|
|
게시됨 2018. 11. 21. 오전 9:08:27
|
|
|
|
서문: 최근 학교 포럼에서 EXE로 암호화된 PDF를 해독하는 방법에 관한 도움말 게시물을 발견했고, 포럼을 검색해보니 같은 글을 찾았습니다. 관련 방법을 검토한 후, 저는 헬퍼에게 연락해 검증된 기계어와 비밀번호 세트를 받고, 기계어 교체 해킹과 PDF 파일 추출을 시작했습니다. (의사 원본)
비밀번호 없는 블라스팅을 할 수 없고, 게시글에 답글을 달아 소통할 수 있습니다
저작권 문제로 인해 모든 관련 소프트웨어 정보는 코딩 및 처리되었으며, 파일은 샘플로 업로드되지 않고 단지 통신 참조 수단만 제공합니다. 이 글은 연구 및 연구 목적으로만 작성됩니다; 이 콘텐츠는 상업적 또는 불법적인 목적으로 사용되어서는 안 되며, 그렇지 않으면 모든 책임은 사용자가 부담해야 하며, 저는 이에 대해 어떠한 책임도 지지 않습니다.
끊긴 텍스트를 참고하세요:
1.하이퍼링크 로그인이 보입니다.
2.하이퍼링크 로그인이 보입니다.
준비 도구:
ExeinfoPE(셸 및 기본 PE 정보), OD(설명 없음), Process Monitor + Process Explorer(프로세스 및 관련 작업 모니터링), PCHunter(최종 파일 추출), Adobe Acrobat DC Pro(Adobe PDF 보기, 편집, 내보내기 등)
주요 주제:
일반적인 동작을 위해서는 먼저 EXEInfoPE를 사용해 셸을 확인하세요
델피, 이건 껍질 같지 않아. 가상 머신이 직접 열려고 시도합니다
역시 그렇게 간단하지 않습니다. 가상 머신 감지 기능이 있고, 클릭 후 종료됩니다. 이 가상 머신 감지를 깨뜨린 게 아니라 윈도우 10에서 직접 했어요(하지만 숨겨진 파일 그리드나 종료 등이 있으면 매우 위험하므로 권장하지 않습니다). 첫째, 약간 까다롭고, 둘째, 기술적 수준이 도달하기 어려울 수 있습니다. 실력이 좋다면 시도해볼 수 있습니다. 다음 작업은 모두 윈도우 10 플랫폼에서 이루어지는데, 작업 후에는 디펜더를 끄는 것이 가장 좋습니다. 이 기능은 My Love Toolkit을 차단하거나 잘못 보고할 수 있습니다
exe를 실행하면 그림과 같이 인터페이스가 생성되고, C 드라이브의 루트 디렉터리에 drmsoft라는 폴더가 생성됩니다. 바이두는 자사의 비즈니스 정보를 얻을 수 있습니다
OD를 드래그해서 Process Explorer, Process Monitor, PCHunter를 열어보세요. 참고문헌 2에 따르면, OD에서 Ctrl+G를 사용하고, "00401000" 위치(이 주소는 익숙할 것이며 일반적인 로딩 프로그램 입구입니다)로 점프한 뒤, 중국어 검색 지능형 검색을 사용해 그림에 보이는 문자열(00000의 마지막 문자열)을 찾습니다.
두 번 클릭해 점프한 후, 그림 2에 표시된 위치(세 통화 중 두 번째 이동 중 두 번째 이동)에서 F2 아래의 브레이크포인트를 전환한 후 F9가 프로그램을 실행합니다
성공적으로 분리된 후에는 그림에서 볼 수 있듯이 이 기계의 기계어 코드가 창에 나타납니다
기계어 코드를 우클릭한 후 "데이터 창에서 팔로우"를 선택한 후 아래의 기계어 선택을 한 뒤 Binary-Edit를 우클릭하여 정상적으로 작동하는 기계어 코드로 교체하세요
교체 후 F9는 계속 실행되며, 소프트웨어 인터페이스의 기계어가 위의 기계어로 변경된 것을 볼 수 있습니다
프로세스 탐색기에서 프로세스(OD 내 추가 프로세스)를 확인하여 PID를 확인하고, 프로세스 모니터에서 이벤트를 지우어 캡처를 중지하고, PID에 따라 필터를 설정한 후 캡처를 켜기 위해
기계어에 맞는 비밀번호를 붙여넣으면 성공적으로 열고, 오른쪽 상단에서 인쇄를 클릭하면 인쇄를 금지하는 창이 나타납니다. 소프트웨어를 열면 스크린샷 촬영이 금지되고(클립보드 비활성화), 특정 소프트웨어와 창의 열기가 금지되며(저작권, 도난 방지), 휴대폰에서만 촬영할 수 있습니다(픽셀은 정의되지 않음).
또는 OD를 사용해 "prohibit printing"을 검색하고, 키 문장을 찾아 인쇄 시작 지점을 판단하는 jnz 문장을 직접 NOP 처리하세요
참고: 프린팅 기능을 활성화하려면 시스템의 프린트 스풀러 서비스를 활성화해야 합니다
이 시점에서 PDF 인쇄를 내보낼 수 있을 거라 생각했고, 끝난 줄 알았는데 출력할 때 오류가 발생해 크래시가 났습니다(추신: 오류가 없다면 참고 문서 1에 따라 계속 작업하세요)
이 접근 위반은 아직 바이두의 방법으로 해결되지 않았는데, 정말 무력하다. 그래서 위에서 언급한 프로세스 탐색기, 프로세스 모니터, PCHunter가 사용됩니다
이 시점에서 프로세스 모니터는 수많은 사건을 포착했어야 합니다. 소프트웨어는 임시 파일(.tmp 파일)을 해제하는 방식으로 작동하는데, 프로세스 모니터에서 파일 동작을 확인해 보세요
소프트웨어가 실행 중에 C:Users 사용자 이름의 AppdataLocalTemp 디렉터리에 6b5df라는 임시 파일을 공개한 것을 발견했고, 이것이 PDF 파일일 것이라고 추측했습니다(Process Monitor에도 많은 연산이 있고, 나중에 나타나는 임시 파일도 많지만, 여기서는 처음 나타난 임시 파일만 보면 됩니다)
다음으로 PCHunter 파일에서 C:Users 사용자 이름의 AppdataLocalTemp 디렉터리를 펼치고, 6b5df.tmp라는 파일을 찾아 더블 클릭해 열어보세요. 팝업 창에서 어떻게 열리는지 묻고, Adobe Acrobat DC를 선택하세요
마침내 PDF 파일을 성공적으로 열었고, 검토 후 페이지 수는 여전히 126페이지였으며 파일이 완성되었습니다
마지막으로 저장된 기능으로 PDF 파일을 내보내면 추출이 완료됩니다
|
이전의:일본 경제 시리즈, 거의 100권의 책다음:CentOS 7에서 Kong API 게이트웨이를 배포하기
|
게시됨 2020. 4. 17. 오후 4:22:35
|
