Pratarmė: Pastarosiomis dienomis mokyklos forume radau pagalbos įrašą apie EXE užšifruoto PDF nulaužimą, ieškojau forume ir radau tą patį įrašą. Pasikonsultavęs su atitinkamais metodais, susisiekiau su pagalbininku, gavau patikrintų mašinų kodų ir slaptažodžių rinkinį, pradėjau mašinos kodo keitimą ir PDF failų ištraukimą. (pseudo originalas)
Aš negaliu pasiekti slaptažodžio sprogdinimo, galite atsakyti į pranešimą bendrauti
Dėl autorių teisių visa susijusi programinės įrangos informacija buvo užkoduota ir apdorota, o failas neįkeliamas kaip pavyzdys ir pateikiami tik ryšio metodai. Šis straipsnis skirtas tik studijų ir mokslinių tyrimų tikslams; Turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojas prisiima visas pasekmes, o aš už tai neprisiimsiu jokios atsakomybės.
Žiūrėkite sugadintą tekstą:
1.Hipersaito prisijungimas matomas.
2.Hipersaito prisijungimas matomas.
Paruošimo įrankiai:
"ExeinfoPE" (apvalkalo ir pagrindinė PE informacija), OD (be paaiškinimo), "Process Monitor" + "Process Explorer" (procesų ir susijusių operacijų stebėjimas), "PCHunter" (galutiniam failų ištraukimui), "Adobe Acrobat DC Pro" ("Adobe" PDF peržiūra, redagavimas, eksportavimas ir kt.)
Pagrindinė tema:
Jei norite reguliariai veikti, pirmiausia naudokite EXEInfoPE, kad patikrintumėte apvalkalą
Delfi, atrodo, kad nėra apvalkalo. Virtuali mašina bando atidaryti tiesiogiai
Žinoma, tai nėra taip paprasta, yra virtualios mašinos aptikimas, o spustelėję išeisite. Aš nesulaužiau šio virtualios mašinos aptikimo, padariau tai tiesiai win10 (bet tai nerekomenduojama, jei yra paslėptas krūvos tinklelis, išjungimas ir pan., Tai labai pavojinga). Pirma, tai šiek tiek vargina, antra, techninis lygis gali būti nepasiekiamas. Jei turite gerų įgūdžių, galite tai išbandyti. Kitas dalykas atliekamas win10 platformoje, geriausia išjungti gynėją po operacijos, jis gali užblokuoti ir neteisingai pranešti apie "My Love Toolkit"
Paleidus exe, sąsaja yra tokia, kaip parodyta paveikslėlyje, o C disko šakniniame kataloge sugeneruojamas aplankas pavadinimu drmsoft. "Baidu" gali gauti savo verslo informaciją
Vilkite OD ir atidarykite "Process Explorer", "Process Monitor" ir "PCHunter". Pagal 2 nuorodos straipsnį naudokite Ctrl+G OD, pereikite į "00401000" poziciją (šis adresas turėtų būti pažįstamas, tai yra įprastas įkėlimo programos įėjimas) ir naudokite kinų paieškos išmaniąją paiešką, kad rastumėte eilutę, kaip parodyta paveikslėlyje (paskutinė 00000 eilutė).
Dukart spustelėję šokinėti, perjunkite lūžio tašką po F2 2 paveikslėlyje parodytoje vietoje (antrame dviejų judesių 3 skambučių viduryje), tada F9 paleidžia programą
Galima pastebėti, kad po sėkmingo atjungimo lange pasirodo šios mašinos kodas, kaip parodyta paveikslėlyje
Dešiniuoju pelės mygtuku spustelėkite mašinos kodą, pasirinkite "Sekti duomenų lange", pasirinkite žemiau esantį mašinos kodą ir dešiniuoju pelės mygtuku spustelėkite Dvejetainis redagavimas, kad pakeistumėte jį mašinos kodu, kuris buvo patikrintas, kad jis veikia normaliai
Po pakeitimo F9 toliau veikia ir matote, kad programinės įrangos sąsajos mašinos kodas buvo pakeistas į aukščiau pateiktą mašinos kodą
Peržiūrėkite procesą (papildomą procesą pagal OD) "Process Explorer", kad sužinotumėte jo PID, išvalykite įvykį "Process Monitor", kad sustabdytumėte fiksavimą, nustatykite filtrą pagal PID ir įjunkite fiksavimą
Tada įklijuokite slaptažodį, atitinkantį mašinos kodą, kad jį sėkmingai atidarytumėte, spustelėkite spausdinti viršutiniame dešiniajame kampe ir pasirodys langas, draudžiantis spausdinti. Atidarius programinę įrangą, ekrano kopijos yra draudžiamos (iškarpinė išjungta) ir tam tikros programinės įrangos ir langų atidarymas yra draudžiamas (autorių teisės, apsauga nuo vagystės), ir gali būti daromas tik su mobiliuoju telefonu (pikseliai bus neapibrėžti)
Arba naudokite OD ieškoti "uždrausti spausdinti", rasti pagrindinį teiginį, ir tiesiogiai NOP jnz pareiškimą, kad teisėjai šuolis pradėti spausdinti
Pastaba: Taip pat turite įjungti sistemos spausdinimo kaupos paslaugą, kad įjungtumėte spausdinimo funkciją
Maniau, kad šiuo metu turėčiau galėti eksportuoti PDF spausdinimą, ir maniau, kad tai padaryta, bet kai spausdinau, padariau tokią klaidą ir sudužau (PS: Jei klaidos nėra, tiesiog tęskite tai pagal 1 straipsnį)
Šis prieigos pažeidimas vis dar nebuvo išspręstas naudojant Baidu metodą, kuris yra tikrai bejėgis. Štai kodėl naudojami aukščiau paminėti "Process Explorer", "Process Monitor" ir "PCHunter"
Iki to laiko "Process Monitor" turėjo užfiksuoti daug, daug įvykių. Atspėjimo programinė įranga veikia išleisdama laikinuosius failus (.tmp failus), tiesiog pažiūrėkite į failo veikimą proceso monitoriuje
Pastebėjau, kad programinė įranga išleido laikiną failą pavadinimu 6b5df C:Users vartotojo vardas AppdataLocalTemp kataloge, kai jis veikė, ir atspėjo, kad tai buvo PDF failas (atkreipkite dėmesį, kad faile taip pat yra daug operacijų "Process Monitor", ir yra daug laikinų failų, kurie pasirodo vėliau, tačiau čia jums reikia tik pažvelgti į laikinąjį failą, kuris pasirodo pirmą kartą)
Tada PCHunter faile išplėskite katalogą C:Users username AppdataLocalTemp, raskite failą pavadinimu 6b5df.tmp ir dukart spustelėkite, kad jį atidarytumėte. Iššokančiajame lange klausiama, kaip jis atsidaro, ir pasirinkite Adobe Acrobat DC
Galiausiai sėkmingai atidariau PDF failą, o po peržiūros puslapių skaičius vis dar buvo 126 puslapiai, o failas buvo baigtas
Galiausiai naudokite funkciją išsaugoti kaip, kad eksportuotumėte kaip PDF failą, ir ištraukimas bus baigtas
|
Paskelbta 2018-11-21 09:08:27
|
|
|
|
Paskelbta 2020-04-17 16:22:35
|
