|
|
Publicerad på 2018-11-21 09:08:27
|
|
|
|
Förord: De senaste dagarna hittade jag ett hjälpinlägg på skolans forum om att knäcka PDF:en krypterad med EXE, och jag sökte på forumet och hittade samma inlägg. Efter att ha konsulterat relevanta metoder kontaktade jag hjälparen, fick en uppsättning maskinkoder och lösenord som hade verifierats, och började knäcka ut maskinkodsersättning och extrahera PDF-filer. (pseudo-original)
Jag kan inte uppnå lösenordslös blasting, du kan svara på inlägget för att kommunicera
Av upphovsrättsliga skäl har all relevant mjukvaruinformation kodats och bearbetats, och filen laddas inte upp som ett prov, utan tillhandahåller endast metoder för kommunikationsreferens. Denna artikel är endast avsedd för studier och forskning; Innehållet får inte användas för kommersiella eller olagliga ändamål, annars får användaren bära alla konsekvenser, och jag tar inget ansvar för detta.
Se den brutna texten:
1.Inloggningen med hyperlänken är synlig.
2.Inloggningen med hyperlänken är synlig.
Förberedelseverktyg:
ExeinfoPE (shell och grundläggande PE-information), OD (ingen förklaring), Process Monitor + Process Explorer (process- och relaterad operationsövervakning), PCHunter (för slutlig filextraktion), Adobe Acrobat DC Pro (Adobes PDF-visning, redigering, export etc.)
Huvudämne:
För normal drift, använd EXEInfoPE för att först kontrollera skalet
Delphi, det ser ut som ingen skal. Den virtuella maskinen försöker öppna direkt
Mycket riktigt, det är inte så enkelt, det finns virtuell maskindetektion, och du kommer att avsluta efter att ha klickat. Jag bröt inte denna virtuella maskindetektering, jag gjorde det direkt på Win10 (men det rekommenderas inte, om det finns ett dolt pålnät, avstängning osv. är det mycket farligt). För det första är det lite besvärligt, och för det andra kanske den tekniska nivån inte är nåbar. Om du har bra färdigheter kan du prova. Nästa sak görs på win10-plattformen, det är bäst att stänga av Defender efter operation, den kan blockera och felrapportera My Love Toolkit
Efter att ha startat exe:n är gränssnittet som visas på bilden, och en mapp med namnet drmsoft genereras i rotkatalogen på C-enheten. Baidu kan få sin affärsinformation
Dra in OD och öppna Process Explorer, Process Monitor och PCHunter. Enligt referensartikel 2, använd Ctrl+G i OD, hoppa till positionen "00401000" (denna adress bör vara bekant, det är en vanlig laddningsprogramingång), och använd den kinesiska sökintelligenta sökningen för att hitta strängen som visas i figuren (den sista strängen i 00000).
Efter att ha dubbelklickat för att hoppa, byt brytpunkt under F2 på platsen som visas i figur 2 (vid det andra draget av de två rörelserna i mitten av de 3 anropen), och sedan kör F9 programmet
Det kan ses att efter den lyckade frånkopplingen visas maskinkoden för denna maskin i fönstret som visas i figuren
Högerklicka på maskinkoden, välj "Follow in Data Window", välj maskinkoden nedan och högerklicka på Binary-Edit för att ersätta den med maskinkoden som har verifierats fungera normalt
Efter utbytet fortsätter F9 att köras, och du kan se att maskinkoden för mjukvarugränssnittet har ändrats till maskinkoden ovan
Visa processen (ytterligare process under OD) i Process Explorer för att känna till dess PID, rensa händelsen i Process Monitor för att stoppa inspelningen, ställ filtret enligt PID och slå på fångsten
Klistra sedan in lösenordet som motsvarar maskinkoden för att öppna den, klicka på skriv ut uppe i högra hörnet, och ett fönster som förbjuder utskrift dyker upp. Efter att programvaran har öppnats är skärmdumpar förbjudna (urklippstavlan är avstängd) och öppning av viss programvara och fönster är förbjuden (upphovsrätt, stöldskydd), och kan endast tas med mobilen för att visa (pixlarna kommer att vara odefinierade)
Eller använd OD för att söka efter "förbjud utskrift", hitta nyckeluttalandet och direkt NOP:a jnz-satsen som bedömer hoppet för att börja trycka
Observera: Du måste också aktivera systemets Print Spooler-tjänst för att aktivera utskriftsfunktionen
Jag trodde att jag borde kunna exportera PDF-utskrift vid det här laget, och jag trodde att det var klart, men när jag skrev ut gjorde jag ett sådant fel och kraschade (PS: Om det inte finns något fel, fortsätt bara enligt referensartikel 1)
Denna åtkomstöverträdelse har fortfarande inte lösts med Baidus metod, som är väldigt hjälplös. Det är därför Process Explorer, Process Monitor och PCHunter som nämnts ovan används
Vid det här laget borde Process Monitor ha fångat många, många händelser. Gissningsprogramvara fungerar genom att släppa temporära filer (.tmp filer), titta bara på filens funktion i Process Monitor
Märkte att programvaran släppte en tillfällig fil som heter 6b5df i C:Users användarnamn AppdataLocalTemp-katalogen när den kördes, och gissade att detta var PDF-filen (notera att det också finns många operationer på filen i Process Monitor, och många temporära filer som dyker upp senare, men här behöver du bara titta på den temporära filen som dyker upp för första gången)
Därefter, i PCHunter-filen, expandera C:Users användarnamn AppdataLocalTemp-katalogen, hitta filen som heter 6b5df.tmp och dubbelklicka för att öppna den. Popupfönstret frågar hur den öppnas och väljer Adobe Acrobat DC
Till slut öppnade jag PDF-filen framgångsrikt, och efter granskning var antalet sidor fortfarande 126 sidor och filen var komplett
Använd slutligen funktionen 'spara som' för att exportera som en PDF-fil, och extraktionen är klar
|
Föregående:Japan Economic Series, nästan 100 böckerNästa:Distribuera Kong API Gateway på CentOS 7
|
Publicerad på 2020-04-17 16:22:35
|
