公司安装了防泄密软件，能否绕过？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 公司安装了防泄密软件，能否绕过？ 0.00雪花

发表于: 2012-7-27 11:14 57989

[旧帖] 公司安装了防泄密软件，能否绕过？ 0.00雪花

shiyinian

2012-7-27 11:14

57989

大家好，我们公司装了个防泄密软件，凡是公司电脑上的东西都无法拷贝出来，拷贝出来的都是加密之后的，打不开的。公司给客户发文件的时候，都是由专人发送的。
想看看大家有没有什么办法，可以解开这些文件或者绕过这个防泄密软件。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・13

免费・0

支持

最新回复 (52) 1 2 3 ▶
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 2 楼能绕过能绕过 2012-7-27 11:37 0
MagicFuzzX 雪币： 12 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 3 楼哪家的？内网安全软件基本漏洞一坨 2012-7-27 11:46 0
lookzo 雪币： 6 活跃值： (1141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 4 楼呵呵，高手是不会被这种东西难住的 2012-7-27 13:11 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 5 楼呼呼，此乃文件过滤驱动是也 2012-7-27 15:26 1
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 6 楼我们公司也有求绕过 2012-7-27 15:33 0
pandaforum 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	pandaforum 7 楼都是些什么公司装内网安全？设计公司么？ 2012-7-27 15:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 8 楼透明加密吧~~把那个加密的驱动power off~~ 2012-7-27 16:13 0
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 9 楼弱弱问下，弄个WINPE启动后不能COPY出来吗？ 2012-7-27 16:51 0
老伙计雪币： 807 活跃值： (2273) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 606 粉丝 11 关注私信	老伙计 10 楼这种系统的名堂应该是在操作系统层，操作系统接管了所有的磁盘I/O，所有写到磁盘上的数据都进行加密，而读出来的时候再解密。所以，用WINPE启动后拷出来的文件如果不是操作系统文件则很可能是加过密的。仔细想想，保密系统应该是在操作系统启动成功后才开始工作的，而保密系统启动前，操作系统的启动过程是没有加/解密系统介入的，据此推断，操作系统的所属文件应该没有加过密。我猜想，被加密过的文件应该附有额外的签名，一般用户感觉不到，操作系统扫描到签名便予以解密，否则，不予解密。这样，就可以做到加密、非加密的文件共存了。 2012-7-27 17:21 0
redwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	redwolf 11 楼最好提供详细点的信息，以便大家帮助你，就发个这样的帖子是很难有结果的。 2012-7-27 17:35 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 12 楼如果是文件过滤驱动的话，那么找到并卸载掉那个驱动就好了不过，LZ想要干坏事吗？ 2012-7-30 16:31 0
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 13 楼看了楼上的回贴,总结下 1> 如果文件在磁盘上就是加密过的,只是访问的时候解密,然后加载到内存,则没办法考出来用了,即使考出来也不能用,除非是有相同加密环境的电脑. 2> 如果文件在磁盘上是明文的,只是在拷贝到非硬盘设备上时,对文件加密,然后把加密文件拷贝到设备上, 则可以使用winpe等操作系统替代解决,或者双系统都是可以考出来的. 3> 如果文件才磁盘上是明文的,只要发生拷贝,就加密,然后把加密文件放到目的地,要绕过,方法和2一样个人感觉 1 杜绝了泄密比较靠谱，使用环境大大限制，不装这个防泄密软件，别想用，而且以后升级了，你不想用都没办法，除非开发商提供一个还原软件。不过破解方法也还是有的，那就是你用的时候，找解密过程，找到密钥，熟悉解密流程，然后到没这个系统的机器上去解密还原文件。或者写个虚拟内存，过滤io，将数据先发到虚拟内存里，然后在发到内存。而这个虚拟内存，对电脑来说就是个内存，不是文件，则系统就不会去加密这个文件了。不过，这个虚拟内存可以绕过加密系统的监视么，本人还真不清楚，还请朋友门指点 2012-7-31 12:30 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 14 楼回楼上的，按照LZ的描述，他们安装的肯定是文件透明加密驱动了工作原理如下： 1. 文件在打开时（或者修改时）就进行加密，也就是说安装过这个软件以后，只要打开过一次的文件，就可能变成加密后的文件了（就算卸掉驱动从硬盘Copy也是密文） 2. 在安装过该软件的电脑上，打开该文件，驱动会自动进行解密（这个时候在内存为明文，不过也别想能Copy出来，肯定做了限制）（更不用说不说双缓冲技术实现的了）破解方法： 1. 找到并卸载该软件，这样以后操作过的文件都不会再加密了，不过对于之前加密过的文件无效 2. 在其他电脑上安装防泄密软件，这样他会自动解密（不过这个好像不是破解了，呵呵） 3. 也就是LS你说的，破解软件中的加密算法，自己写一个解密算法， 4. 至于你说的虚拟内存，没研究过，没发言权了总结，如果仅仅想要无效化该软件，方法有很多，卸载掉可能是最简单的方法了但是如果要得到之前已经加密的文件，好像只能破解加密算法了，或者软件自己留了后门，被你发现了， 2012-7-31 15:46 0
wenqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	wenqi 15 楼建议给点详细的，嘎嘎，给兄弟们看看实例，也许可用解决，都在这空想是不行的 2012-7-31 16:08 0
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 16 楼啊帖子开头文字可能造成误解是看了楼上所有人的回贴, 不是楼上(guijc)一个人的帖子所发的感想哈哈哈哈哈 2012-7-31 18:32 0
rabsic 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rabsic 17 楼暴力破解呢？？？？楼主知道具体的加密方式吗？？？ 2012-7-31 19:09 0
pengmo 雪币： 247 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 371 粉丝 0 关注私信	pengmo 18 楼小心你的电脑有监视记录 2012-8-1 16:58 0
chow 雪币： 3741 活跃值： (1797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	chow 19 楼做过几年这样的程序：这类程序漏洞一大堆，加密分为这么几类， 1 HOOKAPI 根据进程名来实现指定进程打开保存时候实现加密。这个时候保存在硬盘的都是密文，复制没效果。 2.根据文件的扩展名来实现指定类型的文件透明加密，打开时候驱动把密文解密发给你，关闭保存时候加密成密文保存。 3.还有一类就是HOOK API（createfile）重新定向文件打开某些文件时候重新定向到解密的文件（如打开C:\1.txt,HOOK createfileA函数，把文件参数修改成d:\1.txt），这些解密的文件一般保存在某些TEMP文件夹如用户帐号目录下，还有windows下. 保存时候在先保存在加密再重新覆盖回去。利用方法：注入自己写的DLL，打开要读取的文件，把文件流复制到共享内存块，自己写的别的程序从那个内存块读取，如果有网络直接POST到服务器保存，如果没有网络直接保存为他不加密的文件扩展名。注意：有些加密保护系统禁止普通注入DLL，但是注入DLL方法N多。封杀不完的。 2012-8-2 14:43 0
ellee 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	ellee 20 楼明加密技术，不知道是基于用户层还是内核层的 2012-8-2 15:52 0
brillywu 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	brillywu 21 楼一般透明文件加解密都是文件系统的过滤器驱动，也就是只要是存储文件，就被驱动加密了。所以想个办法，不存文件就可以了。简单思路如下： 1. 挂接一个新磁盘。可以分好区，但是不格式化，也就是没有文件系统。 2. 写一个程序，读文件，然后写回到分区中。注意是直接操作分区进行写入。 3. 写完之后，磁盘分区中的数据就是明文。拿到别的环境，读分区数据，写成文件——破解了。 2012-8-2 16:37 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 22 楼内网安全,透明加密, 破解还得看看是哪家的产品!~ 2012-8-2 16:42 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 23 楼做个dll注进去不行么 2012-8-2 19:39 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 24 楼看了以上各位的想法，觉得注入可信进程的确是一个好方法用ReadFile获得文件内容，然后通过Socket发送到网络保存，（如果没禁止注入的话，的确是一个好方法）不过好像LZ发个帖子就消失了，然后大家在这里做各种假设，是不是没什么意义啊 2012-8-2 20:01 0
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 362 粉丝 1 关注私信	AsmDebuger 1 25 楼楼主被老板叫去谈话了。 2012-8-4 22:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shiyinian

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 2 楼能绕过能绕过 2012-7-27 11:37 0
MagicFuzzX 雪币： 12 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 3 楼哪家的？内网安全软件基本漏洞一坨 2012-7-27 11:46 0
lookzo 雪币： 6 活跃值： (1141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 4 楼呵呵，高手是不会被这种东西难住的 2012-7-27 13:11 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 5 楼呼呼，此乃文件过滤驱动是也 2012-7-27 15:26 1
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 6 楼我们公司也有求绕过 2012-7-27 15:33 0
pandaforum 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	pandaforum 7 楼都是些什么公司装内网安全？设计公司么？ 2012-7-27 15:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 8 楼透明加密吧~~把那个加密的驱动power off~~ 2012-7-27 16:13 0
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 9 楼弱弱问下，弄个WINPE启动后不能COPY出来吗？ 2012-7-27 16:51 0
老伙计雪币： 807 活跃值： (2273) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 606 粉丝 11 关注私信	老伙计 10 楼这种系统的名堂应该是在操作系统层，操作系统接管了所有的磁盘I/O，所有写到磁盘上的数据都进行加密，而读出来的时候再解密。所以，用WINPE启动后拷出来的文件如果不是操作系统文件则很可能是加过密的。仔细想想，保密系统应该是在操作系统启动成功后才开始工作的，而保密系统启动前，操作系统的启动过程是没有加/解密系统介入的，据此推断，操作系统的所属文件应该没有加过密。我猜想，被加密过的文件应该附有额外的签名，一般用户感觉不到，操作系统扫描到签名便予以解密，否则，不予解密。这样，就可以做到加密、非加密的文件共存了。 2012-7-27 17:21 0
redwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	redwolf 11 楼最好提供详细点的信息，以便大家帮助你，就发个这样的帖子是很难有结果的。 2012-7-27 17:35 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 12 楼如果是文件过滤驱动的话，那么找到并卸载掉那个驱动就好了不过，LZ想要干坏事吗？ 2012-7-30 16:31 0
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 13 楼看了楼上的回贴,总结下 1> 如果文件在磁盘上就是加密过的,只是访问的时候解密,然后加载到内存,则没办法考出来用了,即使考出来也不能用,除非是有相同加密环境的电脑. 2> 如果文件在磁盘上是明文的,只是在拷贝到非硬盘设备上时,对文件加密,然后把加密文件拷贝到设备上, 则可以使用winpe等操作系统替代解决,或者双系统都是可以考出来的. 3> 如果文件才磁盘上是明文的,只要发生拷贝,就加密,然后把加密文件放到目的地,要绕过,方法和2一样个人感觉 1 杜绝了泄密比较靠谱，使用环境大大限制，不装这个防泄密软件，别想用，而且以后升级了，你不想用都没办法，除非开发商提供一个还原软件。不过破解方法也还是有的，那就是你用的时候，找解密过程，找到密钥，熟悉解密流程，然后到没这个系统的机器上去解密还原文件。或者写个虚拟内存，过滤io，将数据先发到虚拟内存里，然后在发到内存。而这个虚拟内存，对电脑来说就是个内存，不是文件，则系统就不会去加密这个文件了。不过，这个虚拟内存可以绕过加密系统的监视么，本人还真不清楚，还请朋友门指点 2012-7-31 12:30 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 14 楼回楼上的，按照LZ的描述，他们安装的肯定是文件透明加密驱动了工作原理如下： 1. 文件在打开时（或者修改时）就进行加密，也就是说安装过这个软件以后，只要打开过一次的文件，就可能变成加密后的文件了（就算卸掉驱动从硬盘Copy也是密文） 2. 在安装过该软件的电脑上，打开该文件，驱动会自动进行解密（这个时候在内存为明文，不过也别想能Copy出来，肯定做了限制）（更不用说不说双缓冲技术实现的了）破解方法： 1. 找到并卸载该软件，这样以后操作过的文件都不会再加密了，不过对于之前加密过的文件无效 2. 在其他电脑上安装防泄密软件，这样他会自动解密（不过这个好像不是破解了，呵呵） 3. 也就是LS你说的，破解软件中的加密算法，自己写一个解密算法， 4. 至于你说的虚拟内存，没研究过，没发言权了总结，如果仅仅想要无效化该软件，方法有很多，卸载掉可能是最简单的方法了但是如果要得到之前已经加密的文件，好像只能破解加密算法了，或者软件自己留了后门，被你发现了， 2012-7-31 15:46 0
wenqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	wenqi 15 楼建议给点详细的，嘎嘎，给兄弟们看看实例，也许可用解决，都在这空想是不行的 2012-7-31 16:08 0
ifreeuser 雪币： 120 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	ifreeuser 16 楼啊帖子开头文字可能造成误解是看了楼上所有人的回贴, 不是楼上(guijc)一个人的帖子所发的感想哈哈哈哈哈 2012-7-31 18:32 0
rabsic 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rabsic 17 楼暴力破解呢？？？？楼主知道具体的加密方式吗？？？ 2012-7-31 19:09 0
pengmo 雪币： 247 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 371 粉丝 0 关注私信	pengmo 18 楼小心你的电脑有监视记录 2012-8-1 16:58 0
chow 雪币： 3741 活跃值： (1797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	chow 19 楼做过几年这样的程序：这类程序漏洞一大堆，加密分为这么几类， 1 HOOKAPI 根据进程名来实现指定进程打开保存时候实现加密。这个时候保存在硬盘的都是密文，复制没效果。 2.根据文件的扩展名来实现指定类型的文件透明加密，打开时候驱动把密文解密发给你，关闭保存时候加密成密文保存。 3.还有一类就是HOOK API（createfile）重新定向文件打开某些文件时候重新定向到解密的文件（如打开C:\1.txt,HOOK createfileA函数，把文件参数修改成d:\1.txt），这些解密的文件一般保存在某些TEMP文件夹如用户帐号目录下，还有windows下. 保存时候在先保存在加密再重新覆盖回去。利用方法：注入自己写的DLL，打开要读取的文件，把文件流复制到共享内存块，自己写的别的程序从那个内存块读取，如果有网络直接POST到服务器保存，如果没有网络直接保存为他不加密的文件扩展名。注意：有些加密保护系统禁止普通注入DLL，但是注入DLL方法N多。封杀不完的。 2012-8-2 14:43 0
ellee 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	ellee 20 楼明加密技术，不知道是基于用户层还是内核层的 2012-8-2 15:52 0
brillywu 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	brillywu 21 楼一般透明文件加解密都是文件系统的过滤器驱动，也就是只要是存储文件，就被驱动加密了。所以想个办法，不存文件就可以了。简单思路如下： 1. 挂接一个新磁盘。可以分好区，但是不格式化，也就是没有文件系统。 2. 写一个程序，读文件，然后写回到分区中。注意是直接操作分区进行写入。 3. 写完之后，磁盘分区中的数据就是明文。拿到别的环境，读分区数据，写成文件——破解了。 2012-8-2 16:37 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 22 楼内网安全,透明加密, 破解还得看看是哪家的产品!~ 2012-8-2 16:42 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 23 楼做个dll注进去不行么 2012-8-2 19:39 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 24 楼看了以上各位的想法，觉得注入可信进程的确是一个好方法用ReadFile获得文件内容，然后通过Socket发送到网络保存，（如果没禁止注入的话，的确是一个好方法）不过好像LZ发个帖子就消失了，然后大家在这里做各种假设，是不是没什么意义啊 2012-8-2 20:01 0
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 362 粉丝 1 关注私信	AsmDebuger 1 25 楼楼主被老板叫去谈话了。 2012-8-4 22:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复