Predgovor: V zadnjih dneh sem na šolskem forumu našel objavo za pomoč o razbijanju PDF-ja, šifriranega z EXE, in iskal sem po forumu ter našel isto objavo. Po posvetovanju z ustreznimi metodami sem kontaktiral pomočnika, pridobil preverjen nabor strojnih kod in gesel ter začel z razbijanjem zamenjave strojne kode in izvlečenjem PDF datotek. (psevdo-izvirnik)
Ne morem doseči blasting brez gesla, lahko odgovorite na objavo za komunikacijo
Zaradi avtorskih pravic so vse relevantne informacije o programski opremi kodirane in obdelane, datoteka pa ni naložena kot vzorec, temveč le za komunikacijsko referenco. Ta članek je namenjen izključno študijskim in raziskovalnim namenom; Vsebina se ne sme uporabljati za komercialne ali nezakonite namene, sicer bo uporabnik nosil vse posledice, jaz pa ne bom nosil nobene odgovornosti za to.
Glej na pokvarjeno besedilo:
1.Prijava do hiperpovezave je vidna.
2.Prijava do hiperpovezave je vidna.
Pripravljalna orodja:
ExeinfoPE (lupina in osnovne informacije o PE), OD (brez razlage), Process Monitor + Process Explorer (spremljanje procesov in povezanih operacij), PCHunter (za končno ekstrakcijo datotek), Adobe Acrobat DC Pro (Adobe za ogled, urejanje, izvoz PDF-jev itd.)
Glavna tema:
Za redno delovanje najprej uporabite EXEInfoPE, da preverite lupino
Delphi, zdi se, da ni lupine. Navidezni stroj poskuša odpreti neposredno
In res, ni tako preprosto, obstaja zaznavanje virtualnega stroja in po kliku boš izstopil. Nisem pokvaril zaznavanja navideznega stroja, naredil sem ga neposredno na win10 (vendar to ni priporočljivo, če je skrita mreža kupov, izklop ipd., je zelo nevarno). Prvič, to je nekoliko problematično, in drugič, tehnična raven morda ni dosegljiva. Če imaš dobre veščine, lahko poskusiš. Naslednja stvar, ki jo opravite na platformi Win10, je najbolje izklopiti Defender po operaciji, saj lahko blokira in napačno prijavi My Love Toolkit
Po zagonu exe datoteke je vmesnik prikazan na sliki, v korenski mapi C diska pa se ustvari mapa z imenom drmsoft. Baidu lahko pridobi poslovne informacije
Povleci vanj OD in odpri Process Explorer, Process Monitor in PCHunter. Po referenčnem članku 2 uporabite Ctrl+G v OD, skočite na položaj "00401000" (ta naslov bi vam moral biti znan, saj je pogost vhod v program nalaganja) in uporabite kitajsko iskalno inteligentno iskanje za iskanje niza, kot je prikazano na sliki (zadnji niz 00000).
Po dvojnem kliku za skok zamenjajte prelomno točko pod F2 na mestu, prikazanem na sliki 2 (pri drugem premiku med dvema giboma sredi treh klicev), nato F9 zažene program
Vidimo lahko, da se po uspešnem odklopu strojna koda tega stroja pojavi v oknu, kot je prikazano na sliki
Desni klik na strojno kodo, izberite "Follow in Data Window", spodaj izberite strojno kodo in desni klik na Binary-Edit, da jo zamenjate s strojno kodo, ki je bila potrjena kot normalna
Po zamenjavi F9 še naprej teče, in lahko vidite, da je strojna koda programskega vmesnika spremenjena v strojno kodo zgoraj
Oglejte si proces (dodatni proces pod OD) v Process Explorerju, da poznate njegov PID, izpraznite dogodek v Process Monitor za zaustavitev zajema, nastavite filter glede na PID in vklopite zajem
Nato prilepite geslo, ki ustreza strojni kodi, da ga uspešno odprete, kliknite natisni v zgornjem desnem kotu in odpre se okno, ki prepoveduje tiskanje. Ko je programska oprema odprta, so posnetki zaslona prepovedani (odložišče je onemogočeno), odpiranje določene programske opreme in oken pa je prepovedano (avtorske pravice, protivlomni), in jih je mogoče fotografirati le z mobilnim telefonom (piksli bodo nedoločeni)
Ali pa uporabite OD za iskanje "prepoved tiskanja", poiščite ključno izjavo in neposredno NOP na jnz izjavo, ki ocenjuje skok za začetek tiskanja
Opomba: Prav tako morate omogočiti storitev Print Spooler sistema, da omogočite funkcijo tiskanja
Mislil sem, da bi moral biti v tem trenutku sposoben izvoziti PDF tisk, in mislil sem, da je končano, a ko sem tiskal, sem naredil veliko napako in se sesulo (PS: Če ni napake, nadaljujte po referenčnem članku 1)
Ta kršitev dostopa še vedno ni bila rešena z Baidujevo metodo, ki je res nemočna. Zato se uporabljajo zgoraj omenjeni Process Explorer, Process Monitor in PCHunter
Do takrat bi moral Process Monitor zajeti veliko, veliko dogodkov. Programska oprema za ugibanje deluje tako, da sprosti začasne datoteke (.tmp datotek), samo poglejte delovanje datoteke v Process Monitorju
Opazil sem, da je programska oprema izdala začasno datoteko z imenom 6b5df v imeniku uporabnika C:Users AppdataLocalTemp, ko je bila zagnana, in domneval, da gre za PDF datoteko (upoštevajte, da je v Process Monitor na datoteki veliko operacij in veliko začasnih datotek se pojavi kasneje, vendar tukaj morate pogledati le začasno datoteko, ki se pojavi prvič)
Nato v datoteki PCHunter razširite uporabniško ime C:Users AppdataLocalTemp, poiščite datoteko z imenom 6b5df.tmp in z dvojnim klikom jo odprete. Pojavno okno vpraša, kako se odpre, in izberite Adobe Acrobat DC
Končno sem uspešno odprl PDF datoteko in po pregledu je bilo število strani še vedno 126, datoteka pa je bila popolna
Na koncu uporabite funkcijo shranjevanja kot izvoz kot PDF datoteko in ekstrakcija je zaključena
|
Objavljeno na 21. 11. 2018 09:08:27
|
|
|
|
Objavljeno na 17. 04. 2020 16:22:35
|
