[讨论]别问, 问就是Giao !-密码应用-看雪-安全社区|安全招聘|kanxue.com

[讨论]别问, 问就是Giao !

发表于: 2020-7-30 19:07 54326

[讨论]别问, 问就是Giao !

红金龙e晓楼

2020-7-30 19:07

54326

查看主题内容

收藏・28

免费・8

支持

打赏 + 5.00雪花

orz1ruo

打赏次数 1

雪花 + 5.00

orz1ruo

+5.00

2020/07/31

感谢分享～

最新回复 (123) ◀ 1 2 3 4 5 ▶
Imxz 雪币： 105 活跃值： (4407) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 5 关注私信	Imxz 51 楼顶一顶 2020-8-3 09:47 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 52 楼 Alfik Bitrock installbuilder-enterprise-20.3.0-windows + Keygenhttps://mega.nz/file/bsEg2IwT#GRuU4M82i5a5g ... 7.4的安装包是19.7.0打包的. installbuilder的安装包分为metakit部分和cookfs部分, 前者没有加密, 后者加密了. 不确定加密是整个cookfs的镜像还是支持部分文件加密, 但应该不会是密码只用于判断, 肯定参与了加密. 至于是密码的原文经过无损还是hash后参与加密, 这个不熟悉, 从安装包来看这东西是基于tk/tcl的, 没玩过, 这个怎么hook? 2020-8-5 13:45 1
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 53 楼不懂，不过拿Binwalk看了下，更不懂了。这个字符串挺可疑的（FUVG01XI7Y），奈何只有10位。在打包的时候，输入的密码，会对安装包内容进行加密，在安装的时候会验证密码，对安装包解密。最后于 2020-8-6 19:07 被nevinhappy编辑，原因：上传抽取安装包内的文件。上传的附件： x64_idaprofw_191112-InstallBuild-Extract.7z （2.02MB，89次下载） 2020-8-5 18:02 0
zhongguo1987 雪币： 8 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zhongguo1987 54 楼 nevinhappy 不懂，不过拿Binwalk看了下，更不懂了。这个字符串挺可疑的（FUVG01XI7Y），奈何只有10位。你这个怎么导入进来的，下了这个软件包，导入不了那个设有安装密码的安装包 2020-8-5 18:28 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 55 楼 wx_me_364648 你这个怎么导入进来的，下了这个软件包，导入不了那个设有安装密码的安装包使用binwalk把文件解出来，工程文件就在里边。 2020-8-5 18:29 0
zhongguo1987 雪币： 8 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zhongguo1987 56 楼 nevinhappy 使用binwalk把文件解出来，工程文件就在里边。你那有你说的binwalk安装包吗 2020-8-5 18:33 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 57 楼 wx_me_364648 你那有你说的binwalk安装包吗 https://github.com/ReFirmLabs/binwalk 2020-8-5 18:35 0
it爱好者_625041 雪币： 174 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	it爱好者_625041 58 楼不知道密码啊！ 2020-8-5 18:41 0
KingQueenWon 雪币： 0 活跃值： (446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	KingQueenWon 59 楼感觉跟53楼的那个高度关联可疑。找到了这个，不知道是否有助于找到密码：https://app.any.run/tasks/fe466b60-6ed2-4557-83fd-37834aade0c5/ license key: 0B0FEC5A-C75D-4171-9A51-1C8A271E0E80 284C4B7E-7DCB-49D9-9CAB-33C0C1E554FA 8F80A444-8AA1-4BBD-AA71-22BC0541EEA7 549175ED-5E28-468C-B0B0-DFD7933D7FD5 A82F246C-3F06-45CC-8504-E5D8C2F56429 最后于 2020-8-6 14:37 被KingQueenWon编辑，原因： 2020-8-6 14:36 0
china 雪币： 3652 活跃值： (4222) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 60 楼 IDA 7.4.191112------------ Serial Keys ------------0J31RGPFT8G0BG19GZZDD57HPZXQXLFNUGFF1AE70T5FLI73CFW8ECNX3SZT------------------------------------- 搜索到这个东西，是否可以利用来找KEY？ 2020-8-6 15:24 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 61 楼我感觉第一个任务应该是需要找到installbuilder验证密码的算法并计算他的耗时至于密码是否是作者脚本生成的, 脚本肯定改了. 从群里和论坛了解的信息看, 密码长度应该是14, 字符范围不变, 我找到一个密码用之前的算法套了套, 7.2的算法无法匹配, 但应该还是drand48, 脚本应该用了反序, 拼接等变形方法. 假设最坑爹情况, 找不到足够的密码来推测它的脚本, 完全随机是54^14次, 乘以hash验证算法耗时, 和inno版一样, 则显卡版需要耗时417400318647431秒, 无法接受. 那么它的cookfs可能的弱点有啥第一个是, 它因为需要随机的提取vfs里面的文件, 所以用到的加密算法, 必然是可以快速定位的, 比如AES的counter模式, 从程序员的优化来看, 肯定不会是把cookfs复制到内存完全解密再从中复制文件. 他用的算法会不会有已知明文攻击呢? 第二个是, 它用来验证密码是否正确是不是和加载cookfs单独区分开的. 也就是它用fa(password)判断密码正确, 用fb(password)的结果去参与加载解密, 这2个算法是否相等或者hash结果是另一个的截取. 如果它是毫无保留地将密码参与文件解压后, 判断结果是否正确, 那就必须耗时了. 2020-8-6 19:13 1
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 62 楼曾半仙我感觉第一个任务应该是需要找到installbuilder验证密码的算法并计算他的耗时至于密码是否是作者脚本生成的, 脚本肯定改了. 从群里和论坛了解的信息看, 密码长度应该是14, 字符范围不 ... 看53楼，我已经把installbuilder打包的脚本全都抽取出来了。真的是不熟悉Tcl/Tk，感觉里边业务相关的tcl都做了加密（http://noyesno.net/page/tcltk/tbcload.html）？ tbcload::bceval { TclPro ByteCode 1 0 1.3 8.3 6 0 58 13 0 0 28 0 4 6 6 -1 -1 58 w0E<!-fSs!&-<<!,l4pv(0*!!(NA9v.EW<!w3E<!2`8s!)\|vpv2/YQ#/HW<!6iA=!?M1qv%! 最后于 2020-8-7 10:19 被nevinhappy编辑，原因： 2020-8-6 19:16 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 63 楼看那有啥用, 前面说过, metakit数据库本来就不加密, 7.2以前Mac/Linux用Installbuilder打包就是xml存储明文密码, 是个攻击窗口, 所以改了啊. 我的操作是自己生成带有不同密码的安装包, 并且比较生成文件的哪些地方有变化, 解出metakit部分Merge会发现除了时间戳, 其他一模一样. 所以整个metakit都不用看, 所以我得出结论: 加密做在cookfs里. 你还提醒我看前提吗. 2020-8-6 19:59 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 64 楼曾半仙看那有啥用, 前面说过, metakit数据库本来就不加密, 7.2以前Mac/Linux用Installbuilder打包就是xml存储明文密码, 是个攻击窗口, 所以改了啊. 我的操作是自己 ... 那就是密码不太可能在这些文件里？我拿那个工具做出来带密码的包，都没有地方让我先设置密码加密，所以没像你这样验证。最后于 2020-8-7 09:34 被nevinhappy编辑，原因： 2020-8-6 20:07 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 65 楼 nevinhappy 那就是密码太可能在这些文件里？我拿那个工具做出来带密码的包，都没有地方让我先设置密码加密，所以没像你这样验证。 https://github.com/Harakku/bitrock-unpacker/blob/master/bitrock-unpacker.tcl 这里有个解包的, 可以只解metakit部分, 这个metakit就跟inno类似有一些文件是安装包安装时候用的, 脚本用到了cookfs的库, 而installbuilder也是里面有tcl引擎的. 但我对tcl第一次见, 不知道如何调试或者hook安装包的解密部分, 把解密的移植到这个脚本, 然后再移植验证算法到C, 再测试cuda加速下速度. 2020-8-6 20:49 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 66 楼 CuteMiyu IDA 7.3之後改用InstallBuilder打包, 密碼變成14位, 密碼字元依然是a-z or A-Z ... 牛假图PS的？ 2020-8-6 21:35 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 67 楼我创建了个迷你的InstallerBuilder安装包测试, 它会在启动时候, 把一些dll释放到系统临时目录加载, 虽然名称换了BRxxxx.tmp, 但根据大小和时间可以判断这些dll就包括了cookfs14.dll, 但要在输入密码验证时候, 又多了一个tcltwofish10.dll. 结合网上一些tcl的vfs加密方式, 可能cookfs带的加密是tcl目前支持的blowfish/aes/des/rc4/CryptKit(应该是个N合1)几个包, 所以也不能确定这个文件系统是否用的是tcltwofish10.dll与cookfs14.dll一起参与解密. 但至少有个C级别的hook点了 PS: 文件加密的和无加密的状态在cookfsinfo.txt多了-decompresscommand {::maui::util::MI_oJ zip}这个加载可能类似于管道操作? 最后于 2020-8-7 05:27 被曾半仙编辑，原因： 2020-8-7 01:39 1
shuax 雪币： 1839 活跃值： (1781) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 68 楼曾半仙我创建了个迷你的InstallerBuilder安装包测试, 它会在启动时候, 把一些dll释放到系统临时目录加载, 虽然名称换了BRxxxx.t ... https://bbs.pediy.com/thread-257083-2.htm#1656620 这个大佬是不是已经搞出来了 2020-8-7 08:59 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 69 楼 shuax https://bbs.pediy.com/thread-257083-2.htm#1656620 这个大佬是不是已经搞出来了如果是这个算法，那基于就凉凉了。 2020-8-7 15:15 0
Dynamite5641 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Dynamite5641 70 楼 KingQueenWon 感觉跟53楼的那个高度关联可疑。找到了这个，不知道是否有助于找到密码：https://app.any.run/tasks/fe466b60-6ed2-4557-83fd-37834aade0c5/ l ... Looks like the installer is fake! 2020-8-8 09:21 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 71 楼大佬们，继续研究，不要沉。最后于 2020-8-12 08:40 被lionnnn编辑，原因： 2020-8-8 15:00 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 72 楼顶起 2020-8-12 08:41 0
sky东雪币： 29195 活跃值： (3875) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 194 粉丝 7 关注私信	sky东 73 楼感谢分享 2020-8-12 09:09 0
dfui 雪币： 1262 活跃值： (597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 74 楼感谢分享.... 2020-8-12 22:18 0
it爱好者_625041 雪币： 174 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	it爱好者_625041 75 楼密码 2020-8-12 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红金龙e晓楼

发帖

回帖

RANK

关注

私信

他的文章

[下载] ida 8.1 28670
[讨论]别问, 问就是Giao ! 54326
[原创][分享]Frida环境搭建 - windows (给IDE提供智能感知/提示) 16271
[原创]IDA7.2安装包分析 59370

关于我们

联系我们

企业服务

看雪公众号

最新回复 (123) ◀ 1 2 3 4 5 ▶
Imxz 雪币： 105 活跃值： (4407) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 5 关注私信	Imxz 51 楼顶一顶 2020-8-3 09:47 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 52 楼 Alfik Bitrock installbuilder-enterprise-20.3.0-windows + Keygenhttps://mega.nz/file/bsEg2IwT#GRuU4M82i5a5g ... 7.4的安装包是19.7.0打包的. installbuilder的安装包分为metakit部分和cookfs部分, 前者没有加密, 后者加密了. 不确定加密是整个cookfs的镜像还是支持部分文件加密, 但应该不会是密码只用于判断, 肯定参与了加密. 至于是密码的原文经过无损还是hash后参与加密, 这个不熟悉, 从安装包来看这东西是基于tk/tcl的, 没玩过, 这个怎么hook? 2020-8-5 13:45 1
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 53 楼不懂，不过拿Binwalk看了下，更不懂了。这个字符串挺可疑的（FUVG01XI7Y），奈何只有10位。在打包的时候，输入的密码，会对安装包内容进行加密，在安装的时候会验证密码，对安装包解密。最后于 2020-8-6 19:07 被nevinhappy编辑，原因：上传抽取安装包内的文件。上传的附件： x64_idaprofw_191112-InstallBuild-Extract.7z （2.02MB，89次下载） 2020-8-5 18:02 0
zhongguo1987 雪币： 8 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zhongguo1987 54 楼 nevinhappy 不懂，不过拿Binwalk看了下，更不懂了。这个字符串挺可疑的（FUVG01XI7Y），奈何只有10位。你这个怎么导入进来的，下了这个软件包，导入不了那个设有安装密码的安装包 2020-8-5 18:28 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 55 楼 wx_me_364648 你这个怎么导入进来的，下了这个软件包，导入不了那个设有安装密码的安装包使用binwalk把文件解出来，工程文件就在里边。 2020-8-5 18:29 0
zhongguo1987 雪币： 8 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zhongguo1987 56 楼 nevinhappy 使用binwalk把文件解出来，工程文件就在里边。你那有你说的binwalk安装包吗 2020-8-5 18:33 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 57 楼 wx_me_364648 你那有你说的binwalk安装包吗 https://github.com/ReFirmLabs/binwalk 2020-8-5 18:35 0
it爱好者_625041 雪币： 174 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	it爱好者_625041 58 楼不知道密码啊！ 2020-8-5 18:41 0
KingQueenWon 雪币： 0 活跃值： (446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	KingQueenWon 59 楼感觉跟53楼的那个高度关联可疑。找到了这个，不知道是否有助于找到密码：https://app.any.run/tasks/fe466b60-6ed2-4557-83fd-37834aade0c5/ license key: 0B0FEC5A-C75D-4171-9A51-1C8A271E0E80 284C4B7E-7DCB-49D9-9CAB-33C0C1E554FA 8F80A444-8AA1-4BBD-AA71-22BC0541EEA7 549175ED-5E28-468C-B0B0-DFD7933D7FD5 A82F246C-3F06-45CC-8504-E5D8C2F56429 最后于 2020-8-6 14:37 被KingQueenWon编辑，原因： 2020-8-6 14:36 0
china 雪币： 3652 活跃值： (4222) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 60 楼 IDA 7.4.191112------------ Serial Keys ------------0J31RGPFT8G0BG19GZZDD57HPZXQXLFNUGFF1AE70T5FLI73CFW8ECNX3SZT------------------------------------- 搜索到这个东西，是否可以利用来找KEY？ 2020-8-6 15:24 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 61 楼我感觉第一个任务应该是需要找到installbuilder验证密码的算法并计算他的耗时至于密码是否是作者脚本生成的, 脚本肯定改了. 从群里和论坛了解的信息看, 密码长度应该是14, 字符范围不变, 我找到一个密码用之前的算法套了套, 7.2的算法无法匹配, 但应该还是drand48, 脚本应该用了反序, 拼接等变形方法. 假设最坑爹情况, 找不到足够的密码来推测它的脚本, 完全随机是54^14次, 乘以hash验证算法耗时, 和inno版一样, 则显卡版需要耗时417400318647431秒, 无法接受. 那么它的cookfs可能的弱点有啥第一个是, 它因为需要随机的提取vfs里面的文件, 所以用到的加密算法, 必然是可以快速定位的, 比如AES的counter模式, 从程序员的优化来看, 肯定不会是把cookfs复制到内存完全解密再从中复制文件. 他用的算法会不会有已知明文攻击呢? 第二个是, 它用来验证密码是否正确是不是和加载cookfs单独区分开的. 也就是它用fa(password)判断密码正确, 用fb(password)的结果去参与加载解密, 这2个算法是否相等或者hash结果是另一个的截取. 如果它是毫无保留地将密码参与文件解压后, 判断结果是否正确, 那就必须耗时了. 2020-8-6 19:13 1
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 62 楼曾半仙我感觉第一个任务应该是需要找到installbuilder验证密码的算法并计算他的耗时至于密码是否是作者脚本生成的, 脚本肯定改了. 从群里和论坛了解的信息看, 密码长度应该是14, 字符范围不 ... 看53楼，我已经把installbuilder打包的脚本全都抽取出来了。真的是不熟悉Tcl/Tk，感觉里边业务相关的tcl都做了加密（http://noyesno.net/page/tcltk/tbcload.html）？ tbcload::bceval { TclPro ByteCode 1 0 1.3 8.3 6 0 58 13 0 0 28 0 4 6 6 -1 -1 58 w0E<!-fSs!&-<<!,l4pv(0*!!(NA9v.EW<!w3E<!2`8s!)\|vpv2/YQ#/HW<!6iA=!?M1qv%! 最后于 2020-8-7 10:19 被nevinhappy编辑，原因： 2020-8-6 19:16 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 63 楼看那有啥用, 前面说过, metakit数据库本来就不加密, 7.2以前Mac/Linux用Installbuilder打包就是xml存储明文密码, 是个攻击窗口, 所以改了啊. 我的操作是自己生成带有不同密码的安装包, 并且比较生成文件的哪些地方有变化, 解出metakit部分Merge会发现除了时间戳, 其他一模一样. 所以整个metakit都不用看, 所以我得出结论: 加密做在cookfs里. 你还提醒我看前提吗. 2020-8-6 19:59 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 64 楼曾半仙看那有啥用, 前面说过, metakit数据库本来就不加密, 7.2以前Mac/Linux用Installbuilder打包就是xml存储明文密码, 是个攻击窗口, 所以改了啊. 我的操作是自己 ... 那就是密码不太可能在这些文件里？我拿那个工具做出来带密码的包，都没有地方让我先设置密码加密，所以没像你这样验证。最后于 2020-8-7 09:34 被nevinhappy编辑，原因： 2020-8-6 20:07 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 65 楼 nevinhappy 那就是密码太可能在这些文件里？我拿那个工具做出来带密码的包，都没有地方让我先设置密码加密，所以没像你这样验证。 https://github.com/Harakku/bitrock-unpacker/blob/master/bitrock-unpacker.tcl 这里有个解包的, 可以只解metakit部分, 这个metakit就跟inno类似有一些文件是安装包安装时候用的, 脚本用到了cookfs的库, 而installbuilder也是里面有tcl引擎的. 但我对tcl第一次见, 不知道如何调试或者hook安装包的解密部分, 把解密的移植到这个脚本, 然后再移植验证算法到C, 再测试cuda加速下速度. 2020-8-6 20:49 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 66 楼 CuteMiyu IDA 7.3之後改用InstallBuilder打包, 密碼變成14位, 密碼字元依然是a-z or A-Z ... 牛假图PS的？ 2020-8-6 21:35 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 67 楼我创建了个迷你的InstallerBuilder安装包测试, 它会在启动时候, 把一些dll释放到系统临时目录加载, 虽然名称换了BRxxxx.tmp, 但根据大小和时间可以判断这些dll就包括了cookfs14.dll, 但要在输入密码验证时候, 又多了一个tcltwofish10.dll. 结合网上一些tcl的vfs加密方式, 可能cookfs带的加密是tcl目前支持的blowfish/aes/des/rc4/CryptKit(应该是个N合1)几个包, 所以也不能确定这个文件系统是否用的是tcltwofish10.dll与cookfs14.dll一起参与解密. 但至少有个C级别的hook点了 PS: 文件加密的和无加密的状态在cookfsinfo.txt多了-decompresscommand {::maui::util::MI_oJ zip}这个加载可能类似于管道操作? 最后于 2020-8-7 05:27 被曾半仙编辑，原因： 2020-8-7 01:39 1
shuax 雪币： 1839 活跃值： (1781) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 68 楼曾半仙我创建了个迷你的InstallerBuilder安装包测试, 它会在启动时候, 把一些dll释放到系统临时目录加载, 虽然名称换了BRxxxx.t ... https://bbs.pediy.com/thread-257083-2.htm#1656620 这个大佬是不是已经搞出来了 2020-8-7 08:59 0
nevinhappy 雪币： 5150 活跃值： (9667) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 69 楼 shuax https://bbs.pediy.com/thread-257083-2.htm#1656620 这个大佬是不是已经搞出来了如果是这个算法，那基于就凉凉了。 2020-8-7 15:15 0
Dynamite5641 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Dynamite5641 70 楼 KingQueenWon 感觉跟53楼的那个高度关联可疑。找到了这个，不知道是否有助于找到密码：https://app.any.run/tasks/fe466b60-6ed2-4557-83fd-37834aade0c5/ l ... Looks like the installer is fake! 2020-8-8 09:21 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 71 楼大佬们，继续研究，不要沉。最后于 2020-8-12 08:40 被lionnnn编辑，原因： 2020-8-8 15:00 0
lionnnn 雪币： 4889 活跃值： (2275) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 242 粉丝 2 关注私信	lionnnn 72 楼顶起 2020-8-12 08:41 0
sky东雪币： 29195 活跃值： (3875) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 194 粉丝 7 关注私信	sky东 73 楼感谢分享 2020-8-12 09:09 0
dfui 雪币： 1262 活跃值： (597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 74 楼感谢分享.... 2020-8-12 22:18 0
it爱好者_625041 雪币： 174 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	it爱好者_625041 75 楼密码 2020-8-12 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复