Előszó: Az utóbbi napokban találtam egy segítséget az iskola fórumán az EXE által titkosított PDF feltöréséről, és rákerestem a fórumon, és ugyanazt a bejegyzést találtam. Miután megkérdeztem a megfelelő módszereket, felvettem a kapcsolatot a segítővel, szereztem egy gépi kódot és jelszót, amit ellenőriztek, és elkezdtem gépi kód cseréjét és PDF fájlok kibontását. (ál-eredeti)
Nem tudok jelszó nélküli robbanást elérni, válaszolhatsz a posztra, hogy kommunikálj
Szerzői jogi okokból minden releváns szoftverinformáció kódolva és feldolgozva, a fájl nem kerül mintaként feltöltésre, csak kommunikációs hivatkozási módszereket biztosít. Ez a cikk kizárólag tanulmányi és kutatási célokra szolgál; A tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználó viseli az összes következményet, és én nem vállalok felelősséget ezért.
Lásd a törött szöveget:
1.A hiperlink bejelentkezés látható.
2.A hiperlink bejelentkezés látható.
Előkészítő eszközök:
ExeinfoPE (shell és alapvető PE információk), OD (magyarázat nélkül), Process Monitor + Process Explorer (folyamat- és kapcsolódó működési monitorozás), PCHunter (végső fájlkibontáshoz), Adobe Acrobat DC Pro (Adobe PDF megtekintése, szerkesztése, exportálása stb.)
Fő téma:
A rendszeres használathoz először az EXEInfoPE-t kell ellenőrizni a héjban
Delphi, úgy tűnik, nincs héja. A virtuális gép közvetlenül próbál megnyitni
Bizony, nem ilyen egyszerű, van virtuális gép észlelése, és kattintás után kilépsz. Ezt a virtuális gép felismerést nem törtem meg, közvetlenül Win10-en csináltam (de ez nem ajánlott, ha van rejtett halmhálózat, leállítás stb., nagyon veszélyes). Először is, ez kissé problémás, másodszor, a technikai szint nem feltétlenül elérhető. Ha jó képességeid vannak, kipróbálhatod. A következő lépés a win10 platformon történik, a legjobb, ha a Defendert a művelet után kikapcsolod, mert lehet, hogy blokkolja és félrejelzi a My Love Toolkit
Az exe elindítása után az interfész a képen látható módon történik, és a C meghajtó gyökérkönyvtárában egy drmsoft nevű mappa jön létre. Baidu megszerezheti üzleti adatait
Húzd be az OD-t, és nyisd meg a Process Explorer-t, a Process Monitor-t és a PCHuntert. A 2. hivatkozási cikk szerint használd a Ctrl+G-t az OD-ben, ugorjunk a "00401000" pozícióba (ez a cím ismerősnek kell, ez egy gyakori betöltőprogram belépés), és a kínai keresési intelligens kereséssel megtaláljuk a sorozatot, ahogy az ábrán látható (az utolsó 00000 sor).
Dupla kattintás után az ugráshoz váltsd a megszakítási pontot F2 alatt a 2. ábrán látható helyen (a három hívás közepén lévő két mozdulatból a második lépésnél), majd az F9 elindítja a programot
Látható, hogy a sikeres leválasztás után a gép gépi kódja megjelenik az ablakban, ahogy az ábrán látható
Jobb kattintással a gépi kódra, válaszd a "Követés az adatablakban" opciót, válaszd az alábbi gépi kódot, és jobb kattints a Binary-Edit gombra, hogy lecseréld azt a gépi kódra, amelyet ellenőriztek a normális működésre
A cserék után az F9 tovább fut, és látható, hogy a szoftver felületének gépi kódja a fent említett gépi kódra változott
Tekintse meg a folyamatot (extra process OD alatt) a Process Explorerben, hogy megismerje a PID-jét, törölje az eseményt a Process Monitorban a capture megállításához, állítsa be a szűrőt a PID szerint, és kapcsolja be a capture
Ezután a gépi kódhoz tartozó jelszót illeszted be a sikerhez, kattints a jobb felső sarokban a nyomtatásra, és megjelenik egy ablak, amely tiltja a nyomtatást. A szoftver megnyitása után a képernyőképek tilosak (a clipboard le van tiltva), és bizonyos szoftverek és ablakok megnyitása tilos (szerzői jogvédelem, lopásgátlás), és csak mobiltelefonon lehet megjeleníteni (a pixelek nem lesznek meghatározva)
Vagy OD segítségével keress "tilt printing" kifejezésre, keresd meg a kulcsállítást, és közvetlenül NOP-old a jnz állítást, amely megítéli az ugrást a nyomtatás elindításához
Megjegyzés: A nyomtatási funkció engedélyezéséhez a rendszer Print Spooler szolgáltatását is be kell kapcsolnod
Azt hittem, most már tudok exportálni PDF nyomtatást, és azt hittem, kész volt, de amikor nyomtattam, egy hibát követtem el, és összeomlottam (Ui.: Ha nincs hiba, folytasd a hivatkozás 1. cikk szerint)
Ez a hozzáférési szabálysértés még mindig nem oldódott meg Baidu módszerével, ami igazán tehetetlen. Ezért használják a fent említett Process Explorer-t, Process Monitor-t és PCHunter-t
Ekkorra a Process Monitornak rengeteg eseményt kellett volna rögzítenie. A találgatós szoftver úgy működik, hogy ideiglenes fájlokat (.tmp fájlokat) szabadít ki, csak nézd meg a fájl működését a Folyamatmonitorban
Észrevettem, hogy a szoftver egy ideiglenes fájlt adott ki 6b5df néven a C:Users felhasználónév AppdataLocalTemp könyvtárában, amikor futott, és arra gondoltam, hogy ez a PDF fájl (megjegyzés: a Process Monitorban is sok művelet van a fájlon, és sok ideiglenes fájl is jelenik meg, de itt csak azt az ideiglenes fájlt kell megnézni, ami először jelenik meg)
Ezután a PCHunter fájlban bontsd ki a C:Users felhasználónév AppdataLocalTemp könyvtárat, keresd meg a 6b5df.tmp nevű fájlt, és dupla kattintással nyissad meg. A felugró ablak megkérdezi, hogyan nyílik meg, és válassza ki az Adobe Acrobat DC-t
Végül sikeresen megnyitottam a PDF fájlt, és átnézés után az oldalak száma még mindig 126 oldal volt, és a fájl teljes volt
Végül a mentésként funkcióval exportáljuk PDF fájlként, és a kivonás befejeződik
|
Közzétéve 2018. 11. 21. 9:08:27
|
|
|
|
Közzétéve 2020. 04. 17. 16:22:35
|
