Esipuhe: Viime päivinä löysin koulun foorumilta apupostauksen EXE:llä salatun PDF:n murtamisesta, ja etsin foorumilta ja löysin saman viestin. Konsultoituani asiaankuuluvat menetelmät otin yhteyttä avustajaan, sain vahvistetun konekoodin ja salasanan joukon, ja aloitin konekoodin vaihtamisen ja PDF-tiedostojen purun. (pseudo-alkuperäinen)
En saa aikaan salasanatonta räjähdystä, voit vastata viestiin kommunikoidaksesi
Tekijänoikeussyistä kaikki asiaankuuluvat ohjelmistotiedot on koodattu ja käsitelty, eikä tiedostoa ladata näytteenä, vaan se tarjoaa vain viestintäviitteitä. Tämä artikkeli on tarkoitettu vain tutkimus- ja tutkimustarkoituksiin; Sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjä kantaa kaikki seuraukset, enkä kanna tästä mitään vastuuta.
Katso rikkinäinen teksti:
1.Hyperlinkin kirjautuminen on näkyvissä.
2.Hyperlinkin kirjautuminen on näkyvissä.
Valmisteluvälineet:
ExeinfoPE (kuori- ja perus PE-tiedot), OD (ei selitystä), Process Monitor + Process Explorer (prosessien ja siihen liittyvien toimintojen valvonta), PCHunter (lopulliseen tiedostojen purkuun), Adobe Acrobat DC Pro (Adoben PDF-katselu, muokkaus, vienti jne.)
Pääaihe:
Säännölliseen käyttöön käytä EXEInfoPE:tä kuoren tarkistamiseen ensin
Delphi, näyttää siltä, ettei kuorta. Virtuaalikone yrittää avata suoraan
Totta kai, se ei ole niin yksinkertaista, virtuaalikoneen tunnistus on olemassa, ja poistut klikkauksen jälkeen. En rikkonut tätä virtuaalikoneen tunnistusta, tein sen suoraan Windows 10:llä (mutta tätä ei suositella, jos on piilotettu pinoverkko, sammutus jne., se on todella vaarallista). Ensinnäkin se on hieman hankalaa, ja toiseksi tekninen taso ei välttämättä ole saavutettavissa. Jos sinulla on hyvät taidot, voit kokeilla. Seuraava asia on tehty Win10-alustalla, parasta on sammuttaa Defender käytön jälkeen, se saattaa estää ja raportoida virheellisesti My Love Toolkitin
Exe-tiedoston käynnistämisen jälkeen rajapinta on kuvan mukainen, ja C-aseman juurihakemistossa luodaan kansio nimeltä drmsoft. Baidu saa liiketoimintatietonsa
Vedä OD sisään ja avaa Process Explorer, Process Monitor ja PCHunter. Viiteartikkelin 2 mukaan käytä Ctrl+G:tä OD:ssä, hyppää "00401000"-paikkaan (tämän osoitteen pitäisi olla tuttu, se on yleinen latausohjelman sisäänkäynti), ja käytä kiinalaista hakuälykästä hakua löytääksesi merkkijonon, kuten kuvassa on esitetty (viimeinen merkkijono 00000).
Kun hyppää kaksoisklikkauksella, vaihda taukopiste F2:n alle kuvassa 2 näkyvään kohtaan (toisen liikkeen kohdalla kolmen kutsun keskellä), ja sitten F9 käynnistää ohjelman
On nähtävissä, että onnistuneen irrotuksen jälkeen tämän koneen koodi ilmestyy ikkunaan kuten kuvassa on esitetty
Napsauta koneen koodia oikealla, valitse "Seuraa data-ikkunassa", valitse alla oleva konekoodi ja napsauta hiiren oikealla Binary-Edit korvataksesi sen konekoodilla, jonka normaalisti toimiminen on varmistettu
Vaihdon jälkeen F9 jatkaa toimintaansa, ja näet, että ohjelmiston konekoodi on muutettu yllä olevaan konekoodiin
Katso prosessi (lisäprosessi OD:n alla) Process Explorerissa sen PID-arvon selvittämiseksi, tyhjennä tapahtuma Process Monitorissa pysäyttääksesi kaappauksen, aseta suodatin PID:n mukaan ja käynnistä kaappaus
Liitä sitten konekoodiin sopiva salasana avataksesi sen onnistuneesti, klikkaa tulosta oikeasta yläkulmasta, jolloin tulostuksen kieltävä ikkuna ilmestyy. Ohjelmiston avaamisen jälkeen kuvakaappaukset ovat kiellettyjä (lehtiö on pois päältä) ja tiettyjen ohjelmistojen sekä ikkunoiden avaaminen on kiellettyä (tekijänoikeudet, varkauden esto), ja ne voi ottaa vain matkapuhelimella esitettäväksi (pikselit ovat määrittelemättömiä).
Tai käytä OD:tä etsiäksesi "estä tulostaminen", löytääksesi avainlauseen ja suoraan NOP:lla jnz-lauseen, joka arvioi hypyn tulostuksen aloittamiseksi
Huomautus: Sinun täytyy myös ottaa käyttöön järjestelmän Print Spooler -palvelu, jotta tulostustoiminto aktivoituu
Ajattelin, että minun pitäisi pystyä viedä PDF-tulostus tässä vaiheessa, ja luulin sen olevan valmis, mutta kun tulostin, tein suuren virheen ja kaaduin (PS: Jos virhettä ei ole, jatka vain viiteartikkelin 1 mukaisesti)
Tätä pääsyrikkomusta ei ole vieläkään ratkaistu Baidun menetelmällä, joka on todella avuton. Siksi yllä mainittuja Process Exploreria, Process Monitoria ja PCHunteria käytetään
Tähän mennessä Process Monitorin olisi pitänyt tallentaa monia, monia tapahtumia. Arvausohjelmisto toimii vapauttamalla väliaikaisia tiedostoja (.tmp tiedostoja), katso vain tiedoston toimintaa Process Monitorissa
Huomasin, että ohjelmisto julkaisi väliaikaisen tiedoston nimeltä 6b5df C:Users-käyttäjätunnuksen AppdataLocalTemp-hakemistossa sen ollessa käynnissä, ja arvelin, että kyseessä oli PDF-tiedosto (huomaa, että tiedostossa on myös paljon toimintoja Process Monitorissa, ja myöhemmin ilmestyy monia väliaikaisia tiedostoja, mutta tässä sinun tarvitsee vain katsoa ensimmäistä kertaa ilmestyvää väliaikaista tiedostoa)
Seuraavaksi laajenna PCHunter-tiedostossa C:Users username AppdataLocalTemp -hakemisto, etsi tiedosto nimeltä 6b5df.tmp ja kaksoisklikkaa avataksesi sen. Ponnahdusikkuna kysyy, miten se avautuu, ja valitse Adobe Acrobat DC
Lopulta avasin PDF-tiedoston onnistuneesti, ja tarkastelun jälkeen sivujen määrä oli edelleen 126 sivua ja tiedosto oli valmis
Lopuksi käytä tallenna nimellä -toimintoa viedäksesi tiedoston PDF-tiedostona, ja purku on valmis
|
Julkaistu 21.11.2018 9.08.27
|
|
|
|
Julkaistu 17.4.2020 16.22.35
|
