Передмова: Останніми днями я знайшов допоможний пост на шкільному форумі про злам PDF, зашифрованого EXE, і я пошукав на форумі той самий допис. Після консультації з відповідними методами я зв'язався з помічником, отримав набір машинних кодів і паролів, які були перевірені, і почав зламування машинного коду та витягування PDF-файлів. (псевдооригінал)
Я не можу досягти безпарольного blasting, ви можете відповісти на пост, щоб поспілкуватися
З міркувань авторського права вся релевантна програмна інформація була закодована та оброблена, і файл не завантажується як зразок і лише надає методи комунікаційного посилання. Ця стаття призначена виключно для вивчення та дослідницьких цілей; Контент не повинен використовуватися в комерційних чи незаконних цілях, інакше користувач несе всі наслідки, і я не несу за це жодної відповідальності.
Зверніться до зламаного тексту:
1.Вхід за гіперпосиланням видно.
2.Вхід за гіперпосиланням видно.
Інструменти для підготовки:
ExeinfoPE (shell та базова інформація про PE), OD (без пояснень), Process Monitor + Process Explorer (моніторинг процесів та пов'язаних операцій), PCHunter (для фінального вилучення файлу), Adobe Acrobat DC Pro (перегляд, редагування, експорт PDF Adobe тощо)
Основна тема:
Для звичайної роботи спочатку використовуйте EXEInfoPE для перевірки оболонки
Дельфі, схоже, вона без мушлі. Віртуальна машина намагається відкритися безпосередньо
І справді, все не так просто: існує виявлення віртуальної машини, і ви вийдете після натискання. Я не зламав це визначення віртуальної машини, я зробив це безпосередньо на Windows 10 (але це не рекомендується, якщо є прихована сітка купи, вимкнення тощо, це дуже небезпечно). По-перше, це трохи складно, а по-друге, технічний рівень може бути недосяжним. Якщо у тебе хороші навички, можеш спробувати. Далі все зроблено на платформі win10 — найкраще вимкнути Defender після операції, він може заблокувати і неправильно повідомити My Love Toolkit
Після запуску exe інтерфейс виглядає так, як показано на зображенні, і в кореневій директорії диска C генерується папка drmsoft. Baidu може отримати інформацію про бізнес
Перетягніть OD і відкрийте Process Explorer, Process Monitor і PCHunter. Згідно зі статтею 2, використовуйте Ctrl+G у OD, перейдіть у позицію «00401000» (ця адреса має бути знайомою, це поширений вхід у програмі завантаження), і використайте китайський інтелектуальний пошук для пошуку рядка, як показано на рисунку (останній рядок 00000).
Після подвійного кліку, щоб стрибнути, переключіть точку зупину під F2 у місці, показаному на рисунку 2 (на другому ході двох рухів посередині трьох викликів), і тоді F9 запускає програму
Видно, що після успішного відключення машинний код цієї машини з'являється у вікні, як показано на рисунку
Клацніть правою кнопкою миші на машинному коді, виберіть «Follow in Data Window», виберіть машинний код нижче і правою кнопкою миші клікніть Binary-Edit, щоб замінити його на машинний код, який перевірено як працює нормально
Після заміни F9 продовжує працювати, і видно, що машинний код інтерфейсу програмного забезпечення було змінено на машинний код вище
Перегляньте процес (додатковий процес у OD) у Process Explorer, щоб дізнатися його PID, очистіть подію в Process Monitor, щоб зупинити захоплення, встановіть фільтр відповідно до PID і увімкніть захоплення
Потім вставте пароль, що відповідає машинному коду, щоб успішно відкрити пристрій, натисніть «Друкувати» у верхньому правому куті, і з'явиться вікно, що забороняє друкувати. Після відкриття програми скріншоти забороняються (буфер обміну вимкнено), а відкриття певного програмного забезпечення та вікон заборонено (авторські права, антикрадіжка), і їх можна робити лише на мобільному телефоні для презентації (пікселі будуть невизначені)
Або використовуйте OD для пошуку «заборонити друк», знайти ключовий оператор і безпосередньо NOP на jnz-оператор, який оцінює стрибок для початку друку
Примітка: Також потрібно увімкнути сервіс Print Spooler системи, щоб увімкнути функцію друку
Я думав, що маю змогу експортувати PDF-друк на цьому етапі, і думав, що це зроблено, але коли друкував, зробив таку помилку і вийшов (P.S. Якщо помилки немає, просто продовжуйте робити це згідно зі статтею 1)
Це порушення доступу досі не вирішено методом Baidu, який справді безпорадний. Ось чому використовуються Process Explorer, Process Monitor і PCHunter, згадані вище
До цього часу Process Monitor мав би зафіксувати дуже багато подій. Програмне забезпечення для вгадування працює шляхом випуску тимчасових файлів (.tmp файлів), просто подивіться на роботу файлу в Process Monitor
Помітив, що програмне забезпечення випустило тимчасовий файл під назвою 6b5df у каталозі користувача C:Users AppdataLocalTemp під час його запуску, і здогадався, що це PDF-файл (зверніть увагу, що у Process Monitor також багато операцій над файлом, і багато тимчасових файлів з'являються пізніше, але тут достатньо подивитися лише на тимчасовий файл, який з'являється вперше)
Далі у файлі PCHunter розгорніть каталог користувача C:Users AppdataLocalTemp, знайдіть файл з ім'ям 6b5df.tmp і двічі клацніть, щоб відкрити його. Спливаюче вікно запитує, як воно відкривається, і обирає Adobe Acrobat DC
Нарешті, я успішно відкрив PDF-файл, і після перегляду кількість сторінок залишалася 126, і файл був повним
Нарешті, використовуйте функцію збереження як експорт у PDF-файл, і витягування завершено
|
Опубліковано 21.11.2018 09:08:27
|
|
|
|
Опубліковано 17.04.2020 16:22:35
|
