能力值:
( LV2,RANK:10 )
|
-
-
2 楼
应该是可行的。文件透明加密是基于可信进程的,即只对特定进程产生的文件加密。所以只要你把自己的代码搞到目标进程去跑,看到的就是明文。至于方法,内核的或者应用层注入都行。
剩下的是如何把明文数据传输给另一个非可信进程(产生的文件不被加密)。比如共享内存,驱动分配一段内存同时映射到可信/非可信进程。或者在非可信进程起个ftp服务,从可信进程吧数据发过去,反正总有办法
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我曾试着用pchunter把那个hook进行去掉,但保存还是加密文件。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
usb接口被封死了么?
网络呢?
电脑还可以安装软件么?呵呵
是不是在驱动层做到加密呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
如何找到那个hook的?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
usb接口封死,网络只能上内网。具体什么层面加密,搞不懂。。。请问怎么测试在什么层面加密?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
如果有软件解决方法,你如何把软件安装上去呢?
|
能力值:
( LV13,RANK:920 )
|
-
-
8 楼
最有效的方式:
1、检查授权自动解密的进程名字,找出哪些进程名可以获得解密数据。
2、检查哪些后缀名是不被加密的,找出哪些后缀名可以脱离加密范围。
3、更改程序名字、特征为自动解密的进程名(伪造),打开被加密文件,另存为不加密的格式。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
第一步我找出了进程名字,就是绿建那4个进程,我直接卸载模块,导致原有打开的文件直接退出,等不到保存。您说的更改程序名字、特征这个怎么弄?俺的基础知识实在太差。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
写文件的api是不是被hook了?
|
能力值:
( LV13,RANK:920 )
|
-
-
11 楼
没有关系,另存为白名单后缀名。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
请问这方面的知识,去看哪些资料可以补充点能量,实在搞不定了,先从基础知识去看看。
|
能力值:
( LV13,RANK:920 )
|
-
-
13 楼
去查查透明加密白名单这回事就懂了,举个最简单的例子(有些复杂的道理相同,但是要费劲一些)
某文件被加密,直接查看文件头乱码如下:
1、假设 acad.exe 进程可以访问到解密后的数据
2、你就自己编写个 acad.exe(特征模仿,总之有办法让透明加密系统认为其合法)
测试你也可以使用 winhex,拷贝两个副本,第一个副本中的主程序改名为 acad.exe
第二个副本中的主程序不用改名字
3、用第一个伪造的 acad.exe 打开被加密的文件,可以看到文件头已经被解密还原
4、打开第二个副本 WinHex.exe,拷贝第一个副本中已经被解密的数据,粘贴到第二个副本
WinHex中,然后另存为 cad.test 文件(不出意外的话,这个文件已经解密了)
5、拷贝转存后的 cad.test 文件,在一台没有加密系统的电脑上修改后缀名为.dwg,可以正常打开。
6、编写脚本,批量解密。或者你动下脑筋,在某些可以批量处理文件的程序基础上按上述方法试试
这样子,应该明白了吧,对于加密防护更加变态的系统,道理相同,但是你得更加有想象力
就提醒到这里,不方便说多了。你要是测试成功,记得给我点赞,并且跟大家分享下成功的喜悦。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
这个方法大赞。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
透明加密是驱动级的,钩子没用。
参考13楼的方法吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
打开其他编辑器,里面没有绿建这个渣渣模块么?
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
没有,他这个是挂在cad上的,只对cad进行加密。
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
我用winhex,一个改为acad.exe,一个原版,打开文件,感觉文件头一样,是怎么回事?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
非常感谢大师的指点,编写acad程序,请问怎么弄?
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
打开文件后,内存中是未加密内容,这个过程要经过驱动,
把未加密内容写到硬盘,要屏蔽驱动,怎么搞呢?
|
能力值:
( LV13,RANK:920 )
|
-
-
21 楼
切记,伪造的winhex--"acad.exe"打开DWG文件后,就如同你截图的,看到的是解密数据。
然后,在另外一个winhex--"WinHex.exe"窗口粘贴数据,并另存为cad.test,该文件就是你要的解密文档。拷贝到另外一台干净的电脑上,将后缀名改回dwg,即可浏览。
话说,你该回复解决结果,是否实现了一个DWG加密文件的解密?然后结贴。
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
请问这个伪造的WinHex.exe,是把它直接改名位acad.exe,还需要其它的改动吗?去打开dwg文件?
|
能力值:
( LV13,RANK:920 )
|
-
-
23 楼
看实际加密系统是如何识别白名单进程的,有些简单判断镜像名称,大部分都是这种,你就可以直接改进程名获得解密后的数据。有些还对内存操作进行了禁止,得区分对待。总之,能看到明文就应该能得到解密数据,只不过手段受限制而已,应该发挥想象力去突破。
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
请问这个该进程名怎么修改,我把winhex直接改名位acad.exe,但进程中看到的还是winhex。
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
直接另存为啊,如果软件被注入了,另存为任何文件可能还是被驱动加密,那就卸掉软件中被注入的dll。
|
|
|