Prefácio: Nos últimos dias, encontrei um post de ajuda no fórum da escola sobre como quebrar o PDF criptografado pelo EXE, e pesquisei no fórum e encontrei o mesmo post. Depois de consultar os métodos relevantes, entrei em contato com o assistente, obtive um conjunto de códigos de máquina e senhas que já haviam sido verificados, e comecei a substituição de código de máquina e extração de arquivos PDF. (pseudo-original)
Não consigo fazer blasting sem senha, você pode responder ao post para se comunicar
Por razões de direitos autorais, todas as informações relevantes de software foram codificadas e processadas, e o arquivo não é carregado como amostra, fornecendo apenas métodos de referência de comunicação. Este artigo é apenas para fins de estudo e pesquisa; O conteúdo não deve ser usado para fins comerciais ou ilegais, caso contrário, o usuário terá todas as consequências, e eu não assumo qualquer responsabilidade por isso.
Consulte o texto fragmentado:
1.O login do hiperlink está visível.
2.O login do hiperlink está visível.
Ferramentas de preparação:
ExeinfoPE (informações de shell e PE básico), OD (sem explicação), Process Monitor + Process Explorer (monitoramento de processos e operações relacionadas), PCHunter (para extração final de arquivos), Adobe Acrobat DC Pro (visualização, edição, exportação de PDFs da Adobe etc.)
Tema principal:
Para operação regular, use o EXEInfoPE para verificar a carcaça primeiro
Delphi, parece que não tem concha. A máquina virtual tenta abrir diretamente
E claro, não é tão simples assim, há detecção de máquina virtual, e você sai depois de clicar. Eu não quebrei essa detecção de máquina virtual, fiz diretamente no Windows 10 (mas isso não é recomendado, se houver uma grade de pilhas oculta, desligamento, etc., é muito perigoso). Primeiro, é um pouco problemático e, segundo, o nível técnico pode não ser alcançável. Se você tem boas habilidades, pode tentar. A próxima coisa é feita na plataforma win10: o melhor é desligar o defender após a operação, pois ele pode bloquear e reportar incorretamente o My Love Toolkit
Após iniciar o exe, a interface fica como mostrada na imagem, e uma pasta chamada drmsoft é gerada no diretório raiz do drive C. A Baidu pode obter suas informações comerciais
Arraste OD e abra o Process Explorer, o Process Monitor e o PCHunter. De acordo com o artigo de referência 2, use Ctrl+G em OD, pule para a posição "00401000" (esse endereço deve ser familiar, é uma entrada comum de programas de carregamento) e use a busca inteligente chinesa para encontrar a string mostrada na figura (a última string de 00000).
Após clicar duas vezes para pular, troque o ponto de interrupção sob F2 no local mostrado na figura 2 (no segundo movimento dos dois movimentos no meio das 3 chamadas), e então F9 executa o programa
Pode-se ver que, após a desconexão bem-sucedida, o código de máquina dessa máquina aparece na janela, como mostrado na figura
Clique com o botão direito no código de máquina, selecione "Seguir na Janela de Dados", selecione o código de máquina abaixo e clique com o botão direito em Binary-Edit para substituí-lo pelo código de máquina que foi verificado como funcionando normalmente
Após a substituição, o F9 continua rodando, e você pode ver que o código de máquina da interface de software foi alterado para o código de máquina acima
Visualize o processo (processo adicional sob OD) no Explorador de Processos para conhecer seu PID, limpe o evento no Monitor de Processos para parar a captura, configure o filtro de acordo com o PID e ative a captura
Depois, cole a senha correspondente ao código da máquina para abri-la com sucesso, clique em imprimir no canto superior direito, e uma janela proibindo a impressão aparecerá. Após a abertura do software, capturas de tela são proibidas (a prancheta está desativada) e a abertura de certos softwares e janelas é proibida (direitos autorais, anti-roubo), podendo ser feita apenas com o celular para apresentar (pixels serão indefinidos)
Ou use OD para buscar por "proibir impressão", encontrar a instrução chave e NOP diretamente a declaração jnz que julga o salto para começar a impressão
Nota: Você também precisa ativar o serviço Print Spooler do sistema para ativar a função de impressão
Achei que deveria conseguir exportar a impressão em PDF neste ponto, e achei que estava pronto, mas quando imprimi, cometi um erro e travei (PS: Se não houver erro, continue fazendo conforme o artigo de referência 1)
Essa violação de acesso ainda não foi resolvida usando o método do Baidu, que é realmente impotente. É por isso que o Process Explorer, o Process Monitor e o PCHunter mencionados acima são usados
Até esse momento, o Process Monitor já deveria ter capturado muitos, muitos eventos. Acho que o software funciona liberando arquivos temporários (.tmp arquivos), basta olhar para o funcionamento do arquivo no Monitor de Processos
Notei que o software liberou um arquivo temporário chamado 6b5df no nome de usuário C:Users AppdataLocalTemp enquanto estava rodando, e imaginei que esse era o arquivo PDF (note que também há muitas operações no arquivo no Process Monitor, e muitos arquivos temporários aparecem depois, mas aqui você só precisa olhar para o arquivo temporário que aparece pela primeira vez)
Em seguida, no arquivo PCHunter, expanda o nome de usuário de C:Users AppdataLocalTemp, encontre o arquivo chamado 6b5df.tmp e clique duas vezes para abri-lo. A janela pop-up pergunta como ele abre, e selecione Adobe Acrobat DC
Finalmente, abri o arquivo PDF com sucesso e, após revisar, o número de páginas ainda era 126 páginas, e o arquivo estava completo
Por fim, use a função de salvar como para exportar como arquivo PDF, e a extração é concluída
|
Publicado em 21/11/2018 09:08:27
|
|
|
|
Publicado em 17/04/2020 16:22:35
|
