Przedmowa: W ostatnich dniach znalazłem post pomocy na forum szkolnym dotyczący złamania pliku PDF zaszyfrowanego przez EXE, przeszukałem forum i znalazłem ten sam wpis. Po konsultacji z odpowiednimi metodami skontaktowałem się z pomocnikiem, otrzymałem zestaw zweryfikowanych kodów maszynowych i haseł oraz rozpocząłem łamanie kodu maszynowego i wyodrębnianie plików PDF. (pseudo-oryginalny)
Nie mogę uzyskać blastingu bez hasła, możesz odpowiedzieć na post, żeby się komunikować
Ze względów praw autorskich wszystkie istotne informacje o oprogramowaniu zostały zakodowane i przetworzone, a plik nie jest przesyłany jako próbka, a jedynie służy do odniesienia komunikacyjnego. Ten artykuł służy wyłącznie celom badawczym i badawczym; Treść nie może być wykorzystywana do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownik ponosi wszystkie konsekwencje, a ja nie poniosę za to żadnej odpowiedzialności.
Spójrz na uszkodzony tekst:
1.Logowanie do linku jest widoczne.
2.Logowanie do linku jest widoczne.
Narzędzia przygotowawcze:
ExeinfoPE (powłoka i podstawowe informacje PE), OD (bez wyjaśnień), Process Monitor + Process Explorer (monitorowanie procesów i powiązanych operacji), PCHunter (do ostatecznego wyodrębniania plików), Adobe Acrobat DC Pro (przeglądanie, edytowanie, eksport PDF Adobe itd.)
Główny temat:
Do regularnej pracy użyj EXEInfoPE, aby najpierw sprawdzić powłokę
Delphi, wygląda na brak muszli. Maszyna wirtualna próbuje otworzyć się bezpośrednio
Rzeczywiście, to nie jest takie proste – jest wykrywanie maszyny wirtualnej i po kliknięciu wyjdziesz z niej. Nie zepsułem tego wykrywania maszyny wirtualnej, zrobiłem to bezpośrednio na win10 (ale nie jest to zalecane, jeśli jest ukryta siatka stosów, wyłączenie itp., to bardzo niebezpieczne). Po pierwsze, jest to trochę kłopotliwe, a po drugie, poziom techniczny może być nieosiągalny. Jeśli masz dobre umiejętności, możesz spróbować. Następna rzecz, którą wszystko robi się na platformie win10, najlepiej jest wyłączyć Defendera po operacji, ponieważ może on zablokować i błędnie zgłosić My Love Toolkit
Po uruchomieniu pliku exe interfejs jest taki, jak pokazano na zdjęciu, a w katalogu głównym dysku C generowany jest folder o nazwie drmsoft. Baidu może uzyskać informacje biznesowe
Przeciągnij OD i otwórz Process Explorer, Process Monitor oraz PCHunter. Zgodnie z artykułem referencyjnym 2, użyj Ctrl+G w OD, przejdź do pozycji "00401000" (ten adres powinien być znajomy, jest to powszechne wejście do programów ładowanych) i użyj chińskiego wyszukiwania inteligentnego, aby znaleźć ciąg znaków przedstawiony na rysunku (ostatni ciąg 00000).
Po podwójnym kliknięciu w celu skoku przełącz punkt przerwy pod F2 w miejscu pokazanym na rysunku 2 (w drugim ruchu z dwóch ruchów w środku 3 wywołań), a następnie program uruchamia F9
Widać, że po udanym rozłączeniu kod maszynowy tej maszyny pojawia się w oknie, jak pokazano na rysunku
Kliknij prawym przyciskiem myszy na kod maszynowy, wybierz "Follow in Data Window", wybierz poniższy kod maszynowy i kliknij prawym przyciskiem Binary-Edit, aby zastąpić go kodem maszynowym, który został zweryfikowany jako działający prawidłowo
Po wymianie F9 nadal działa, a widać, że kod maszynowy interfejsu oprogramowania został zmieniony na powyższy kod maszynowy
Zobacz proces (dodatkowy proces pod OD) w Process Explorer, aby poznać jego PID, wyczyść zdarzenie w Process Monitor, aby zatrzymać przechwyt, ustawić filtr zgodnie z PID i włączyć przechwytywanie
Następnie wklej hasło odpowiadające kodowi maszynowemu, aby go otworzyć pomyślnie, kliknij drukuj w prawym górnym rogu, a pojawi się okno zakazujące drukowania. Po otwarciu oprogramowania robienie zrzutów ekranu jest zabronione (schowek jest wyłączony), a otwieranie niektórych programów i okien jest zabronione (prawa autorskie, antykradzieżowe), i można je robić tylko na telefonie komórkowym (piksele będą nieokreślone)
Albo użyj OD, aby wyszukać "zabrania drukowania", znaleźć kluczowe zdanie i bezpośrednio NOP do instrukcji jnz, która ocenia skok do rozpoczęcia drukowania
Uwaga: Należy również włączyć usługę Print Spooler systemu, aby umożliwić wydruk
Myślałem, że powinienem już móc wyeksportować PDF i myślałem, że to już zrobione, ale podczas drukowania popełniłem taki błąd i nastąpił crash (PS: Jeśli nie ma błędu, po prostu kontynuuj to zgodnie z artykułem referencyjnym 1)
To naruszenie dostępu wciąż nie zostało rozwiązane metodą Baidu, która jest naprawdę bezradna. Dlatego właśnie używa się Process Explorer, Process Monitor i PCHunter wspomnianych powyżej
Do tego czasu Process Monitor powinien mieć już wiele, wiele zdarzeń. Oprogramowanie typu "Guess" działa poprzez zwalnianie plików tymczasowych (.tmp plików), wystarczy spojrzeć na działanie pliku w Process Monitor
Zauważyłem, że oprogramowanie wypuściło tymczasowy plik o nazwie 6b5df w katalogu użytkownika C:Users AppdataLocalTemp podczas działania i zgadłem, że to plik PDF (warto zauważyć, że w Process Monitor jest też wiele operacji na tym pliku i wiele plików tymczasowych pojawia się później, ale tutaj wystarczy spojrzeć na plik tymczasowy, który pojawia się po raz pierwszy)
Następnie w pliku PCHunter rozwiń nazwę użytkownika C:Users do katalogu AppdataLocalTemp, znajdź plik o nazwie 6b5df.tmp i kliknij dwukrotnie, aby go otworzyć. Okno wyskakujące, jak się otwiera, i wybierz Adobe Acrobat DC
W końcu udało mi się otworzyć plik PDF i po przejrzeniu liczba stron nadal wynosiła 126, a plik był kompletny
Na koniec użyj funkcji zapisz jako eksport jako plik PDF i rozpakowanie jest zakończone
|
Opublikowano 21.11.2018 09:08:27
|
|
|
|
Opublikowano 17.04.2020 16:22:35
|
