Priekšvārds: Pēdējās dienās es atradu palīdzības ziņu skolas forumā par EXE šifrētā PDF uzlaušanu, un es meklēju forumā un atradu to pašu ziņu. Pēc konsultēšanās ar attiecīgajām metodēm es sazinājos ar palīgu, saņēmu pārbaudītu mašīnu kodu un paroļu komplektu un sāku mašīnas koda nomaiņu un PDF failu ekstrakciju. (pseidooriģināls)
Es nevaru sasniegt sprādzienu bez paroles, jūs varat atbildēt uz ziņu, lai sazinātos
Autortiesību apsvērumu dēļ visa attiecīgā programmatūras informācija ir kodēta un apstrādāta, un fails netiek augšupielādēts kā paraugs, un tajā ir tikai saziņas metodes. Šis raksts ir paredzēts tikai studiju un pētniecības nolūkiem; Saturs nedrīkst tikt izmantots komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājs uzņemas visas sekas, un es par to neuzņemos nekādu atbildību.
Skatiet salauzto tekstu:
1.Hipersaites pieteikšanās ir redzama.
2.Hipersaites pieteikšanās ir redzama.
Sagatavošanas rīki:
ExeinfoPE (čaulas un pamata PE informācija), OD (bez paskaidrojuma), Process Monitor + Process Explorer (procesu un saistīto darbību uzraudzība), PCHunter (galīgai failu ekstrakcijai), Adobe Acrobat DC Pro (Adobe PDF skatīšana, rediģēšana, eksportēšana utt.)
Galvenā tēma:
Regulārai darbībai izmantojiet EXEInfoPE, lai vispirms pārbaudītu apvalku
Delfi, izskatās, ka nav čaumalas. Virtuālā mašīna mēģina atvērt tieši
Protams, tas nav tik vienkārši, ir virtuālās mašīnas noteikšana, un jūs iziesiet pēc noklikšķināšanas. Es nepārtraucu šo virtuālās mašīnas noteikšanu, es to izdarīju tieši win10 (bet tas nav ieteicams, ja ir slēpts pāļu režģis, izslēgšana utt., Tas ir ļoti bīstami). Pirmkārt, tas ir mazliet apgrūtinoši, un, otrkārt, tehniskais līmenis var nebūt sasniedzams. Ja jums ir labas prasmes, varat to izmēģināt. Nākamā lieta tiek darīta win10 platformā, vislabāk ir izslēgt aizstāvi pēc operācijas, tas var bloķēt un nepareizi ziņot par My Love Toolkit
Pēc exe palaišanas interfeiss ir tāds, kā parādīts attēlā, un C diska saknes direktorijā tiek ģenerēta mape ar nosaukumu drmsoft. Baidu var iegūt savu biznesa informāciju
Velciet OD un atveriet Process Explorer, Process Monitor un PCHunter. Saskaņā ar atsauces rakstu 2, izmantojiet Ctrl + G OD, pārejiet uz pozīciju "00401000" (šai adresei jābūt pazīstamai, tā ir parasta ielādes programmas ieeja) un izmantojiet ķīniešu meklēšanas inteliģento meklēšanu, lai atrastu virkni, kā parādīts attēlā (pēdējā virkne 00000).
Pēc dubultklikšķa, lai lēktu, pārslēdziet pārtraukuma punktu zem F2 vietā, kas parādīta 2. attēlā (divu kustību otrajā kustībā 3 zvanu vidū), un pēc tam F9 palaiž programmu
Var redzēt, ka pēc veiksmīgas atvienošanas šīs mašīnas kods parādās logā, kā parādīts attēlā
Ar peles labo pogu noklikšķiniet uz mašīnas koda, atlasiet "Sekot datu logā", atlasiet zemāk esošo mašīnas kodu un ar peles labo pogu noklikšķiniet uz Binary-Edit, lai aizstātu to ar mašīnas kodu, kas ir pārbaudīts, lai tas darbotos normāli
Pēc nomaiņas F9 turpina darboties, un jūs varat redzēt, ka programmatūras interfeisa mašīnas kods ir mainīts uz iepriekš minēto mašīnas kodu
Skatiet procesu (papildu process zem OD) procesa pārlūkā, lai uzzinātu tā PID, notīriet notikumu procesa pārraugā, lai apturētu tveršanu, iestatiet filtru atbilstoši PID un ieslēdziet tveršanu
Pēc tam ielīmējiet mašīnas kodam atbilstošo paroli, lai to veiksmīgi atvērtu, augšējā labajā stūrī noklikšķiniet uz drukāt, un parādīsies logs, kas aizliedz drukāšanu. Pēc programmatūras atvēršanas ekrānuzņēmumi ir aizliegti (starpliktuve ir atspējota) un noteiktas programmatūras un logu atvēršana ir aizliegta (autortiesības, pretzādzība), un tos var uzņemt tikai ar mobilo tālruni (pikseļi nebūs definēti)
Vai arī izmantojiet OD, lai meklētu "aizliegt drukāšanu", atrast galveno apgalvojumu un tieši NOP jnz paziņojumu, kas spriež par lēcienu, lai sāktu drukāšanu
Piezīmes: Lai iespējotu drukāšanas funkciju, ir jāiespējo arī sistēmas drukas spolētāja pakalpojums
Es domāju, ka šajā brīdī man vajadzētu būt iespējai eksportēt PDF drukāšanu, un es domāju, ka tas ir izdarīts, bet, drukājot, es pieļāvu šādu kļūdu un avarēju (PS: Ja nav kļūdas, vienkārši turpiniet to darīt saskaņā ar atsauces rakstu 1)
Šis piekļuves pārkāpums joprojām nav atrisināts, izmantojot Baidu metodi, kas ir patiešām bezpalīdzīga. Tāpēc tiek izmantots iepriekš minētais Process Explorer, Process Monitor un PCHunter
Līdz tam laikam Process Monitor vajadzēja uztvert daudzus, daudzus notikumus. Uzminēšanas programmatūra darbojas, atbrīvojot pagaidu failus (.tmp failus), vienkārši apskatiet faila darbību procesa monitorā
Pamanīju, ka programmatūra izlaida pagaidu failu ar nosaukumu 6b5df direktorijā C:Users lietotājvārds AppdataLocalTemp, kad tas darbojās, un uzminēja, ka tas ir PDF fails (ņemiet vērā, ka Process Monitor failā ir arī daudz operāciju, un ir daudz pagaidu failu, kas parādās vēlāk, bet šeit jums ir jāaplūko tikai pagaidu fails, kas parādās pirmo reizi)
Pēc tam PCHunter failā izvērsiet direktoriju C:Users lietotājvārds AppdataLocalTemp, atrodiet failu ar nosaukumu 6b5df.tmp un veiciet dubultklikšķi, lai to atvērtu. Uznirstošajā logā tiek jautāts, kā tas tiek atvērts, un atlasiet Adobe Acrobat DC
Visbeidzot, es veiksmīgi atvēru PDF failu, un pēc pārskatīšanas lappušu skaits joprojām bija 126 lappuses, un fails bija pabeigts
Visbeidzot, izmantojiet saglabāšanas funkciju eksportēt kā PDF failu, un izvilkšana ir pabeigta
|
Publicēts 21.11.2018 09:08:27
|
|
|
|
Publicēts 17.04.2020 16:22:35
|
