Predslov: V posledných dňoch som na školskom fóre našiel príspevok s pomocou o rozlúštení PDF zašifrovaného pomocou EXE, prehľadal som fórum a našiel ten istý príspevok. Po konzultácii s príslušnými metódami som kontaktoval pomocníka, získal som overenú sadu strojových kódov a hesiel a začal som lámať nástroje na výmenu strojového kódu a extrahovať PDF súbory. (pseudo-originál)
Nedokážem dosiahnuť blastovanie bez hesla, môžete odpovedať na príspevok a komunikovať
Z dôvodu autorských práv boli všetky relevantné informácie o softvéri zakódované a spracované, súbor sa nenahráva ako vzorka, poskytuje len komunikačné referenčné metódy. Tento článok slúži len na štúdium a výskumné účely; Obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesie všetky dôsledky používateľ a ja za to nenesiem žiadnu zodpovednosť.
Pozri sa na rozbitý text:
1.Prihlásenie na hypertextový odkaz je viditeľné.
2.Prihlásenie na hypertextový odkaz je viditeľné.
Prípravné nástroje:
ExeinfoPE (shell a základné informácie o PE), OD (bez vysvetlenia), Process Monitor + Process Explorer (monitorovanie procesov a súvisiacich operácií), PCHunter (na finálnu extrakciu súborov), Adobe Acrobat DC Pro (Adobe na prezeranie, úpravu, export PDF a pod.)
Hlavná téma:
Pre bežnú prevádzku použite najskôr EXEInfoPE na kontrolu plášťa
Delphi, vyzerá to ako žiadna schránka. Virtuálny stroj sa snaží otvoriť priamo
A naozaj, nie je to také jednoduché, existuje detekcia virtuálneho stroja a po kliknutí odídete. Túto detekciu virtuálneho stroja som neprerušil, urobil som to priamo na win10 (ale to sa neodporúča, ak je tam skrytá hromadná mriežka, vypnutie a podobne, je to veľmi nebezpečné). Po prvé, je to trochu komplikované, a po druhé, technická úroveň nemusí byť dosiahnuteľná. Ak máš dobré zručnosti, môžeš to skúsiť. Ďalšia vec, ktorá sa robí na platforme Win10, je najlepšie po operácii vypnúť Defender, môže zablokovať a nesprávne nahlásiť My Love Toolkit
Po spustení exe je rozhranie tak, ako je znázornené na obrázku, a v koreňovom adresári disku C sa vygeneruje priečinok s názvom drmsoft. Baidu môže získať informácie o jeho podnikaní
Pretiahnite OD a otvorte Process Explorer, Process Monitor a PCHunter. Podľa referenčného článku 2 použite Ctrl+G v OD, preskočte na pozíciu "00401000" (táto adresa by vám mala byť známa, ide o bežný vstup načítavacieho programu) a použite čínske vyhľadávacie inteligentné vyhľadávanie na nájdenie reťazca znázorneného na obrázku (posledný reťazec 00000).
Po dvojitom kliknutí na skok prepnite breakpoint pod F2 na mieste zobrazenom na obrázku 2 (pri druhom pohybe z dvoch pohybov uprostred 3 volaní) a potom F9 spustí program
Je vidieť, že po úspešnom odpojení sa strojový kód tohto stroja objaví v okne, ako je znázornené na obrázku
Kliknite pravým tlačidlom na strojový kód, vyberte "Follow in Data Window", vyberte strojový kód nižšie a pravým kliknutím kliknite na Binary-Edit, aby ste ho nahradili strojovým kódom, ktorý bol overený ako normálny
Po výmene F9 pokračuje v prevádzke a môžete vidieť, že strojový kód softvérového rozhrania bol zmenený na strojový kód uvedený vyššie
Zobraziť proces (ďalší proces pod OD) v Process Explorer, aby ste vedeli jeho PID, vymazať udalosť v Process Monitore na zastavenie zachytenia, nastaviť filter podľa PID a zapnúť zachytenie
Potom vložte heslo zodpovedajúce strojovému kódu, aby ste ho úspešne otvorili, kliknite na tlač v pravom hornom rohu a zobrazí sa okno zakazujúce tlač. Po otvorení softvéru sú snímky obrazovky zakázané (schránka je deaktivovaná) a otvorenie určitého softvéru a okien je zakázané (autorské práva, ochrana proti krádeži) a je možné ich fotografovať iba mobilným telefónom (pixely budú nedefinované)
Alebo použite OD na vyhľadanie "prohibit printing", nájdite kľúčové vyhlásenie a priamo NOP na príkaz jnz, ktorý posudzuje skok na začatie tlače
Poznámka: Tiež musíte povoliť službu Print Spooler systému, aby ste umožnili funkciu tlače
Myslel som si, že by som už mal byť schopný exportovať PDF tlač, a myslel som si, že je to hotové, ale keď som tlačil, urobil som takú chybu a spadol som (PS: Ak chyba nie je, pokračujte podľa referenčného článku 1)
Toto porušenie prístupu stále nebolo vyriešené pomocou Baiduovej metódy, ktorá je naozaj bezmocná. Preto sa používajú vyššie spomenuté Process Explorer, Process Monitor a PCHunter
Do tej doby by mal Process Monitor zachytiť mnoho, mnoho udalostí. Predpokladám, že softvér funguje tak, že uvoľňuje dočasné súbory (.tmp súbory), stačí sa pozrieť na fungovanie súboru v Process Monitore
Všimol som si, že softvér uvoľnil dočasný súbor s názvom 6b5df v adresári C:Users AppdataLocalTemp, keď bol spustený, a usúdil som, že ide o PDF súbor (všimnite si, že v Process Monitore je na súbore veľa operácií a mnoho dočasných súborov sa objaví neskôr, ale tu stačí pozrieť na dočasný súbor, ktorý sa objaví prvýkrát)
Ďalej v súbore PCHunter rozbalte používateľské meno C:Users adresár AppdataLocalTemp, nájdite súbor s názvom 6b5df.tmp a dvojitým kliknutím ho otvorte. Vyskakovacie okno sa pýta, ako sa otvorí, a vyberte Adobe Acrobat DC
Nakoniec som úspešne otvoril PDF súbor a po preštudovaní bolo stále 126 strán, takže súbor bol kompletný
Nakoniec použite funkciu uložiť ako export do PDF súboru a extrakcia je dokončená
|
Zverejnené 21. 11. 2018 9:08:27
|
|
|
|
Zverejnené 17. 4. 2020 16:22:35
|
