|
|
Yayınlandı 21.11.2018 09:08:27
|
|
|
|
Önsöz: Son günlerde, EXE ile şifrelenmiş PDF'yi kırmakla ilgili okul forumunda bir yardım gönderisi buldum ve forumda arama yaptım, aynı gönderiyi buldum. İlgili yöntemlere baktıktan sonra yardımcıya ulaştım, doğrulanmış bir dizi makine kodları ve şifre aldım ve makine kodu değiştirme ile PDF dosya çıkarma işlemlerine başladım. (sahte orijinal)
Şifresiz patlama yapamıyorum, gönderiye yanıt verip iletişim kurabilirsiniz
Telif hakkı nedenleriyle, tüm ilgili yazılım bilgileri kodlanmış ve işlenmiştir, dosya örnek olarak yüklenmemiştir ve yalnızca iletişim referansı için yöntemler sunar. Bu makale yalnızca çalışma ve araştırma amaçları içindir; İçerik ticari veya yasa dışı amaçlarla kullanılmayacak, aksi takdirde tüm sonuçları kullanıcı taşıyacak ve ben bunun sorumluluğunu taşımayacağım.
Bozuk metne bakınız:
1.Bağlantı girişi görünür.
2.Bağlantı girişi görünür.
Hazırlık Araçları:
ExeinfoPE (kabuk ve temel PE bilgileri), OD (açıklamasız), Process Monitor + Process Explorer (süreç ve ilgili işlem izleme), PCHunter (nihai dosya çıkarma için), Adobe Acrobat DC Pro (Adobe PDF görüntüleme, düzenleme, dışa aktarma vb.)
Ana konu:
Düzenli kullanım için, önce kabuğu kontrol etmek üzere EXEInfoPE kullanın
Delphi, kabuk yok gibi görünüyor. Sanal makine doğrudan açılmaya çalışıyor
Gerçekten de bu kadar basit değil, sanal makine algılama var ve tıkladıktan sonra çıkıyorsunuz. Bu sanal makine algılamasını bozmadım, doğrudan win10'da yaptım (ama bu önerilmiyor, gizli bir yığın ızgarası, kapatma vs. varsa çok tehlikelidir). Birincisi, biraz sorunlu, ikincisi ise teknik seviyeye ulaşılamayabilir. İyi becerilerin varsa, deneyebilirsin. Sonraki iş tamamen win10 platformunda yapılıyor, en iyisi operasyondan sonra defender'ı kapatmak, My Love Toolkit'i engelleyip yanlış bildirimde bulunabilir
Exe başlatıldıktan sonra, arayüz resimde gösterildiği gibi olur ve C sürücüsünün kök dizininde drmsoft adlı bir klasör oluşturulur. Baidu iş bilgilerini alabilir
OD'yi sürükleyip Process Explorer, Process Monitor ve PCHunter'ı açın. Referans madde 2'ye göre, OD'de Ctrl+G kullanın, "00401000" pozisyonuna atlayın (bu adres tanıdık olmalı, yaygın bir yükleme programı girişidir) ve şekilde gösterildiği gibi (00000'in son dizisi) diziyi bulmak için Çin arama akıllı arama kullanın.
Çift tıklama ile atladıktan sonra, F2'nin altındaki mola noktasını şekil 2'de gösterilen yere (3 çağrının ortasındaki iki hareketten ikinci hareketinde) değiştirin ve ardından F9 programı çalıştırır
Başarılı bir şekilde bağlantı kesildikten sonra, bu makinenin makine kodu şekilde gösterildiği gibi pencerede görünmektedir
Makine koduna sağ tıklayın, "Veri Penceresinde İzle" seçeneğini seçin, aşağıdaki makine kodunu seçin ve Binary-Edit'e sağ tıklayın, böylece normal çalıştığı doğrulanmış makine koduyla değiştirin
Değiştirildikten sonra F9 çalışmaya devam eder ve yazılım arayüzünün makine kodunun yukarıdaki makine koduna değiştirildiğini görebilirsiniz
Süreci (OD altında ek süreç) Process Explorer'da PID'ini bilmek için görüntüleyin, Process Monitörü'nde olayı kapatarak yakalamayı durdurun, filtreyi PID'ye göre ayarlayın ve yakalamayı açın
Sonra makine koduna uygun şifreyi yapıştırarak başarılı bir şekilde açın, sağ üst köşeye yazdırmaya tıklayın ve yazdırmayı engelleyen bir pencere açılıyor. Yazılım açıldıktan sonra ekran görüntüleri yasaktır (pano devre dışı bırakılır) ve bazı yazılımların ve pencerelerin açılması yasaktır (telif hakkı, hırsızlık önleme), ve sadece cep telefonuyla çekilerek sunum yapılabilir (pikseller tanımlanmamış olur)
Ya da OD ile "baskıyı yasakla" ifadesini ara, anahtar i'yi bulabilir ve baskıya başlamak için atlamayı değerlendiren jnz ifadesini doğrudan NOP olarak işaretleyin
Not: Baskı fonksiyonunu etkinleştirmek için sistemin Print Spooler hizmetini de etkinleştirmeniz gerekir
Bu noktada PDF baskısını dışa aktarabilmem gerektiğini düşündüm ve bitmiş sanmıştım ama yazdırdığımda büyük bir hata yaptım ve çöktüm (Not: Hata yoksa, referans maddesi 1'e göre devam edin)
Bu Erişim İhlali hâlâ Baidu'nun yöntemiyle çözülemedi, ki bu gerçekten çaresiz. Bu yüzden yukarıda bahsedilen Process Explorer, Process Monitor ve PCHunter kullanılır
Bu zamana kadar Process Monitor birçok olayı kaydetmiş olmalıydı. Tahmin yazılımı, geçici dosyaları (.tmp dosyalarını serbest bırakarak çalışır, sadece Süreç Monitörü'nde dosyanın işleyişine bakın
Yazılımın çalışırken C:Users kullanıcı adı AppdataLocalTemp dizininde 6b5df adlı geçici bir dosya çıkardığını fark ettim ve bunun PDF dosyası olduğunu tahmin ettim (Process Monitor'da dosyada da birçok işlem var ve daha sonra ortaya çıkan birçok geçici dosya var, ama burada sadece ilk kez görünen geçici dosyaya bakmanız yeterli)
Sonra, PCHunter dosyasında C:Users kullanıcı adı AppdataLocalTemp dizinini genişletin, 6b5df.tmp adlı dosyayı bulun ve açmak için çift tıklayın. Açılır pencere nasıl açıldığını sorar ve Adobe Acrobat DC'yi seçer
Sonunda PDF dosyasını başarıyla açtım ve inceledikten sonra sayfa sayısı hâlâ 126 sayfa oldu ve dosya tamamlanmıştı
Son olarak, PDF dosyası olarak dışa aktarmak için kaydet fonksiyonunu kullanın ve çıkarma tamamlanır
|
Önceki:Japonya Ekonomik Serisi, yaklaşık 100 kitapÖnümüzdeki:Kong API Gateway'i CentOS 7'de Deploy
|
Yayınlandı 17.04.2020 16:22:35
|
