Prefață: În ultimele zile, am găsit o postare de ajutor pe forumul școlii despre spargerea PDF-ului criptat de EXE, am căutat pe forum și am găsit aceeași postare. După ce am consultat metodele relevante, am contactat ajutorul, am obținut un set de coduri mașină și parole verificate și am început spargerea codului mașină și extragerea fișierelor PDF. (pseudo-original)
Nu pot face blasting fără parolă, poți răspunde la postare ca să comunici
Din motive de drepturi de autor, toate informațiile relevante despre software au fost codificate și procesate, iar fișierul nu este încărcat ca eșantion și oferă doar metode de referință pentru comunicații. Acest articol este destinat doar studiului și cercetării; Conținutul nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorul va suporta toate consecințele, iar eu nu îmi voi asuma nicio responsabilitate.
Consultați textul fragmentat:
1.Autentificarea cu hyperlink este vizibilă.
2.Autentificarea cu hyperlink este vizibilă.
Unelte de pregătire:
ExeinfoPE (informații shell și PE de bază), OD (fără explicații), Process Monitor + Process Explorer (monitorizarea proceselor și a operațiunilor conexe), PCHunter (pentru extragerea fișierului final), Adobe Acrobat DC Pro (vizualizarea, editarea, exportul PDF Adobe etc.)
Subiectul principal:
Pentru funcționarea normală, folosește EXEInfoPE pentru a verifica mai întâi carcasa
Delphi, pare că nu e nicio carapace. Mașina virtuală încearcă să se deschidă direct
Într-adevăr, nu este chiar atât de simplu, există detecție de mașini virtuale și vei ieși după ce dai click. Nu am stricat această detecție a mașinii virtuale, am făcut-o direct pe Windows 10 (dar acest lucru nu este recomandat, dacă există o grilă ascunsă de tip grămadă, oprire etc., este foarte periculos). În primul rând, este puțin problematic, iar în al doilea rând, nivelul tehnic s-ar putea să nu fie accesibil. Dacă ai abilități bune, poți încerca. Următorul lucru este făcut pe platforma win10: cel mai bine este să dezactivezi defender-ul după operațiune, pentru că poate bloca și raporta greșit My Love Toolkit-ul
După pornirea execut-ului, interfața este așa cum este prezentată în imagine, iar un folder numit drmsoft este generat în directorul rădăcină al unității C. Baidu poate obține informații despre afaceri
Trage OD și deschide Process Explorer, Process Monitor și PCHunter. Conform articolului de referință 2, folosiți Ctrl+G în OD, săriți la poziția "00401000" (această adresă ar trebui să vă fie familiară, este o intrare comună pentru programe de încărcare) și folosiți căutarea inteligentă chineză pentru a găsi șirul așa cum este arătat în figură (ultimul șir de 00000).
După dublu click pentru a sări, schimbă punctul de întrerupere sub F2 în locul indicat în figura 2 (la al doilea mut dintre cele două mișcări din mijlocul celor 3 apeluri), apoi F9 rulează programul
Se poate observa că după deconectarea cu succes, codul mașină al acestei mașini apare în fereastră, așa cum este arătat în figură
Faceți clic dreapta pe codul mașină, selectați "Follow in Data Window", selectați codul mașină de mai jos și faceți clic dreapta pe Binary-Edit pentru a-l înlocui cu codul mașină care a fost verificat că funcționează normal
După înlocuire, F9 continuă să ruleze, iar codul mașină al interfeței software a fost schimbat în cel de mai sus
Vizualizează procesul (proces suplimentar sub OD) în Process Explorer pentru a-i cunoaște PID-ul, șterge evenimentul în Process Monitor pentru a opri captura, setează filtrul conform PID-ului și activează capturarea
Apoi lipește parola corespunzătoare codului mașină pentru a-l deschide cu succes, apasă pe print în colțul din dreapta sus și va apărea o fereastră care interzice imprimarea. După ce software-ul este deschis, capturile de ecran sunt interzise (clipboard-ul este dezactivat), iar deschiderea anumitor programe și ferestre este interzisă (drepturi de autor, antifurt), și pot fi luate doar cu telefonul mobil la prezentare (pixelii vor fi nedefiniți)
Sau folosește OD pentru a căuta "prohibit printing", găsește instrucțiunea cheie și aplică direct NOP la instrucțiunea jnz care evaluează saltul pentru a începe tipărirea
Notă: De asemenea, trebuie să activezi serviciul Print Spooler al sistemului pentru a activa funcția de imprimare
Am crezut că ar trebui să pot exporta imprimarea PDF în acest moment și am crezut că s-a terminat, dar când am printat, am făcut o greșeală și m-am blocat (PS: Dacă nu există nicio eroare, continuă să o faci conform articolului de referință 1)
Această încălcare a accesului încă nu a fost rezolvată folosind metoda lui Baidu, care este cu adevărat neajutorată. De aceea se folosesc Process Explorer, Process Monitor și PCHunter menționate mai sus
Până atunci, Process Monitor ar fi trebuit să fi surprins multe, multe evenimente. Presupun că software-ul funcționează prin eliberarea fișierelor temporare (.tmp fișiere), doar uită-te la funcționarea fișierului în Monitorul de Procese
Am observat că software-ul a lansat un fișier temporar numit 6b5df în numele de utilizator C:Users AppdataLocalTemp când rula și am presupus că acesta era fișierul PDF (rețineți că există multe operații pe fișier în Process Monitor și multe fișiere temporare care apar ulterior, dar aici trebuie doar să vă uitați la fișierul temporar care apare pentru prima dată)
Apoi, în fișierul PCHunter, extindeți numele de utilizator C:Users AppdataLocalTemp, găsiți fișierul numit 6b5df.tmp și faceți dublu clic pentru a-l deschide. Fereastra pop-up întreabă cum se deschide și selectează Adobe Acrobat DC
În cele din urmă, am deschis cu succes fișierul PDF și, după ce am revizuit, numărul de pagini era încă 126 de pagini, iar fișierul era complet
În final, folosește funcția de salvare ca fișier pentru a exporta ca fișier PDF, iar extragerea este finalizată
|
Postat pe 21.11.2018 09:08:27
|
|
|
|
Postat pe 17.04.2020 16:22:35
|
