Kata Pengantar: Dalam beberapa hari terakhir, saya menemukan posting bantuan di forum sekolah tentang memecahkan PDF yang dienkripsi oleh EXE, dan saya mencari di forum dan menemukan posting yang sama. Setelah berkonsultasi dengan metode yang relevan, saya menghubungi pembantu, mendapatkan satu set kode mesin dan kata sandi yang telah diverifikasi, dan memulai peretasan penggantian kode mesin dan ekstraksi file PDF. (pseudo-asli)
Saya tidak dapat mencapai peledakan tanpa kata sandi, Anda dapat membalas postingan untuk berkomunikasi
Untuk alasan hak cipta, semua informasi perangkat lunak yang relevan telah dikodekan dan diproses, dan file tidak diunggah sebagai sampel, dan hanya menyediakan metode untuk referensi komunikasi. Artikel ini hanya untuk tujuan studi dan penelitian; Konten tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensinya, dan saya tidak akan bertanggung jawab atas hal ini.
Lihat teks yang rusak:
1.Login hyperlink terlihat.
2.Login hyperlink terlihat.
Alat Persiapan:
ExeinfoPE (shell dan informasi PE dasar), OD (tanpa penjelasan), Process Monitor + Process Explorer (pemantauan proses dan operasi terkait), PCHunter (untuk ekstraksi file akhir), Adobe Acrobat DC Pro (tampilan PDF Adobe, pengeditan, ekspor, dll.)
Topik utama:
Untuk pengoperasian reguler, gunakan EXEInfoPE untuk memeriksa cangkang terlebih dahulu
Delphi, sepertinya tidak ada cangkang. Mesin virtual mencoba membuka secara langsung
Benar saja, tidak sesederhana itu, ada deteksi mesin virtual, dan Anda akan keluar setelah mengklik. Saya tidak merusak deteksi mesin virtual ini, saya melakukannya langsung di win10 (tetapi ini tidak disarankan, jika ada kisi tumpukan tersembunyi, shutdown, dll., itu sangat berbahaya). Pertama, ini agak merepotkan, dan kedua, tingkat teknis mungkin tidak dapat dicapai. Jika Anda memiliki keterampilan yang baik, Anda dapat mencobanya. Hal berikutnya semuanya dilakukan di platform win10, yang terbaik adalah mematikan pembela setelah operasi, itu dapat memblokir dan salah melaporkan My Love Toolkit
Setelah memulai exe, antarmuka seperti yang ditunjukkan pada gambar, dan folder bernama drmsoft dihasilkan di direktori root drive C. Baidu bisa mendapatkan informasi bisnisnya
Seret OD dan buka Process Explorer, Process Monitor, dan PCHunter. Menurut artikel referensi 2, gunakan Ctrl+G di OD, lompat ke posisi "00401000" (alamat ini seharusnya sudah tidak asing lagi, ini adalah pintu masuk program pemuatan umum), dan gunakan pencarian cerdas pencarian Cina untuk menemukan string seperti yang ditunjukkan pada gambar (string terakhir 00000).
Setelah mengklik dua kali untuk melompat, alihkan titik henti di bawah F2 di tempat yang ditunjukkan pada gambar 2 (pada mov kedua dari dua mov di tengah 3 panggilan), lalu F9 menjalankan program
Dapat dilihat bahwa setelah pemutusan berhasil, kode mesin mesin ini muncul di jendela seperti yang ditunjukkan pada gambar
Klik kanan pada kode mesin, pilih "Ikuti di Jendela Data", pilih kode mesin di bawah ini dan klik kanan Biner-Edit untuk menggantinya dengan kode mesin yang telah diverifikasi berfungsi normal
Setelah penggantian, F9 terus berjalan, dan Anda dapat melihat bahwa kode mesin antarmuka perangkat lunak telah diubah menjadi kode mesin di atas
Lihat proses (proses tambahan di bawah OD) di Process Explorer untuk mengetahui PID-nya, hapus peristiwa di Process Monitor untuk menghentikan pengambilan, atur filter sesuai dengan PID, dan aktifkan pengambilan
Kemudian tempel kata sandi yang sesuai dengan kode mesin untuk berhasil membukanya, klik cetak di sudut kanan atas, dan jendela yang melarang pencetakan akan muncul. Setelah perangkat lunak dibuka, tangkapan layar dilarang (clipboard dinonaktifkan) dan pembukaan perangkat lunak dan jendela tertentu dilarang (hak cipta, anti-pencurian), dan hanya dapat diambil dengan ponsel untuk disajikan (piksel tidak akan ditentukan)
Atau gunakan OD untuk mencari "melarang pencetakan", menemukan pernyataan kunci, dan langsung NOP pernyataan jnz yang menilai lompatan untuk mulai mencetak
Catatan: Anda juga perlu mengaktifkan layanan Print Spooler sistem untuk mengaktifkan fungsi pencetakan
Saya pikir saya seharusnya dapat mengekspor pencetakan PDF pada saat ini, dan saya pikir itu sudah selesai, tetapi ketika saya mencetak, saya membuat kesalahan seperti itu dan mogok (PS: Jika tidak ada kesalahan, lanjutkan saja melakukannya sesuai dengan referensi artikel 1)
Pelanggaran Akses ini masih belum diselesaikan menggunakan metode Baidu, yang benar-benar tidak berdaya. Itu sebabnya Process Explorer, Process Monitor, dan PCHunter yang disebutkan di atas digunakan
Pada saat ini, Process Monitor seharusnya telah menangkap banyak, banyak peristiwa. Perangkat lunak tebak bekerja dengan melepaskan file sementara (file .tmp), lihat saja pengoperasian file di Monitor Proses
Memperhatikan bahwa perangkat lunak merilis file sementara bernama 6b5df di direktori C:Users username AppdataLocalTemp saat sedang berjalan, dan menebak bahwa ini adalah file PDF (perhatikan bahwa ada juga banyak operasi pada file di Process Monitor, dan ada banyak file sementara yang muncul nanti, tetapi di sini Anda hanya perlu melihat file sementara yang muncul untuk pertama kalinya)
Selanjutnya, dalam file PCHunter, perluas direktori C:Users username AppdataLocalTemp, temukan file bernama 6b5df.tmp, dan klik dua kali untuk membukanya. Jendela pop-up menanyakan bagaimana pembukaannya, dan pilih Adobe Acrobat DC
Akhirnya, saya berhasil membuka file PDF, dan setelah ditinjau, jumlah halamannya masih 126 halaman, dan filenya selesai
Terakhir, gunakan fungsi simpan sebagai untuk mengekspor sebagai file PDF, dan ekstraksi selesai
|
Diposting pada 21/11/2018 09.08.27
|
|
|
|
Diposting pada 17/04/2020 16.22.35
|
