请问透明加密内存提取文件-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请问透明加密内存提取文件 0.00雪花

发表于: 2016-12-30 16:09 5575

[旧帖] 请问透明加密内存提取文件 0.00雪花

雪中夕阳

2016-12-30 16:09

5575

我们有个cad文件，是通过透明加密，在安装有解密环境的情况下，cad正常打开。但没有安装的环境看不到，我想到一个思路，这个文件在读取到内存中是明文，有没有办法把内存中的文件读出来另存，绕过保存时对文件的加密。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (26) 1 2 ▶
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 2 楼应该是可行的。文件透明加密是基于可信进程的，即只对特定进程产生的文件加密。所以只要你把自己的代码搞到目标进程去跑，看到的就是明文。至于方法，内核的或者应用层注入都行。剩下的是如何把明文数据传输给另一个非可信进程（产生的文件不被加密）。比如共享内存，驱动分配一段内存同时映射到可信/非可信进程。或者在非可信进程起个ftp服务，从可信进程吧数据发过去，反正总有办法 2017-1-5 18:43 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 3 楼我曾试着用pchunter把那个hook进行去掉，但保存还是加密文件。。。。。 2017-1-9 10:17 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 4 楼 usb接口被封死了么？网络呢？电脑还可以安装软件么？呵呵是不是在驱动层做到加密呢？ 2017-1-9 20:29 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 5 楼如何找到那个hook的？ 2017-1-9 20:30 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 6 楼 usb接口封死，网络只能上内网。具体什么层面加密，搞不懂。。。请问怎么测试在什么层面加密？ 2017-1-9 21:15 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 7 楼如果有软件解决方法，你如何把软件安装上去呢？ 2017-1-10 04:03 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 8 楼最有效的方式： 1、检查授权自动解密的进程名字，找出哪些进程名可以获得解密数据。 2、检查哪些后缀名是不被加密的，找出哪些后缀名可以脱离加密范围。 3、更改程序名字、特征为自动解密的进程名（伪造），打开被加密文件，另存为不加密的格式。 2017-1-10 08:05 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 9 楼第一步我找出了进程名字，就是绿建那4个进程，我直接卸载模块，导致原有打开的文件直接退出，等不到保存。您说的更改程序名字、特征这个怎么弄？俺的基础知识实在太差。。。。上传的附件： QQ截图20170110094831.jpg （96.53kb，2次下载） 2017-1-10 09:50 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 10 楼写文件的api是不是被hook了？ 2017-1-11 07:13 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 11 楼没有关系，另存为白名单后缀名。 2017-1-11 08:20 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 12 楼请问这方面的知识，去看哪些资料可以补充点能量，实在搞不定了，先从基础知识去看看。 2017-1-11 08:50 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 13 楼去查查透明加密白名单这回事就懂了，举个最简单的例子（有些复杂的道理相同，但是要费劲一些）某文件被加密，直接查看文件头乱码如下： 1、假设 acad.exe 进程可以访问到解密后的数据 2、你就自己编写个 acad.exe（特征模仿，总之有办法让透明加密系统认为其合法）测试你也可以使用 winhex，拷贝两个副本，第一个副本中的主程序改名为 acad.exe 第二个副本中的主程序不用改名字 3、用第一个伪造的 acad.exe 打开被加密的文件，可以看到文件头已经被解密还原 4、打开第二个副本 WinHex.exe，拷贝第一个副本中已经被解密的数据，粘贴到第二个副本 WinHex中，然后另存为 cad.test 文件（不出意外的话，这个文件已经解密了） 5、拷贝转存后的 cad.test 文件，在一台没有加密系统的电脑上修改后缀名为.dwg，可以正常打开。 6、编写脚本，批量解密。或者你动下脑筋，在某些可以批量处理文件的程序基础上按上述方法试试这样子，应该明白了吧，对于加密防护更加变态的系统，道理相同，但是你得更加有想象力就提醒到这里，不方便说多了。你要是测试成功，记得给我点赞，并且跟大家分享下成功的喜悦。上传的附件： 1.png （26.90kb，6次下载） 2.png （19.24kb，4次下载） 2017-1-11 14:11 0
牧风雪币： 785 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 142 粉丝 0 关注私信	牧风 14 楼这个方法大赞。 2017-1-11 15:14 0
牧风雪币： 785 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 142 粉丝 0 关注私信	牧风 15 楼透明加密是驱动级的，钩子没用。参考13楼的方法吧。 2017-1-11 15:16 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 16 楼打开其他编辑器，里面没有绿建这个渣渣模块么？ 2017-1-12 09:17 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 17 楼没有，他这个是挂在cad上的，只对cad进行加密。 2017-1-12 10:36 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 18 楼我用winhex，一个改为acad.exe，一个原版，打开文件，感觉文件头一样，是怎么回事？上传的附件： acad.jpg （148.78kb，5次下载） yb.jpg （142.16kb，3次下载） 2017-1-12 10:54 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 19 楼非常感谢大师的指点，编写acad程序，请问怎么弄？ 2017-1-12 10:56 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 20 楼打开文件后，内存中是未加密内容，这个过程要经过驱动，把未加密内容写到硬盘，要屏蔽驱动，怎么搞呢？ 2017-1-12 11:56 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 21 楼切记，伪造的winhex--"acad.exe"打开DWG文件后，就如同你截图的，看到的是解密数据。然后，在另外一个winhex--"WinHex.exe"窗口粘贴数据，并另存为cad.test，该文件就是你要的解密文档。拷贝到另外一台干净的电脑上，将后缀名改回dwg，即可浏览。话说，你该回复解决结果，是否实现了一个DWG加密文件的解密？然后结贴。上传的附件： 1.png （39.44kb，2次下载） 2.png （40.01kb，2次下载） 3.png （35.15kb，1次下载） 2017-1-12 13:36 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 22 楼请问这个伪造的WinHex.exe，是把它直接改名位acad.exe，还需要其它的改动吗？去打开dwg文件？ 2017-1-12 13:44 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 23 楼看实际加密系统是如何识别白名单进程的，有些简单判断镜像名称，大部分都是这种，你就可以直接改进程名获得解密后的数据。有些还对内存操作进行了禁止，得区分对待。总之，能看到明文就应该能得到解密数据，只不过手段受限制而已，应该发挥想象力去突破。 2017-1-12 13:49 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 24 楼请问这个该进程名怎么修改，我把winhex直接改名位acad.exe，但进程中看到的还是winhex。 2017-1-12 14:11 0
uniking 雪币： 931 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 55 粉丝 0 关注私信	uniking 25 楼直接另存为啊，如果软件被注入了，另存为任何文件可能还是被驱动加密，那就卸掉软件中被注入的dll。 2017-1-12 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

雪中夕阳

发帖

170

回帖

RANK

关注

私信

他的文章

[悬赏]请教一段CR代码 2490

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 2 楼应该是可行的。文件透明加密是基于可信进程的，即只对特定进程产生的文件加密。所以只要你把自己的代码搞到目标进程去跑，看到的就是明文。至于方法，内核的或者应用层注入都行。剩下的是如何把明文数据传输给另一个非可信进程（产生的文件不被加密）。比如共享内存，驱动分配一段内存同时映射到可信/非可信进程。或者在非可信进程起个ftp服务，从可信进程吧数据发过去，反正总有办法 2017-1-5 18:43 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 3 楼我曾试着用pchunter把那个hook进行去掉，但保存还是加密文件。。。。。 2017-1-9 10:17 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 4 楼 usb接口被封死了么？网络呢？电脑还可以安装软件么？呵呵是不是在驱动层做到加密呢？ 2017-1-9 20:29 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 5 楼如何找到那个hook的？ 2017-1-9 20:30 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 6 楼 usb接口封死，网络只能上内网。具体什么层面加密，搞不懂。。。请问怎么测试在什么层面加密？ 2017-1-9 21:15 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 7 楼如果有软件解决方法，你如何把软件安装上去呢？ 2017-1-10 04:03 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 8 楼最有效的方式： 1、检查授权自动解密的进程名字，找出哪些进程名可以获得解密数据。 2、检查哪些后缀名是不被加密的，找出哪些后缀名可以脱离加密范围。 3、更改程序名字、特征为自动解密的进程名（伪造），打开被加密文件，另存为不加密的格式。 2017-1-10 08:05 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 9 楼第一步我找出了进程名字，就是绿建那4个进程，我直接卸载模块，导致原有打开的文件直接退出，等不到保存。您说的更改程序名字、特征这个怎么弄？俺的基础知识实在太差。。。。上传的附件： QQ截图20170110094831.jpg （96.53kb，2次下载） 2017-1-10 09:50 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 10 楼写文件的api是不是被hook了？ 2017-1-11 07:13 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 11 楼没有关系，另存为白名单后缀名。 2017-1-11 08:20 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 12 楼请问这方面的知识，去看哪些资料可以补充点能量，实在搞不定了，先从基础知识去看看。 2017-1-11 08:50 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 13 楼去查查透明加密白名单这回事就懂了，举个最简单的例子（有些复杂的道理相同，但是要费劲一些）某文件被加密，直接查看文件头乱码如下： 1、假设 acad.exe 进程可以访问到解密后的数据 2、你就自己编写个 acad.exe（特征模仿，总之有办法让透明加密系统认为其合法）测试你也可以使用 winhex，拷贝两个副本，第一个副本中的主程序改名为 acad.exe 第二个副本中的主程序不用改名字 3、用第一个伪造的 acad.exe 打开被加密的文件，可以看到文件头已经被解密还原 4、打开第二个副本 WinHex.exe，拷贝第一个副本中已经被解密的数据，粘贴到第二个副本 WinHex中，然后另存为 cad.test 文件（不出意外的话，这个文件已经解密了） 5、拷贝转存后的 cad.test 文件，在一台没有加密系统的电脑上修改后缀名为.dwg，可以正常打开。 6、编写脚本，批量解密。或者你动下脑筋，在某些可以批量处理文件的程序基础上按上述方法试试这样子，应该明白了吧，对于加密防护更加变态的系统，道理相同，但是你得更加有想象力就提醒到这里，不方便说多了。你要是测试成功，记得给我点赞，并且跟大家分享下成功的喜悦。上传的附件： 1.png （26.90kb，6次下载） 2.png （19.24kb，4次下载） 2017-1-11 14:11 0
牧风雪币： 785 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 142 粉丝 0 关注私信	牧风 14 楼这个方法大赞。 2017-1-11 15:14 0
牧风雪币： 785 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 142 粉丝 0 关注私信	牧风 15 楼透明加密是驱动级的，钩子没用。参考13楼的方法吧。 2017-1-11 15:16 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 16 楼打开其他编辑器，里面没有绿建这个渣渣模块么？ 2017-1-12 09:17 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 17 楼没有，他这个是挂在cad上的，只对cad进行加密。 2017-1-12 10:36 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 18 楼我用winhex，一个改为acad.exe，一个原版，打开文件，感觉文件头一样，是怎么回事？上传的附件： acad.jpg （148.78kb，5次下载） yb.jpg （142.16kb，3次下载） 2017-1-12 10:54 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 19 楼非常感谢大师的指点，编写acad程序，请问怎么弄？ 2017-1-12 10:56 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 20 楼打开文件后，内存中是未加密内容，这个过程要经过驱动，把未加密内容写到硬盘，要屏蔽驱动，怎么搞呢？ 2017-1-12 11:56 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 21 楼切记，伪造的winhex--"acad.exe"打开DWG文件后，就如同你截图的，看到的是解密数据。然后，在另外一个winhex--"WinHex.exe"窗口粘贴数据，并另存为cad.test，该文件就是你要的解密文档。拷贝到另外一台干净的电脑上，将后缀名改回dwg，即可浏览。话说，你该回复解决结果，是否实现了一个DWG加密文件的解密？然后结贴。上传的附件： 1.png （39.44kb，2次下载） 2.png （40.01kb，2次下载） 3.png （35.15kb，1次下载） 2017-1-12 13:36 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 22 楼请问这个伪造的WinHex.exe，是把它直接改名位acad.exe，还需要其它的改动吗？去打开dwg文件？ 2017-1-12 13:44 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 23 楼看实际加密系统是如何识别白名单进程的，有些简单判断镜像名称，大部分都是这种，你就可以直接改进程名获得解密后的数据。有些还对内存操作进行了禁止，得区分对待。总之，能看到明文就应该能得到解密数据，只不过手段受限制而已，应该发挥想象力去突破。 2017-1-12 13:49 0
雪中夕阳雪币： 144 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 170 粉丝 0 关注私信	雪中夕阳 24 楼请问这个该进程名怎么修改，我把winhex直接改名位acad.exe，但进程中看到的还是winhex。 2017-1-12 14:11 0
uniking 雪币： 931 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 55 粉丝 0 关注私信	uniking 25 楼直接另存为啊，如果软件被注入了，另存为任何文件可能还是被驱动加密，那就卸掉软件中被注入的dll。 2017-1-12 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复