Предисловие: В последние дни я нашёл пост помощи на форуме школы о взломе PDF, зашифрованного EXE, и поискал на форуме, где нашёл тот же пост. После консультации с соответствующими методами я связался с помощником, получил набор проверенных машинных кодов и паролей, и начал взлом машинного кода и извлечением PDF-файлов. (псевдо-оригинал)
Я не могу достичь безпарольного бластинга, вы можете ответить на пост, чтобы общаться
По причинам авторских прав вся релевантная информация о программном обеспечении была закодирована и обработана, файл не загружен в виде образца и содержит только методы для обращения к коммуникации. Эта статья предназначена исключительно для изучения и исследовательских целей; Контент не должен использоваться в коммерческих или незаконных целях, иначе все последствия несёт пользователь, и я не несу за это никакой ответственности.
См. сломанный текст:
1.Вход по гиперссылке виден.
2.Вход по гиперссылке виден.
Инструменты для подготовки:
ExeinfoPE (оболочка и базовая информация о PE), OD (без объяснений), Process Monitor + Process Explorer (мониторинг процессов и связанных операций), PCHunter (для извлечения финального файла), Adobe Acrobat DC Pro (просмотр, редактирование, экспорт PDF от Adobe и др.)
Основная тема:
Для обычной работы сначала используйте EXEInfoPE для проверки оболочки
Дельфы, похоже, нет оболочки. Виртуальная машина пытается открыть напрямую
И действительно, всё не так просто: есть обнаружение виртуальной машины, и вы выходите после клика. Я не вскрывал это обнаружение виртуальной машины, я сделал это напрямую на Windows 10 (но это не рекомендуется, если есть скрытая сетка с кучами, отключение и т.д., это очень опасно). Во-первых, это немного проблематично, а во-вторых, технический уровень может быть недостижим. Если у вас хорошие навыки, можете попробовать. Далее всё делается на платформе win10 — лучше отключить Defender после операции, он может заблокировать и неправильно отчитать My Love Toolkit
После запуска exe интерфейс выглядит так, как показано на изображении, и в корневой папке диска C генерируется папка drmsoft. Baidu может получить свою бизнес-информацию
Введите OD и откройте Process Explorer, Process Monitor и PCHunter. Согласно справочной статье 2, используйте Ctrl+G в OD, перейдите в позицию «00401000» (этот адрес должен быть знаком, это распространённый ввод загрузочной программы) и используйте китайский интеллектуальный поиск для поиска строки, как показано на рисунке (последняя строка 00000).
После двойного щелчка для прыжка переключите точку прерывания под F2 в месте, указанном на рисунке 2 (на втором ходе двух движений в середине трёх вызовов), после чего F9 запускает программу
Видно, что после успешного отключения машинный код этой машины появляется в окне, как показано на рисунке
Кликните правой кнопкой мыши по машинному коду, выберите «Следить в окне данных», выберите машинный код ниже и правой кнопкой мыши по Binary-Edit, чтобы заменить его на проверенный нормальный машинный код
После замены F9 продолжает работать, и видно, что машинный код программного интерфейса был изменён на вышеуказанный машинный код
Просмотрите процесс (дополнительный процесс в OD) в Проводнике процессов, чтобы узнать его PID, очистите событие в Process Monitor, чтобы остановить захват, установите фильтр в соответствии с PID и включите захват
Затем вставьте пароль, соответствующий машинному коду, чтобы успешно открыть, нажмите «Печать» в правом верхнем углу, и появится окно, запрещающее печать. После открытия программы скриншоты запрещены (буфер обмена отключен), а открытие некоторых программ и окон (авторские права, защита от кражи) запрещено, и их можно делать только с помощью мобильного телефона для показа (пиксели будут неопределены)
Или используйте OD для поиска «запретить печать», поиска ключевого оператора и напрямую NOP к JNZ-оператору, который определяет прыжок для начала печати
Примечание: также необходимо включить сервис Print Spooler системы для включения функции печати
Я думал, что должен иметь возможность экспортировать печать PDF на этом этапе, и думал, что всё готово, но когда печатал, я допустил такую ошибку и вылетел (P.S. Если ошибки нет, просто продолжайте делать это согласно статье 1)
Это нарушение доступа до сих пор не решено методом Baidu, который действительно беспомощен. Вот почему используются Process Explorer, Process Monitor и PCHunter, упомянутые выше
К этому времени Process Monitor должен был зафиксировать множество событий. Программное обеспечение для предположения работает за счёт выпуска временных файлов (.tmp файлов), просто посмотрите работу файла в Process Monitor.
Заметил, что программа выпустила временный файл с названием 6b5df в каталоге имени пользователя C:Users AppdataLocalTemp во время запуска, и предположил, что это PDF-файл (обратите внимание, что в Process Monitor с этим файлом много операций, и многие временные файлы появляются позже, но здесь достаточно посмотреть только временный файл, который появляется впервые)
Далее в файле PCHunter расширите каталог имени пользователя C:Users AppdataLocalTemp, найдите файл с именем 6b5df.tmp и дважды кликните, чтобы открыть его. Всплывающее окно спрашивает, как оно открывается, и выбирает Adobe Acrobat DC
Наконец, я успешно открыл PDF-файл, и после просмотра количество страниц осталось 126 страниц, и файл был полностью завершён
Наконец, используйте функцию сохранения как экспорт в PDF-файл, и извлечение завершено
|
Опубликовано 21.11.2018 9:08:27
|
|
|
|
Опубликовано 17.04.2020 16:22:35
|
