公司安装了防泄密软件，能否绕过？-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 公司安装了防泄密软件，能否绕过？ 0.00雪花

2012-7-27 11:14 56367

[旧帖] 公司安装了防泄密软件，能否绕过？ 0.00雪花

shiyinian

2012-7-27 11:14

56367

大家好，我们公司装了个防泄密软件，凡是公司电脑上的东西都无法拷贝出来，拷贝出来的都是加密之后的，打不开的。公司给客户发文件的时候，都是由专人发送的。
想看看大家有没有什么办法，可以解开这些文件或者绕过这个防泄密软件。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

收藏・13

点赞・0

打赏

最新回复 (52) 1 2 3 ▶
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 2012-7-27 11:37 2 楼 0 能绕过能绕过
MagicFuzzX 雪币： 12 活跃值： (706) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 399 粉丝 1 关注私信	MagicFuzzX 2012-7-27 11:46 3 楼 0 哪家的？内网安全软件基本漏洞一坨
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2012-7-27 13:11 4 楼 0 呵呵，高手是不会被这种东西难住的
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2012-7-27 15:26 5 楼 1 呼呼，此乃文件过滤驱动是也
yuansunxue 雪币： 1023 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 2012-7-27 15:33 6 楼 0 我们公司也有求绕过
pandaforum 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	pandaforum 2012-7-27 15:43 7 楼 0 都是些什么公司装内网安全？设计公司么？
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2012-7-27 16:13 8 楼 0 透明加密吧~~把那个加密的驱动power off~~
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 2012-7-27 16:51 9 楼 0 弱弱问下，弄个WINPE启动后不能COPY出来吗？
老伙计雪币： 807 活跃值： (1798) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 612 粉丝 9 关注私信	老伙计 2012-7-27 17:21 10 楼 0 这种系统的名堂应该是在操作系统层，操作系统接管了所有的磁盘I/O，所有写到磁盘上的数据都进行加密，而读出来的时候再解密。所以，用WINPE启动后拷出来的文件如果不是操作系统文件则很可能是加过密的。仔细想想，保密系统应该是在操作系统启动成功后才开始工作的，而保密系统启动前，操作系统的启动过程是没有加/解密系统介入的，据此推断，操作系统的所属文件应该没有加过密。我猜想，被加密过的文件应该附有额外的签名，一般用户感觉不到，操作系统扫描到签名便予以解密，否则，不予解密。这样，就可以做到加密、非加密的文件共存了。
redwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	redwolf 2012-7-27 17:35 11 楼 0 最好提供详细点的信息，以便大家帮助你，就发个这样的帖子是很难有结果的。
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-7-30 16:31 12 楼 0 如果是文件过滤驱动的话，那么找到并卸载掉那个驱动就好了不过，LZ想要干坏事吗？
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 2012-7-31 12:30 13 楼 0 看了楼上的回贴,总结下 1> 如果文件在磁盘上就是加密过的,只是访问的时候解密,然后加载到内存,则没办法考出来用了,即使考出来也不能用,除非是有相同加密环境的电脑. 2> 如果文件在磁盘上是明文的,只是在拷贝到非硬盘设备上时,对文件加密,然后把加密文件拷贝到设备上, 则可以使用winpe等操作系统替代解决,或者双系统都是可以考出来的. 3> 如果文件才磁盘上是明文的,只要发生拷贝,就加密,然后把加密文件放到目的地,要绕过,方法和2一样个人感觉 1 杜绝了泄密比较靠谱，使用环境大大限制，不装这个防泄密软件，别想用，而且以后升级了，你不想用都没办法，除非开发商提供一个还原软件。不过破解方法也还是有的，那就是你用的时候，找解密过程，找到密钥，熟悉解密流程，然后到没这个系统的机器上去解密还原文件。或者写个虚拟内存，过滤io，将数据先发到虚拟内存里，然后在发到内存。而这个虚拟内存，对电脑来说就是个内存，不是文件，则系统就不会去加密这个文件了。不过，这个虚拟内存可以绕过加密系统的监视么，本人还真不清楚，还请朋友门指点
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-7-31 15:46 14 楼 0 回楼上的，按照LZ的描述，他们安装的肯定是文件透明加密驱动了工作原理如下： 1. 文件在打开时（或者修改时）就进行加密，也就是说安装过这个软件以后，只要打开过一次的文件，就可能变成加密后的文件了（就算卸掉驱动从硬盘Copy也是密文） 2. 在安装过该软件的电脑上，打开该文件，驱动会自动进行解密（这个时候在内存为明文，不过也别想能Copy出来，肯定做了限制）（更不用说不说双缓冲技术实现的了）破解方法： 1. 找到并卸载该软件，这样以后操作过的文件都不会再加密了，不过对于之前加密过的文件无效 2. 在其他电脑上安装防泄密软件，这样他会自动解密（不过这个好像不是破解了，呵呵） 3. 也就是LS你说的，破解软件中的加密算法，自己写一个解密算法， 4. 至于你说的虚拟内存，没研究过，没发言权了总结，如果仅仅想要无效化该软件，方法有很多，卸载掉可能是最简单的方法了但是如果要得到之前已经加密的文件，好像只能破解加密算法了，或者软件自己留了后门，被你发现了，
wenqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	wenqi 2012-7-31 16:08 15 楼 0 建议给点详细的，嘎嘎，给兄弟们看看实例，也许可用解决，都在这空想是不行的
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 2012-7-31 18:32 16 楼 0 啊帖子开头文字可能造成误解是看了楼上所有人的回贴, 不是楼上(guijc)一个人的帖子所发的感想哈哈哈哈哈
rabsic 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rabsic 2012-7-31 19:09 17 楼 0 暴力破解呢？？？？楼主知道具体的加密方式吗？？？
pengmo 雪币： 247 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 367 粉丝 0 关注私信	pengmo 2012-8-1 16:58 18 楼 0 小心你的电脑有监视记录
chow 雪币： 3457 活跃值： (1468) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	chow 2012-8-2 14:43 19 楼 0 做过几年这样的程序：这类程序漏洞一大堆，加密分为这么几类， 1 HOOKAPI 根据进程名来实现指定进程打开保存时候实现加密。这个时候保存在硬盘的都是密文，复制没效果。 2.根据文件的扩展名来实现指定类型的文件透明加密，打开时候驱动把密文解密发给你，关闭保存时候加密成密文保存。 3.还有一类就是HOOK API（createfile）重新定向文件打开某些文件时候重新定向到解密的文件（如打开C:\1.txt,HOOK createfileA函数，把文件参数修改成d:\1.txt），这些解密的文件一般保存在某些TEMP文件夹如用户帐号目录下，还有windows下. 保存时候在先保存在加密再重新覆盖回去。利用方法：注入自己写的DLL，打开要读取的文件，把文件流复制到共享内存块，自己写的别的程序从那个内存块读取，如果有网络直接POST到服务器保存，如果没有网络直接保存为他不加密的文件扩展名。注意：有些加密保护系统禁止普通注入DLL，但是注入DLL方法N多。封杀不完的。
ellee 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	ellee 2012-8-2 15:52 20 楼 0 明加密技术，不知道是基于用户层还是内核层的
brillywu 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	brillywu 2012-8-2 16:37 21 楼 0 一般透明文件加解密都是文件系统的过滤器驱动，也就是只要是存储文件，就被驱动加密了。所以想个办法，不存文件就可以了。简单思路如下： 1. 挂接一个新磁盘。可以分好区，但是不格式化，也就是没有文件系统。 2. 写一个程序，读文件，然后写回到分区中。注意是直接操作分区进行写入。 3. 写完之后，磁盘分区中的数据就是明文。拿到别的环境，读分区数据，写成文件——破解了。
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 37 回帖 437 粉丝 2 关注私信	liuqiangni 2 2012-8-2 16:42 22 楼 0 内网安全,透明加密, 破解还得看看是哪家的产品!~
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2012-8-2 19:39 23 楼 0 做个dll注进去不行么
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-8-2 20:01 24 楼 0 看了以上各位的想法，觉得注入可信进程的确是一个好方法用ReadFile获得文件内容，然后通过Socket发送到网络保存，（如果没禁止注入的话，的确是一个好方法）不过好像LZ发个帖子就消失了，然后大家在这里做各种假设，是不是没什么意义啊
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 359 粉丝 1 关注私信	AsmDebuger 1 2012-8-4 22:10 25 楼 0 楼主被老板叫去谈话了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

shiyinian

发帖

回帖

RANK

关注

私信

他的文章

公司安装了防泄密软件，能否绕过？

[原创]考研结束了，哈哈

[求助]请问如何给od2.0版本加插件啊

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 2012-7-27 11:37 2 楼 0 能绕过能绕过
MagicFuzzX 雪币： 12 活跃值： (706) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 399 粉丝 1 关注私信	MagicFuzzX 2012-7-27 11:46 3 楼 0 哪家的？内网安全软件基本漏洞一坨
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2012-7-27 13:11 4 楼 0 呵呵，高手是不会被这种东西难住的
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2012-7-27 15:26 5 楼 1 呼呼，此乃文件过滤驱动是也
yuansunxue 雪币： 1023 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 2012-7-27 15:33 6 楼 0 我们公司也有求绕过
pandaforum 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	pandaforum 2012-7-27 15:43 7 楼 0 都是些什么公司装内网安全？设计公司么？
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2012-7-27 16:13 8 楼 0 透明加密吧~~把那个加密的驱动power off~~
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 2012-7-27 16:51 9 楼 0 弱弱问下，弄个WINPE启动后不能COPY出来吗？
老伙计雪币： 807 活跃值： (1798) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 612 粉丝 9 关注私信	老伙计 2012-7-27 17:21 10 楼 0 这种系统的名堂应该是在操作系统层，操作系统接管了所有的磁盘I/O，所有写到磁盘上的数据都进行加密，而读出来的时候再解密。所以，用WINPE启动后拷出来的文件如果不是操作系统文件则很可能是加过密的。仔细想想，保密系统应该是在操作系统启动成功后才开始工作的，而保密系统启动前，操作系统的启动过程是没有加/解密系统介入的，据此推断，操作系统的所属文件应该没有加过密。我猜想，被加密过的文件应该附有额外的签名，一般用户感觉不到，操作系统扫描到签名便予以解密，否则，不予解密。这样，就可以做到加密、非加密的文件共存了。
redwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	redwolf 2012-7-27 17:35 11 楼 0 最好提供详细点的信息，以便大家帮助你，就发个这样的帖子是很难有结果的。
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-7-30 16:31 12 楼 0 如果是文件过滤驱动的话，那么找到并卸载掉那个驱动就好了不过，LZ想要干坏事吗？
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 2012-7-31 12:30 13 楼 0 看了楼上的回贴,总结下 1> 如果文件在磁盘上就是加密过的,只是访问的时候解密,然后加载到内存,则没办法考出来用了,即使考出来也不能用,除非是有相同加密环境的电脑. 2> 如果文件在磁盘上是明文的,只是在拷贝到非硬盘设备上时,对文件加密,然后把加密文件拷贝到设备上, 则可以使用winpe等操作系统替代解决,或者双系统都是可以考出来的. 3> 如果文件才磁盘上是明文的,只要发生拷贝,就加密,然后把加密文件放到目的地,要绕过,方法和2一样个人感觉 1 杜绝了泄密比较靠谱，使用环境大大限制，不装这个防泄密软件，别想用，而且以后升级了，你不想用都没办法，除非开发商提供一个还原软件。不过破解方法也还是有的，那就是你用的时候，找解密过程，找到密钥，熟悉解密流程，然后到没这个系统的机器上去解密还原文件。或者写个虚拟内存，过滤io，将数据先发到虚拟内存里，然后在发到内存。而这个虚拟内存，对电脑来说就是个内存，不是文件，则系统就不会去加密这个文件了。不过，这个虚拟内存可以绕过加密系统的监视么，本人还真不清楚，还请朋友门指点
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-7-31 15:46 14 楼 0 回楼上的，按照LZ的描述，他们安装的肯定是文件透明加密驱动了工作原理如下： 1. 文件在打开时（或者修改时）就进行加密，也就是说安装过这个软件以后，只要打开过一次的文件，就可能变成加密后的文件了（就算卸掉驱动从硬盘Copy也是密文） 2. 在安装过该软件的电脑上，打开该文件，驱动会自动进行解密（这个时候在内存为明文，不过也别想能Copy出来，肯定做了限制）（更不用说不说双缓冲技术实现的了）破解方法： 1. 找到并卸载该软件，这样以后操作过的文件都不会再加密了，不过对于之前加密过的文件无效 2. 在其他电脑上安装防泄密软件，这样他会自动解密（不过这个好像不是破解了，呵呵） 3. 也就是LS你说的，破解软件中的加密算法，自己写一个解密算法， 4. 至于你说的虚拟内存，没研究过，没发言权了总结，如果仅仅想要无效化该软件，方法有很多，卸载掉可能是最简单的方法了但是如果要得到之前已经加密的文件，好像只能破解加密算法了，或者软件自己留了后门，被你发现了，
wenqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	wenqi 2012-7-31 16:08 15 楼 0 建议给点详细的，嘎嘎，给兄弟们看看实例，也许可用解决，都在这空想是不行的
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 2012-7-31 18:32 16 楼 0 啊帖子开头文字可能造成误解是看了楼上所有人的回贴, 不是楼上(guijc)一个人的帖子所发的感想哈哈哈哈哈
rabsic 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rabsic 2012-7-31 19:09 17 楼 0 暴力破解呢？？？？楼主知道具体的加密方式吗？？？
pengmo 雪币： 247 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 367 粉丝 0 关注私信	pengmo 2012-8-1 16:58 18 楼 0 小心你的电脑有监视记录
chow 雪币： 3457 活跃值： (1468) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	chow 2012-8-2 14:43 19 楼 0 做过几年这样的程序：这类程序漏洞一大堆，加密分为这么几类， 1 HOOKAPI 根据进程名来实现指定进程打开保存时候实现加密。这个时候保存在硬盘的都是密文，复制没效果。 2.根据文件的扩展名来实现指定类型的文件透明加密，打开时候驱动把密文解密发给你，关闭保存时候加密成密文保存。 3.还有一类就是HOOK API（createfile）重新定向文件打开某些文件时候重新定向到解密的文件（如打开C:\1.txt,HOOK createfileA函数，把文件参数修改成d:\1.txt），这些解密的文件一般保存在某些TEMP文件夹如用户帐号目录下，还有windows下. 保存时候在先保存在加密再重新覆盖回去。利用方法：注入自己写的DLL，打开要读取的文件，把文件流复制到共享内存块，自己写的别的程序从那个内存块读取，如果有网络直接POST到服务器保存，如果没有网络直接保存为他不加密的文件扩展名。注意：有些加密保护系统禁止普通注入DLL，但是注入DLL方法N多。封杀不完的。
ellee 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	ellee 2012-8-2 15:52 20 楼 0 明加密技术，不知道是基于用户层还是内核层的
brillywu 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	brillywu 2012-8-2 16:37 21 楼 0 一般透明文件加解密都是文件系统的过滤器驱动，也就是只要是存储文件，就被驱动加密了。所以想个办法，不存文件就可以了。简单思路如下： 1. 挂接一个新磁盘。可以分好区，但是不格式化，也就是没有文件系统。 2. 写一个程序，读文件，然后写回到分区中。注意是直接操作分区进行写入。 3. 写完之后，磁盘分区中的数据就是明文。拿到别的环境，读分区数据，写成文件——破解了。
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 37 回帖 437 粉丝 2 关注私信	liuqiangni 2 2012-8-2 16:42 22 楼 0 内网安全,透明加密, 破解还得看看是哪家的产品!~
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2012-8-2 19:39 23 楼 0 做个dll注进去不行么
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 107 粉丝 0 关注私信	guijc 2012-8-2 20:01 24 楼 0 看了以上各位的想法，觉得注入可信进程的确是一个好方法用ReadFile获得文件内容，然后通过Socket发送到网络保存，（如果没禁止注入的话，的确是一个好方法）不过好像LZ发个帖子就消失了，然后大家在这里做各种假设，是不是没什么意义啊
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 359 粉丝 1 关注私信	AsmDebuger 1 2012-8-4 22:10 25 楼 0 楼主被老板叫去谈话了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复