关于文件被加密后的脱壳处理问题
本帖最后由 cs0208 于 2023-2-3 09:19 编辑各位大佬好,电脑中的办公文件被某通加密后,未安装某通的电脑无法正常打开被加密的文件,经过查阅资料之后,找到如下思路:
一、软件的加密策略为维护进程列表和文件类型,来确认是否对文件加密,如程序设定,使用a程序编辑**.abc类型的文件时,才对文件进行加密,则使用b程序编辑**.abc类型文件,和使用a程序编辑**.abd类型文件均不会进行加密,因为不了解软件的策略配置情况,因此不清楚如何针对此思路进行实际操作,针对此思路希望得到以下帮助;
1、找到软件维护的进程列表或类型列表文件,并提供可行的编辑、修改方式;
2、找到软件可在本地进行策略配置的文件,并提供可行的编辑、修改方式;
二、通过查询资料得知,某通软件的加密方式为对符合要求的文件加壳,因此想到是否可以通过对文件脱壳的方式来解密,下图为通过winhex查看到的文件头部信息。
请大佬指教可行方案,不胜感激!
另外在补充一部分信息,如下图所示,截图中的文件均为某通安装文件夹内的文件,红框中的部分,表示软件启动时更新到的文件,绿框中的文件,大概每分钟更新一次,尝试修改过第一个文件中的配置,但是并未有效果。
我公司也是装了某通加密,我一般通过WPS的云文档,把正在编辑的同步到云端,云端的文档就不会被加密,这个不知道能不能算是突破口。 JackLei 发表于 2023-2-2 17:21
我公司也是装了某通加密,我一般通过WPS的云文档,把正在编辑的同步到云端,云端的文档就不会被加密,这个 ...
云端是一个思路,不过这个思路有诸多限制,包括文件的格式、执行效率等方面,对于PDF文件也不能有效解决。 如果有客户端,可以正常打开加密文件还是有希望的,如果只有文件基本不可能 ps122 发表于 2023-2-2 18:26
如果有客户端,可以正常打开加密文件还是有希望的,如果只有文件基本不可能
有客户端在,其实想实现的目标,就是客户端正常运行的情况下,通过本地配置策略,来实现本机编辑的文件不会被加密,且已被加密的文件可以正常打开。 cs0208 发表于 2023-2-3 08:57
有客户端在,其实想实现的目标,就是客户端正常运行的情况下,通过本地配置策略,来实现本机编辑的文件不 ...
有客户端,脱离环境解密应该也可做到。
你提的本地策略来自于服务器,除非你能修改,所以有难度。 ps122 发表于 2023-2-3 09:02
有客户端,脱离环境解密应该也可做到。
你提的本地策略来自于服务器,除非你能修改,所以有难度。
就是这个想法,我能监控到每次与服务器同步策略时所更新的文件,并且尝试修改过不少.ini和.sys文件,但是对于实际效果来说,并没有生效,所以很怀疑我的方法用的不对。 {:1_907:}这是要盗公司文件吗??? pjy612 发表于 2023-2-4 18:26
这是要盗公司文件吗???
当然不是了,只是为了方便工作,解密流程时间太长,很多工作需要用到的文件都很急,我是工程单位,也没有涉密的文件。 cs0208 发表于 2023-2-4 19:37
当然不是了,只是为了方便工作,解密流程时间太长,很多工作需要用到的文件都很急,我是工程单位,也没有 ...
:rggrg
以前类似的都是直接发给leader 申请解密 啥的。。。
一般这类应该都是配好了会监控某几个 应用 通过窗口标题或者进程 进行注入。
然后就是 对文件进行加解密了。 读取解密 写入加密。啥的。
没具体研究过 囧。
页:
[1]
2