Préface : Ces derniers jours, j’ai trouvé un post d’aide sur le forum de l’école concernant le décryptage du PDF chiffré par EXE, et j’ai cherché sur le forum et j’ai trouvé le même post. Après avoir consulté les méthodes concernées, j’ai contacté l’assistant, obtenu un ensemble de codes machine et mots de passe vérifiés, et commencé le remplacement du code machine à craquer et à extraire des fichiers PDF. (pseudo-original)
Je ne peux pas faire de blasting sans mot de passe, vous pouvez répondre au post pour communiquer
Pour des raisons de droits d’auteur, toutes les informations logicielles pertinentes ont été codées et traitées, et le fichier n’est pas téléchargé sous forme d’échantillon, ne fournissant que des méthodes de référence de communication. Cet article est uniquement à des fins d’étude et de recherche ; Le contenu ne doit pas être utilisé à des fins commerciales ou illégales, sinon l’utilisateur en assumera toutes les conséquences, et je n’assumerai aucune responsabilité à ce sujet.
Voir le texte brisé :
1.La connexion hyperlientérée est visible.
2.La connexion hyperlientérée est visible.
Outils de préparation :
ExeinfoPE (shell et informations PE de base), OD (sans explication), Process Monitor + Process Explorer (surveillance des processus et opérations associées), PCHunter (pour l’extraction finale des fichiers), Adobe Acrobat DC Pro (lecture, édition, exportation PDF d’Adobe, etc.)
Sujet principal :
Pour un fonctionnement normal, utilisez EXEInfoPE pour vérifier d’abord la coque
Delphi, on dirait qu’il n’y a pas de coquille. La machine virtuelle tente de s’ouvrir directement
Effectivement, ce n’est pas si simple, il y a une détection de machine virtuelle, et vous sortirez après avoir cliqué. Je n’ai pas cassé cette détection de machine virtuelle, je l’ai fait directement sur Windows 10 (mais ce n’est pas recommandé, s’il y a une grille de piles cachée, un arrêt, etc., c’est très dangereux). Premièrement, c’est un peu problématique, et ensuite, le niveau technique peut ne pas être accessible. Si tu as de bonnes compétences, tu peux essayer. Ensuite, tout est fait sur la plateforme Win10 : il vaut mieux désactiver Defender après l’opération, cela peut bloquer et mal signaler la boîte à outils My Love
Après le démarrage de l’exécutable, l’interface est telle qu’illustrée sur l’image, et un dossier nommé drmsoft est généré dans le répertoire racine du lecteur C. Baidu peut obtenir ses informations commerciales
Glissez OD et ouvrez Process Explorer, Process Monitor et PCHunter. Selon l’article de référence 2, utilisez Ctrl+G en OD, sautez à la position « 00401000 » (cette adresse devrait vous être familière, c’est une entrée courante dans un programme de chargement), et utilisez la recherche intelligente chinoise pour trouver la chaîne comme montré dans la figure (la dernière chaîne de 00000).
Après double-cliquer pour sauter, inversez le point d’arrêt sous F2 à l’endroit indiqué dans la figure 2 (au deuxième déplacement des deux mouvements au milieu des 3 appels), puis F9 exécute le programme
On peut voir qu’après la déconnexion réussie, le code machine de cette machine apparaît dans la fenêtre comme montré sur la figure
Faites un clic droit sur le code machine, sélectionnez « Suivre dans la fenêtre de données », sélectionnez le code machine ci-dessous et cliquez droit sur Binary-Edit pour le remplacer par le code machine qui a été vérifié comme fonctionnant normalement
Après le remplacement, F9 continue de fonctionner, et vous pouvez voir que le code machine de l’interface logicielle a été modifié pour le code machine ci-dessus
Consultez le processus (processus supplémentaire sous OD) dans l’Explorateur de processus pour connaître son PID, effacez l’événement dans le moniteur de processus pour arrêter la capture, réglez le filtre selon le PID, et activez la capture
Ensuite, collez le mot de passe correspondant au code machine pour l’ouvrir avec succès, cliquez sur imprimer en haut à droite, et une fenêtre interdisant l’impression apparaîtra. Après l’ouverture du logiciel, les captures d’écran sont interdites (le clipboard est désactivé) et l’ouverture de certains logiciels et fenêtres est interdite (droits d’auteur, antivol), et ne peut être prise qu’avec le téléphone portable à présent (pixels seront indéfinis)
Ou utilisez OD pour chercher « prohibit printing », trouvez l’instruction clé, et NOP directement l’instruction jnz qui juge le saut pour commencer l’impression
Remarque : Vous devez également activer le service Print Spooler du système pour activer la fonction d’impression
Je pensais pouvoir exporter l’impression PDF à ce stade, et je pensais que c’était fait, mais quand j’ai imprimé, j’ai fait une telle erreur et j’ai planté (PS : S’il n’y a pas d’erreur, continuez simplement selon l’article de référence 1)
Cette violation d’accès n’a toujours pas été résolue avec la méthode de Baidu, qui est vraiment impuissante. C’est pourquoi on utilise l’Explorateur de Processus, le Moniteur de Processus et le PCHunter mentionnés ci-dessus
À ce stade, Process Monitor devrait avoir capturé de nombreux événements. Supposer que le logiciel fonctionne en libérant des fichiers temporaires (.tmp fichiers), il suffit de regarder le fonctionnement du fichier dans le moniteur de processus
J’ai remarqué que le logiciel a publié un fichier temporaire nommé 6b5df dans le répertoire C :Users AppdataLocalTemp pendant son exécution, et j’ai deviné qu’il s’agissait du fichier PDF (notez qu’il y a aussi beaucoup d’opérations sur ce fichier dans le moniteur de processus, et que de nombreux fichiers temporaires apparaissent plus tard, mais ici il suffit de regarder le fichier temporaire qui apparaît pour la première fois)
Ensuite, dans le fichier PCHunter, développez le nom d’utilisateur C :Users AppdataLocalTemp, trouvez le fichier nommé 6b5df.tmp, puis double-cliquez pour l’ouvrir. La fenêtre contextuelle demande comment elle s’ouvre, et sélectionnez Adobe Acrobat DC
Enfin, j’ai réussi à ouvrir le fichier PDF, et après vérification, le nombre de pages était toujours de 126 pages, et le fichier était complet
Enfin, utilisez la fonction enregistrer en tant que fichier pour exporter en PDF, et l’extraction est terminée
|
Publié sur 21/11/2018 09:08:27
|
|
|
|
Publié sur 17/04/2020 16:22:35
|
