Forord: I de siste dagene fant jeg et hjelpeinnlegg på skoleforumet om å knekke PDF-filen kryptert med EXE, og jeg søkte i forumet og fant det samme innlegget. Etter å ha konsultert de relevante metodene, kontaktet jeg hjelperen, fikk et sett med maskinkoder og passord som var verifisert, og startet knekking av maskinkodeerstatning og PDF-filutvinning. (pseudo-original)
Jeg klarer ikke passordløs blasting, du kan svare på innlegget for å kommunisere
Av opphavsrettsmessige grunner er all relevant programvareinformasjon kodet og behandlet, og filen lastes ikke opp som et eksempel, men gir kun metoder for kommunikasjonsreferanse. Denne artikkelen er kun for studie- og forskningsformål; Innholdet skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukeren bære alle konsekvenser, og jeg vil ikke ta noe ansvar for dette.
Se på den brutte teksten:
1.Innloggingen med hyperkoblingen er synlig.
2.Innloggingen med hyperkoblingen er synlig.
Forberedelsesverktøy:
ExeinfoPE (shell og grunnleggende PE-informasjon), OD (ingen forklaring), Process Monitor + Process Explorer (prosess- og relatert operasjonsovervåking), PCHunter (for endelig filutvinning), Adobe Acrobat DC Pro (Adobes PDF-visning, redigering, eksport osv.)
Hovedtema:
For vanlig drift, bruk EXEInfoPE for å sjekke skallet først
Delphi, det ser ikke ut som noe skall. Den virtuelle maskinen prøver å åpne direkte
Joda, det er ikke så enkelt, det finnes virtuell maskindeteksjon, og du avslutter etter å ha klikket. Jeg ødela ikke denne virtuelle maskindeteksjonen, jeg gjorde det direkte på Win10 (men dette anbefales ikke, hvis det er et skjult pile grid, nedstengning osv., er det veldig farlig). For det første er det litt problematisk, og for det andre kan det tekniske nivået være uoppnåelig. Hvis du har gode ferdigheter, kan du prøve det. Det neste gjøres på Win10-plattformen, det er best å slå av Defender etter operasjon, det kan blokkere og feilrapportere My Love Toolkit
Etter å ha startet exe-filen, er grensesnittet som vist på bildet, og en mappe kalt drmsoft genereres i rotkatalogen til C-disken. Baidu kan få tak i sin forretningsinformasjon
Dra inn OD og åpne Process Explorer, Process Monitor og PCHunter. I henhold til referanseartikkel 2, bruk Ctrl+G i OD, hopp til posisjonen "00401000" (denne adressen bør være kjent, det er en vanlig inngang til lasteprogrammer), og bruk kinesisk søkeintelligent søk for å finne strengen som vist i figuren (den siste strengen i 00000).
Etter dobbeltklikk for å hoppe, bytt breakpoint under F2 på stedet vist i figur 2 (ved det andre trekket av de to bevegelsene midt i de 3 kallene), og deretter kjører F9 programmet
Det kan sees at etter vellykket frakobling, vises maskinkoden til denne maskinen i vinduet som vist i figuren
Høyreklikk på maskinkoden, velg "Følg i Datavindu", velg maskinkoden nedenfor og høyreklikk Binær-Rediger for å erstatte den med maskinkoden som er verifisert å fungere normalt
Etter utskifting fortsetter F9 å kjøre, og du kan se at maskinkoden i programvaregrensesnittet er endret til maskinkoden ovenfor
Se prosessen (ekstra prosess under OD) i Process Explorer for å kjenne dens PID, slett hendelsen i Process Monitor for å stoppe opptaket, sett filteret etter PID, og slå på opptaket
Lim deretter inn passordet som tilsvarer maskinkoden for å åpne den, klikk på skriv ut øverst til høyre, og et vindu som forbyr utskrift vil dukke opp. Etter at programvaren er åpnet, er skjermbilder forbudt (utklippstavlen er deaktivert) og åpning av visse programmer og vinduer er forbudt (opphavsrett, tyveribeskyttelse), og kan kun tas med mobiltelefonen for å vise (piksler vil være udefinerte)
Eller bruk OD for å søke etter "forby utskrift", finn nøkkelsetningen, og NOP direkte jnz-setningen som vurderer hoppet for å starte utskrift
Merk: Du må også aktivere systemets Print Spooler-tjeneste for å aktivere utskriftsfunksjonen
Jeg trodde jeg burde kunne eksportere PDF-utskrift på dette tidspunktet, og jeg trodde det var gjort, men da jeg skrev ut, gjorde jeg en slik feil og krasjet (PS: Hvis det ikke er noen feil, bare fortsett i henhold til referanseartikkel 1)
Dette tilgangsbruddet er fortsatt ikke løst med Baidus metode, som er veldig hjelpeløs. Derfor brukes Process Explorer, Process Monitor og PCHunter nevnt ovenfor
På dette tidspunktet burde Process Monitor ha fanget mange, mange hendelser. Gjetteprogram fungerer ved å frigi midlertidige filer (.tmp filer), bare se på filens funksjon i Prosessmonitoren
La merke til at programvaren slapp en midlertidig fil kalt 6b5df i C:Users brukernavn AppdataLocalTemp-katalogen mens den kjørte, og antok at dette var PDF-filen (merk at det også er mange operasjoner på filen i Process Monitor, og mange midlertidige filer som dukker opp senere, men her trenger du bare å se på den midlertidige filen som vises for første gang)
Deretter, i PCHunter-filen, utvider du C:Users brukernavn AppdataLocalTemp-katalogen, finn filen som heter 6b5df.tmp, og dobbeltklikk for å åpne den. Popup-vinduet spør hvordan det åpnes, og velg Adobe Acrobat DC
Til slutt åpnet jeg PDF-filen, og etter gjennomgang var antallet sider fortsatt 126 sider, og filen var komplett
Til slutt bruker du «lagre som»-funksjonen for å eksportere som en PDF-fil, og ekstraksjonen er fullført
|
Publisert på 21.11.2018 09:08:27
|
|
|
|
Publisert på 17.04.2020 16:22:35
|
