加密演示,也就是用一个可执行文件来播放一个PPT,从而达到使该程序拥有者能看到但是无法编辑该PPT的目的。 右键查看一下这个程序,发现可以用winrar打开,但是所有文件是加密的。 或许破解了这个rar密码就可以得到我们想要的文件了,但是这显然很不明智。 再一点,这里我们并没有找到我们需要的PPT文件,先不管,至少能确定肯定在其中包含着吧。 双击运行程序,提示输入播放密码。没密码?那就暴力破解rar密码吧。。。一般来说,老师给你PPT总会给你播放密码吧。。。 输入后程序就开始播放PPT了,但是,即使搜索整个硬盘也不会发现有新的PPT产生。 这时对于善于反汇编和加解密的神们来说,估计会去逆向一下将播放密码转为rar密码的算法吧,我没那本事,只好继续探索ws的方法了。╮(╯▽╰)╭ 那么我们就用点工具看看吧,打开一个进程查看的工具(我用的是procexp10.20_cn),哦,新产生一个进程,PV.EXE,不就是压缩包里的嘛,再看看参数/.../OLECONL0.DLL,这估计就是被匿名了的PPT源文件了吧,好吧,既然你诚心诚意的为我解压缩了,那我就不客气的copy了。。。 打开我的电脑,定位到该目录,咦,窗口立刻被关了,邪门了,再试,再被关。。。好吧,原来你还防着我copy。切,我让你监视,我就不来挂你的勾,我照样也能拷,反正你就对explorer监视,那我换个软件拷,你对拷贝挂钩,那我先压缩了再解压,看你怎么着(!@#$%^&^%$#@)……好了,拷出来了,激动啊。。。结果。。。文件夹中没有那个匿名的PPT文件OLECONL0.DLL,我ao~ 再运行一次,用filemon监视一下,发现对OLECONL0.DLL的操作是先OPEN,在DELETE,然后无限循环的OPEN,返回结果当然是NOT FOUND了。soga,你把这文件给PV.EXE播放后就立刻删啦,那我还原被删文件不就得了,winhex打开硬盘,没有哎,看你你还动了手脚,那我只能不让你删了。 祭出OD,运行这个程序,一切顺利,哇,你竟然不知道我会用OD~~O(∩_∩)O哈哈~接着对DeleteFileA下断点,继续运行。。。吧唧。。。停在断点上了,好吧,那我就正大光明的去拷OLECONL0.DLL咯,拷完记得重命名为.PPT,试着双击打开一下,能播放耶,你竟然对PPT都不做什么处理,这个破解简单得连我这个那么菜的鸟都有点不好意思了(⊙o⊙)… 总结一下,我写这篇文章就是想说破解有很多的方法,即使我们没有能力写出内存补丁写出keygen来造福全人类,其实也能利用手边的一些工具做点事让自己小开心一下的~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)