|
|
Pubblicato su 21/11/2018 09:08:27
|
|
|
|
Prefazione: Negli ultimi giorni ho trovato un post di aiuto sul forum scolastico riguardo al deciframento del PDF criptato da EXE, e ho cercato sul forum trovando lo stesso post. Dopo aver consultato i metodi rilevanti, ho contattato l'assistente, ho ottenuto un set di codici macchina e password verificati, e ho iniziato a decifrare la sostituzione del codice macchina e l'estrazione dei file PDF. (pseudo-originale)
Non riesco a fare blasting senza password, puoi rispondere al post per comunicare
Per motivi di copyright, tutte le informazioni software rilevanti sono state codificate e elaborate, e il file non viene caricato come campione, fornendo solo metodi di riferimento per la comunicazione. Questo articolo è solo a scopo di studio e ricerca; I contenuti non devono essere utilizzati per scopi commerciali o illegali, altrimenti l'utente ne subirà tutte le conseguenze e io non mi assumerò alcuna responsabilità per questo.
Fai riferimento al testo stroncato:
1.Il login del link ipertestuale è visibile.
2.Il login del link ipertestuale è visibile.
Strumenti di preparazione:
ExeinfoPE (shell e informazioni base PE), OD (senza spiegazioni), Process Monitor + Process Explorer (monitoraggio processi e operazioni correlate), PCHunter (per l'estrazione finale del file), Adobe Acrobat DC Pro (visualizzazione, modifica, esportazione PDF di Adobe, ecc.)
Argomento principale:
Per un funzionamento regolare, usa EXEInfoPE per controllare prima il guscio
Delphi, sembra un guscio. La macchina virtuale cerca di aprirsi direttamente
Infatti, non è così semplice, c'è il rilevamento delle macchine virtuali e uscirai dopo aver cliccato. Non ho rotto questa rilevazione della macchina virtuale, l'ho fatto direttamente su Windows 10 (ma non è consigliato, se c'è una griglia di mucchi nascosta, spegnimento ecc., è molto pericoloso). Primo, è un po' problematico, e secondo, il livello tecnico potrebbe non essere raggiungibile. Se hai buone abilità, puoi provarci. La cosa successiva è fatta sulla piattaforma win10: è meglio disattivare Defender dopo l'operazione, potrebbe bloccare e segnalare male il My Love Toolkit
Dopo l'avvio dell'ex, l'interfaccia è come mostrata nell'immagine, e una cartella chiamata drmsoft viene generata nella directory radice del disco C. Baidu può ottenere le informazioni aziendali
Trascina OD e apri Process Explorer, Process Monitor e PCHunter. Secondo l'articolo di riferimento 2, usare Ctrl+G in OD, saltare alla posizione "00401000" (questo indirizzo dovrebbe essere familiare, è un'entrata comune di un programma di caricamento) e usare la ricerca intelligente cinese per trovare la stringa mostrata nella figura (l'ultima stringa di 00000).
Dopo aver fatto doppio clic per saltare, inverti il punto di interruzione sotto F2 nel punto mostrato nella figura 2 (al secondo movimento dei due movimenti al centro delle 3 chiamate), e poi F9 esegue il programma
Si può vedere che, dopo la disconnessione riuscita, il codice macchina di questa macchina appare nella finestra come mostrato nella figura
Clicca con il tasto destro sul codice macchina, seleziona "Segui nella finestra dati", seleziona il codice macchina qui sotto e clicca con il tasto destro su Binary-Edit per sostituirlo con il codice macchina che è stato verificato come funzionante normalmente
Dopo la sostituzione, F9 continua a funzionare e si può vedere che il codice macchina dell'interfaccia software è stato cambiato in quello sopra
Visualizza il processo (processo aggiuntivo sotto OD) in Process Explorer per conoscere il suo PID, cancella l'evento in Process Monitor per fermare la cattura, imposta il filtro secondo il PID e attiva la cattura
Poi incolla la password corrispondente al codice macchina per aprirlo con successo, clicca su stampa nell'angolo in alto a destra e apparirà una finestra che vieta la stampa. Dopo l'apertura del software, gli screenshot sono vietati (la cartellina è disabilitata) e l'apertura di alcuni software e finestre è vietata (copyright, antifurto), e può essere scattata solo con il cellulare per presentarla (i pixel saranno indefiniti)
Oppure usa OD per cercare "proibit printing", trova la dichiarazione chiave e metti direttamente NOP sulla dichiarazione jnz che valuta il salto per iniziare la stampa
Nota: È inoltre necessario abilitare il servizio Print Spooler del sistema per abilitare la funzione di stampa
Pensavo che a questo punto avrei potuto esportare la stampa PDF, e pensavo fosse fatto, ma quando ho stampato ho commesso un errore e sono crashato (PS: Se non c'è errore, continua semplicemente a farlo secondo l'articolo di riferimento 1)
Questa violazione di accesso non è ancora stata risolta con il metodo di Baidu, che è davvero impotente. Ecco perché si usano l'Esploratore di Processo, il Monitor di Processo e il PCHunter menzionati sopra
A quel punto, Process Monitor dovrebbe aver registrato molti, molti eventi. Supponendo che il software funzioni rilasciando file temporanei (.tmp file), basta guardare il funzionamento del file nel Process Monitor
Ho notato che il software rilasciava un file temporaneo chiamato 6b5df nella directory utente C:Users AppdataLocalTemp mentre era in esecuzione, e ho supposto che fosse il file PDF (nota che ci sono anche molte operazioni sul file in Process Monitor, e molti file temporanei che appaiono successivamente, ma qui basta guardare il file temporaneo che appare per la prima volta)
Successivamente, nel file PCHunter, espandi il nome utente di C:Users AppdataLocalTemp, trova il file chiamato 6b5df.tmp e fai doppio clic per aprirlo. La finestra pop-up chiede come si apre e seleziona Adobe Acrobat DC
Finalmente ho aperto con successo il file PDF e, dopo aver rivisto, il numero di pagine era ancora di 126 pagine e il file era completo
Infine, usa la funzione salva come per esportare come file PDF e l'estrazione è completata
|
Precedente:Japan Economic Series, quasi 100 libriProssimo:Distribuisci Kong API Gateway su CentOS 7
|
Pubblicato su 17/04/2020 16:22:35
|
