitles EXE krüpteeritud PDF-i murdmist, ja otsisin foorumist sama postituse. Pärast asjakohaste meetoditega konsulteerimist võtsin abilise ühendust, sain kontrollitud masinkoodide ja paroolide komplekti ning alustasin masinkoodi asendamist ja PDF-failide väljavõtmist. (pseudo-originaal)
Ma ei suuda paroolita plahvatusi saavutada, sa võid postitusele vastata, et suhelda
Autoriõiguse põhjustel on kogu asjakohane tarkvarateave kodeeritud ja töödeldud, faili ei laeta üles näidisena, vaid see pakub ainult suhtlusviiteid. See artikkel on mõeldud ainult uurimis- ja uurimistööks; Sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannab kasutaja kõik tagajärjed ja mina ei vastuta selle eest.
Vaata katkist teksti:
1.Hüperlingi sisselogimine on nähtav.
2.Hüperlingi sisselogimine on nähtav.
Ettevalmistusvahendid:
ExeinfoPE (shell ja põhiline PE info), OD (ilma selgituseta), Process Monitor + Process Explorer (protsessi ja sellega seotud operatsioonide jälgimine), PCHunter (lõplikuks failide väljavõtmiseks), Adobe Acrobat DC Pro (Adobe PDF-i vaatamine, redigeerimine, eksport jne)
Peamine teema:
Regulaarseks kasutamiseks kasuta EXEInfoPE-d, et esmalt kesta kontrollida
Delphi, tundub, et kesta pole. Virtuaalmasin üritab avada otse
Ja tõepoolest, see pole nii lihtne, on olemas virtuaalmasina tuvastus ja sa väljud pärast klõpsamist. Ma ei rikkunud seda virtuaalmasina tuvastust, tegin seda otse Windows 10-s (aga seda ei soovitata, kui on peidetud kuhjade võrk, väljalülitamine jne, on see väga ohtlik). Esiteks on see veidi keeruline ja teiseks ei pruugi tehniline tase olla saavutatav. Kui sul on head oskused, võid seda proovida. Järgmine samm on tehtud Win10 platvormil, parim on pärast operatsiooni Defender välja lülitada, see võib blokeerida ja valesti raporteerida My Love Toolkit'i
Pärast exe käivitamist on liides pildil näidatud ning C ketta juurkataloogis genereeritakse kaust nimega drmsoft. Baidu saab oma äriinfot
Lohista sisse OD ja ava Process Explorer, Process Monitor ja PCHunter. Artikli 2 kohaselt kasuta OD-s Ctrl+G, hüppa positsioonile "00401000" (see aadress peaks olema tuttav, see on tavaline laadimisprogrammi sisenemine) ja kasuta hiina otsingu intelligentset otsingut, et leida joonisel näidatud string (viimane string 00000).
Pärast topeltklõpsu hüppamiseks lülita katkestuspunkt F2 all sinna, kus on joonisel 2 (kahe liigutuse teisel liigutusel kolme kõne keskel), ja seejärel käivitab F9 programmi
On näha, et pärast edukat lahtiühendamist ilmub aknas selle masina masinkood, nagu joonisel näidatud
Paremklõpsa masinakoodil, vali "Jälgi andmeaknas", vali allpool olev masinkood ja paremklõpsa Binary-Edit, et asendada see masinkoodiga, mis on kontrollitud normaalseks töötavaks
Pärast asendamist jätkab F9 töötamist ning näete, et tarkvaraliidese masinkood on muudetud ülaltoodud masinkoodiks
Vaata protsessi (täiendav protsess OD all) Protsessi Exploreris, et teada saada selle PID-d, tühjenda sündmus Process Monitoris püüdmise peatamiseks, seadista filter vastavalt PID-ile ja lülita salvestus sisse
Seejärel kleepi parool, mis vastab masinkoodile, et see edukalt avada, klõpsa paremas ülanurgas prindi ja ilmub aken, mis keelab printimise. Pärast tarkvara avamist on ekraanipildid keelatud (lõikelaud on keelatud) ning teatud tarkvara ja akende avamine on keelatud (autoriõigus, vargusetõke), mida saab teha ainult mobiiltelefoniga (pikslid jäävad määratlemata).
Või kasuta OD-d, et otsida "prohibit printing", leida võtmelause ja otse NOP-iga jnz lause, mis hindab hüpet printimise alustamiseks
Märkus: Printimisfunktsiooni lubamiseks pead ka süsteemi Print Spooleri teenuse sisse lülitama
Arvasin, et peaksin saama PDF-printimise eksportida, ja arvasin, et see on tehtud, aga kui printisin, tegin suure vea ja jooksin kokku (PS: Kui viga pole, jätka lihtsalt artikli 1 järgi)
See ligipääsu rikkumine pole endiselt Baidu meetodiga lahendatud, mis on tõesti abitu. Seetõttu kasutatakse eespool mainitud Process Explorerit, Process Monitori ja PCHunterit
Selleks ajaks oleks Process Monitor pidanud olema jäädvustanud palju, palju sündmusi. Arvamistarkvara töötab, vabastades ajutisi faile (.tmp faile), lihtsalt vaata faili tööd protsessimonitoris
Märkasin, et tarkvara avaldas C:Users kasutajanime AppdataLocalTemp kataloogis ajutise faili nimega 6b5df, kui see töötas, ja arvasin, et see on PDF-fail (pane tähele, et Process Monitoris on failil palju toiminguid ning hiljem ilmub palju ajutisi faile, kuid siin tuleb vaadata ainult esimest korda ilmuvat ajutist faili).
Seejärel avage PCHunter failis C:Users kasutajanimi AppdataLocalTemp kataloog, leidke fail nimega 6b5df.tmp ja topeltklõpsake, et see avada. Hüpikaken küsib, kuidas see avaneb, ja vali Adobe Acrobat DC
Lõpuks avasin edukalt PDF-faili ja pärast ülevaatamist oli lehekülgede arv endiselt 126 lehekülge ning fail oli valmis
Lõpuks kasuta salvestamise funktsiooni, et eksportida PDF-failina ja ekstraktsioon on lõpetatud
|
Postitatud 21.11.2018 09:08:27
|
|
|
|
Postitatud 17.04.2020 16:22:35
|
