|
|
Geplaatst op 21-11-2018 09:08:27
|
|
|
|
Voorwoord: Onlangs vond ik een helppost op het schoolforum over het kraken van de PDF die versleuteld is met EXE, en ik heb het forum doorzocht en dezelfde post gevonden. Na overleg met de relevante methoden nam ik contact op met de helper, kreeg een set machinecodes en wachtwoorden die waren geverifieerd, en begon met het kraken van machinecodevervanging en het uitpakken van PDF-bestanden. (pseudo-origineel)
Ik kan geen wachtwoordloos blasten bereiken, je kunt op het bericht reageren om te communiceren
Om auteursrechtelijke redenen is alle relevante software-informatie gecodeerd en verwerkt, en het bestand wordt niet als voorbeeld geüpload en biedt alleen communicatiereferenties. Dit artikel is uitsluitend bedoeld voor studie- en onderzoeksdoeleinden; De inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders draagt de gebruiker alle gevolgen en neem ik hiervoor geen verantwoordelijkheid.
Zie de gebroken tekst:
1.De hyperlink-login is zichtbaar.
2.De hyperlink-login is zichtbaar.
Voorbereidingsmiddelen:
ExeinfoPE (shell en basis PE-informatie), OD (geen uitleg), Process Monitor + Process Explorer (proces- en gerelateerde operatiemonitoring), PCHunter (voor definitieve bestandsextractie), Adobe Acrobat DC Pro (Adobe's PDF-weergave, bewerking, export, enz.)
Hoofdonderwerp:
Voor regulier gebruik je eerst EXEInfoPE om de shell te controleren
Delphi, het lijkt geen schelp. De virtuele machine probeert direct te openen
Inderdaad, het is niet zo simpel, er is virtuele machinedetectie en je sluit af na het klikken. Ik heb deze detectie van virtuele machines niet gebroken, ik heb het direct gedaan op win10 (maar dit wordt niet aanbevolen, als er een verborgen stapelrooster, afsluiting, enzovoort is, is dat erg gevaarlijk). Ten eerste is het wat lastig, en ten tweede is het technische niveau misschien niet bereikbaar. Als je goede vaardigheden hebt, kun je het proberen. Het volgende gebeurt allemaal op het win10-platform, het is het beste om Defender na de werking uit te schakelen, het kan de My Love Toolkit blokkeren en verkeerd rapporteren
Na het starten van de exe is de interface zoals op de afbeelding, en wordt er een map genaamd drmsoft gegenereerd in de rootmap van de C-schijf. Baidu kan zijn bedrijfsinformatie verkrijgen
Sleep OD erin en open Process Explorer, Process Monitor en PCHunter. Volgens referentieartikel 2 gebruik Ctrl+G in OD, spring naar de positie "00401000" (dit adres zou bekend moeten zijn, het is een veelvoorkomende laadprogramma-ingang), en gebruik de Chinese zoekintelligentie om de string te vinden zoals weergegeven in de figuur (de laatste string van 00000).
Na het dubbelklikken om te springen, wissel je het breekpunt onder F2 op de plek in figuur 2 (bij de tweede beweging van de twee bewegingen in het midden van de 3 calls), en start F9 het programma
Uit te zien is dat na het succesvolle ontkoppelen de machinecode van deze machine in het venster verschijnt zoals weergegeven in de figuur
Klik met de rechtermuisknop op de machinecode, selecteer "Volg in Datavenster", selecteer de machinecode hieronder en klik met de rechtermuisknop op Binair-Bewerken om deze te vervangen door de machinecode die is geverifieerd als normaal werkend
Na vervanging blijft F9 draaien, en je ziet dat de machinecode van de softwareinterface is veranderd in de bovenstaande machinecode
Bekijk het proces (extra proces onder OD) in Process Explorer om de PID te kennen, verwijder het event in Process Monitor om de capture te stoppen, stel het filter in volgens de PID en zet de capture aan
Plak vervolgens het wachtwoord dat bij de machinecode hoort om het succesvol te openen, klik rechtsboven op printen, en er verschijnt een venster dat afdrukken verbiedt. Nadat de software is geopend, zijn screenshots verboden (klembord is uitgeschakeld) en het openen van bepaalde software en vensters is verboden (auteursrecht, diefstalpreventie), en mag alleen met de mobiele telefoon worden gemaakt om te presenteren (pixels zijn dan niet gedefinieerd)
Of gebruik OD om te zoeken naar "prohibit printing", zoek de key statement en NOP direct de jnz-statement die de sprong meet om te beginnen met printen
Opmerking: Je moet ook de Print Spooler-service van het systeem inschakelen om de printfunctie te activeren
Ik dacht dat ik op dat moment PDF-printen zou kunnen exporteren, en ik dacht dat het klaar was, maar toen ik printte, maakte ik zo'n fout en crashte ik (PS: Als er geen fout is, ga dan gewoon door volgens referentieartikel 1)
Deze toegangsschending is nog steeds niet opgelost met Baidu's methode, die echt hulpeloos is. Daarom worden de hierboven genoemde Process Explorer, Process Monitor en PCHunter gebruikt
Tegen die tijd zou Process Monitor veel, heel veel gebeurtenissen moeten hebben vastgelegd. Raadsoftware werkt door tijdelijke bestanden (.tmp bestanden) vrij te geven, kijk gewoon naar de werking van het bestand in de Process Monitor
Ik merkte dat de software een tijdelijk bestand genaamd 6b5df heeft uitgebracht in de C:Users gebruikersnaam AppdataLocalTemp-map toen het draaide, en ik vermoedde dat dit het PDF-bestand was (let op: er zijn ook veel bewerkingen op het bestand in Process Monitor, en er verschijnen veel tijdelijke bestanden later, maar hier hoef je alleen naar het tijdelijke bestand te kijken dat voor het eerst verschijnt).
Vervolgens verbreed je in het PCHunter-bestand de C:Users gebruikersnaam AppdataLocalTemp-map, zoek het bestand met de naam 6b5df.tmp en dubbelklik om het te openen. Het pop-upvenster vraagt hoe het opent, en selecteer Adobe Acrobat DC
Uiteindelijk opende ik het PDF-bestand succesvol, en na bekeken was het aantal pagina's nog steeds 126 pagina's en was het bestand compleet
Gebruik tenslotte de functie 'opslaan als' om als PDF-bestand te exporteren, en dan is de extractie voltooid
|
Vorig:Japan Economic Series, bijna 100 boekenVolgend:Deploy Kong API Gateway op CentOS 7
|
Geplaatst op 17-04-2020 16:22:35
|
