前言:近几天在学校论坛发现一篇关于破解exe加密的pdf的求助帖,论坛搜索了一下也发现了一样的帖子。初尝试爆破无果,随后查阅了相关方法后我联系了求助者,得到了一组已经通过验证的机器码和密码,开始了机器码替换破解和pdf文件提取。(伪原创)
无密码爆破我还实现不到,大家可以回帖交流
出于版权考虑,所有有关的软件信息已经打码处理,也不上传该文件作为样本,仅提供方法供交流参考。本文章只仅限用于学习和研究目的;不得将该内容用于商业或者非法用途,否则,一切后果请用户自负,本人恕不承担由此带来的任何责任。
参考破文资料:
1.
2.
准备工具:
ExeinfoPE(查壳和基本PE信息)、吾爱OD(不解释了)、Process Monitor+Process Explorer(进程和相关操作监视)、PCHunter(用于最后提取文件)、Adobe Acrobat DC Pro(Adobe的PDF查看、编辑、导出等工具)
正题:
常规操作,先使用EXEInfoPE查壳
Delphi,看上去无壳。虚拟机尝试直接打开
果然没那么简单,有虚拟机检测,点完就退出。我并没有破掉这个虚拟机检测,直接在win10本机上搞了(但这样不推荐,如果有暗桩格盘、关机等等就很危险)。一是嫌有点麻烦,二是技术层面可能也达不到。如果技术好的大佬可以试试。接下来全部是在win10平台做的,最好关闭defender后操作,它可能阻止、误报吾爱工具包
启动exe后界面如图,同时在C盘根目录下生成一个名为drmsoft的文件夹。百度该名可以得到其商业信息
拖进OD,并开启Process Explorer、Process Monitor和PCHunter。根据参考文章2,在OD使用Ctrl+G,跳转到“00401000”位置(这个地址位置应该比较熟悉,是常见的载入程序入口),使用中文搜索 智能搜索找到如图所示的字符串(最后一串00000)
双击跳转后,根据参考文章2在如图所示的地方(3个call中间的两个mov的第二个mov处)F2下切换断点,然后F9将程序跑起来
可以看到成功断下后,窗口里出现了本机的机器码如图所示
右键点击机器码,选择“在数据窗口中跟随”,选中下方机器码后右键点击 二进制-编辑 将其替换为得到的已经通过验证可以正常使用的机器码
替换后F9继续运行,可以看到软件界面的机器码已经改成了上面的机器码
在Process Explorer中查看进程(OD下的附加进程),可以得知其PID,在Process Monitor中先清空事件停止捕捉,根据PID设置Filter(过滤器)后开启捕捉
随后粘贴该机器码对应的密码就可以成功打开,点击右上角打印,会弹出禁止打印的窗口。软件打开后禁止截图(禁用了剪贴板)和禁止某些软件、窗口的打开(版权,防盗取),只能用手机拍照呈现(像素将就些undefined)
还是用OD搜索“禁止打印”,找到了关键的语句,将那个判断跳转的jnz语句直接NOP掉就可以开启打印
注意还需要开启系统的Print Spooler服务才能开启打印功能
本来以为,到这里了应该就能导出PDF打印,想着大功告成了,但结果打印的时候还给我出了这样的错,崩溃(PS:如果没有这个错误,根据参考文章1接着做就可以了)
这个Access Violation用了百度的方法还是没解决,真的很无奈。所以这才用到了上文提到的Process Explorer、Process Monitor和PCHunter
到这时候,Process Monitor应该已经捕捉到了很多很多事件了。猜测软件是通过释放临时文件(.tmp文件)来实现功能的,只需要查看Process Monitor里面关于文件的操作就可以了
注意到软件运行时在C:Users用户名AppdataLocalTemp目录下释放了名为6b5df的临时文件,猜测这个就是该PDF文件(注意,在Process Monitor中还会捕捉到很多关于文件的操作,其中后面还出现了很多临时文件,但这里只需看第一次出现的临时文件)
接下来,在PCHunter的文件里,展开C:Users用户名AppdataLocalTemp目录,找到这个名为6b5df.tmp的文件双击打开。弹出窗口询问打开方式,选择Adobe Acrobat DC
终于成功打开了PDF文件,经过查看,页数还是126页,文件完整
最后,使用另存为功能导出为PDF文件即可,到此提取完成,结束
