DRMSOFT(Golden Shield、Hurricane)EXEがPDFの機械語クラックを暗号化

管理者 · 掲載地 2018/11/21 9:08:27

前置き:最近、学校のフォーラムでEXEで暗号化されたPDFの解読に関するヘルプ投稿を見つけ、そのフォーラムで検索したら同じ投稿を見つけました。関連する方法を確認した後、ヘルパーに連絡し、検証済みの機械語コードとパスワードのセットを入手し、機械語置き換えの解読とPDFファイルの抽出を開始しました。 (疑似オリジナル)
パスワードレスの爆破はできません。投稿に返信して連絡を取ることができます
著作権の理由から、関連するソフトウェア情報はすべてコード化・処理されており、ファイルはサンプルとしてアップロードされるわけではなく、通信参照の方法を提供するのみです。この記事はあくまで研究および研究目的のものです。コンテンツは商業的または違法な目的で使用されてはならず、そうでなければ利用者がすべての責任を負い、私は一切の責任を負いません。

破損したテキストを参照してください:
1.ハイパーリンクのログインが見えます。
2.ハイパーリンクのログインが見えます。

準備ツール:
ExeinfoPE(シェルおよび基本的なPE情報)、OD(説明なし)、Process Monitor + Process Explorer(プロセスおよび関連操作の監視)、PCHunter(最終ファイル抽出用)、Adobe Acrobat DC Pro(Adobe PDFの閲覧、編集、エクスポートなど)

主なトピック:
通常の動作では、まずEXEInfoPEを使ってシェルをチェックしてください

デルファイ、それは殻に見えない。仮想マシンは直接開こうとします

案の定、それほど簡単ではなく、仮想マシン検出があり、クリックすれば終了します。この仮想マシンの検出は壊したわけではなく、Windows 10で直接やっていました(ただし、隠れたパイルグリッドやシャットダウンなどがあると非常に危険なので推奨されません)。まず、少し面倒で、次に技術レベルが到達できないかもしれない。もし良いスキルがあれば、試してみるのもいいでしょう。次に行うのはWin10プラットフォームで、操作後はDefenderをオフにするのが最善です。My Love Toolkitをブロックしたり誤報したりする可能性があります

exeを起動すると、図の通りインターフェースが生成され、Cドライブのルートディレクトリにdrmsoftというフォルダが生成されます。バイドゥは自社のビジネス情報を入手できます

ODをドラッグしてProcess Explorer、Process Monitor、PCHunterを開いてください。参考文献2によると、ODでCtrl+Gを使い、「00401000」の位置(このアドレスはよく使われる読み込みプログラムの入口)にジャンプし、中国語のインテリジェントサーチで図に示すような文字列(00000の最後の文字列)を見つけてください。

ジャンプをダブルクリックした後、図2に示された場所(3つのコールの中央にある2つの移動のうち2番目の移動)でF2のブレークポイントを切り替え、F9でプログラムを実行します

切断が成功すると、このマシンの機械語が図に示すようにウィンドウに表示されます

機械語を右クリックし、「データウィンドウでフォロー」を選択し、下の機械語を選択して右クリックしてBinary-Editを右クリックすると、正常に動作することが確認された機械語に置き換えます

交換後もF9は動作を続け、ソフトウェアインターフェースの機械語が上記の機械語に変更されているのが確認できます

プロセスエクスプローラーでプロセス(ODの下の追加プロセス)を表示してPIDを確認し、Process Monitorでイベントをクリアしてキャプチャを停止し、PIDに従ってフィルターを設定し、キャプチャをオンにします

次に機械語に対応するパスワードを貼り付けて正常に開き、右上の印刷ボタンをクリックすると印刷禁止のウィンドウが表示されます。ソフトウェアを起動した後はスクリーンショットが禁止され(クリップボードは無効化)、特定のソフトウェアやウィンドウの開きは禁止(著作権、盗難防止)、携帯電話でしか撮影できません(ピクセルは定義されません)

あるいはODを使って「prohibit printing」を検索し、キー文を見つけて、印刷開始のジャンプを判定するjnz文を直接NOPします。

注意:印刷機能を有効にするには、システムのPrint Spoolerサービスを有効にする必要があります

この時点でPDF印刷のエクスポートができるはずで、もう終わったと思っていたのですが、印刷したときにエラーが出てクラッシュしました(追伸:エラーがなければ、参考文献1に従ってそのまま進めてください)

このアクセス違反は、白度の方法でもまだ解決されておらず、本当に無力です。だからこそ、上記のProcess Explorer、Process Monitor、PCHunterが使われているのです

この時点で、プロセスモニターは多くのイベントを捉えているはずです。推測ソフトウェアは一時ファイル(.tmpファイル)をリリースすることで動作します。プロセスモニターでファイルの動作を見ればわかります

ソフトウェアが実行中にC:Users usernameのAppdataLocalTempディレクトリに6b5dfという一時ファイルが公開されているのに気づき、それがPDFファイルだと推測しました(Process Monitorにも多くの操作があり、後から現れる一時ファイルも多いですが、ここでは最初に表示された一時ファイルだけを見れば十分です)

次に、PCHunterファイルでC:Usersのユーザー名AppdataLocalTempディレクトリを展開し、6b5df.tmpという名前のファイルを見つけてダブルクリックで開きます。ポップアップウィンドウで開き方を尋ね、Adobe Acrobat DCを選択します

ついにPDFファイルを無事に開き、確認したところページ数はまだ126ページで、ファイルは完成していました

最後に、「名前を付けて保存」機能を使ってPDFファイルとしてエクスポートし、抽出が完了します

吉州 · 掲載地 2020/04/17 16:22:35

ついにTMPが開かなくなりました

世界で小さな本好きの少年だ · 掲載地 2021/06/13 23:10:41

動画ならどうやってやるのか教えてください、ボス

[パキッ] DRMSOFT(Golden Shield、Hurricane)EXEがPDFの機械語クラックを暗号化

関連記事