目标：Security Folder 1.42

工具：OD，PEID， IMPREC， LORDPE， DEPENDENCE

任务：1，解决软件使用口令。  2，戳破谎言，侦察其保护文件方法。

行动：
1，大概了解。
  引用下该文件说明 “Security Folder采用了与此不同的全新的方法，我认为该方法比上面两种方法显然效果更好。如果没有登陆软件，即使对电脑硬盘进行全面搜索，也无法搜索到所创建的文件夹及其内容。一般的人是根本无法破解的。”  当然了，最后我们会看到它的真面目。使用方法略，看帮助。

2，脱壳。
首先，用peid侦察下，发现是aspack212的壳（用peid查只是做的到心里有数）
OD载入，顺利得到oep为14c4（简单壳，代码略）。

用IMPREC对import进行修复，得到1.15m大小的脱壳后程序x.exe（起名是个人爱好）

运行x，出错了，弹出“无法定位程序输入点 RtlRestroreLastWin32Error 于动态连接库 kernel32.dll 上。”，这句话可能大家经常遇到，下面我们来进行手工修复。在x上单击右键选择 View Dependenice（当然假定你装了vc）就是用DEPENDECNCE打开x，这里可以看到引入的dll，发现有2个dll变红，kernel32和oleaut32，这说明，import里对这两个dll的函数可能有错，点击发红的dll，在右上栏中寻找RtlRestoreLastWin32Error，果然，前边的i字母变红，表示有错误，当然有错误了，因为该函数根本就不在kernel32中嘛，他在ntdll里，当然了我们在oleaut32里也找到2个出错函数分别是hint为0x00b的VariantC和hint为0x000的一个未知函数，注意hint值是关键分别在2个dll的导出表（右下）查出错函数的hint，结果RtlRestoreLastWin32Error对应的是SetFileAttributesW，VariantC对应的是VariantCopyInd，至于那个未知，先不用管，因为lordpe查出它根本不占位置，估计imprec的错吧，接着，就打开lordpe对其进行修复，替换为正确的函数，有个小插曲就是VariantCopyInd比VariantC长，改变不了函数，我们索性把它和hint为0的那个函数一起删掉，希望不影响什么功能！运行，ok。

脱壳总结：壳到容易脱，修复到是费了我点时间，至于为什么会出错，对于RtlRestoreLastWin32Error来说，我猜想是kernel32的版本问题，98或me下的朋友可以查一下hint0x306是什么，对于VariantC我认为是import表太小的原因，有可能是imprec修复的时候出的错，因为根本就没有VariantC这个函数。

3，破解口令。
我们先运行软件，随便输入密码，哈哈，太好了，有出错提示，这样就 有突破口了，用w32dasm载入，我们主要用它的字符串查找，因为OD对中文支持不太好。“密码错误！你没有登陆本软件的权限！”就是它，双击
:0040A095 BA02000000              mov edx, 00000002
:0040A09A E8710F0B00              call 004BB010
:0040A09F 59                      pop ecx
:0040A0A0 84C9                    test cl, cl          //关键比较
:0040A0A2 7425                    je 0040A0C9          //关键跳
:0040A0A4 6A40                    push 00000040

* Possible StringData Ref from Data Obj ->"登录"
                                  |
:0040A0A6 B90D194C00              mov ecx, 004C190D

* Possible StringData Ref from Data Obj ->"密码错误!
你没有登录本软件的权限!"
                                  |
:0040A0AB BAEB184C00              mov edx, 004C18EB     //来到这
呵呵，理论上把je改成jne就爆破了，但是我们不知足，需要找出密码，进而写出看密码器。但是我们今天主要任务是搞清它是怎样隐藏文件的，看清他的嘴脸，所以，这步我们推后！

4，窥视其保护方法。
根据其帮助，大概意思就是可以“创建一个使别人发现不了的安全文件夹”，注意引号，提取下就是创建文件夹！CreateDirectoryA！就是它，下断！跑起软件，随便创建一个安全文件夹，yeah！感谢上帝，感谢od，看下他的参数，一目了然，所谓的安全文件夹居然是……
0012FC28   00E338FC  |Path = "C:\recycled\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ALL"
由于软件的无耻，使的这重要的一环到此结束！真相大白了！

总结：没什么好说的了！

5，解决3的残留问题，写看密码器。
在其所谓安全文件夹里发现一个ps.ini的文件，大家可以自己看，其中ps的值不知道什么意思，尝试改变密码后发现有变，相信它就是加密过的密码！
对于ini文件，GetPrivateProfileStringA是个不错的断点，果然，断下来了，
后边就是密码的还原，简单算法，不说了，给出看密码的东东
#include <iostream.h>
#include <windows.h>

void main()
{
        char        s[10];
        GetPrivateProfileString("SFolder", "PS", "0", s, 10, "C:\\recycled\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ps\\ps.ini");
       
        for(int i=0; i<10, s[i]!=0x00; i++)
        {
                s[i]+=(i+1);
        }
        cout<<s<<endl;
}

总结：我是大菜鸟，有错的地方再所难免，希望各位老大不吝赐教！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课