吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12588|回复: 47
收起左侧

[原创] 【新人】破解被文件夹加密用较高强度加密后的文件夹

  [复制链接]
BearBrine 发表于 2020-5-24 15:50
通向上回破解软件本体的传送门:【新人】【多图】破解某远古时期的文件夹加密软件




又一个故事

00-某回复.png
于是我就真的开始研究这个软件的加密了。
目前的研究进度是已经可以破解较高强度加密后的文件夹了,最高强度还是太难了还要继续研究。
但是因为最近没啥时间所以先把较高强度加密的破解给发上来了。

由于本人较蒻所以请大牛们随意吐槽(^^;




正片

首先准备好一群即将被关进小黑屋里嘿嘿嘿的可怜蛋。
01-使用道具.png
(不要在意旁边那个窜场的hhhh的压缩包)
然后将脱壳后的文件夹加密拖进来用较高强度的加密给她们嘿嘿嘿嘿嘿……
02-较高加密.png 03-开始加密.png
我们通过小缝隙 AntiSpy 看看里面发生了什么有趣的事情(我感觉我已经彻底黄了)。
04-文件被加密了.png
可以看到文件们似乎都已经被加密了。
我们拿出那个大小最像原来的测试文本的文件拖出来看看。
17-被加密的文本.png
可以看到文件的前面部分变成了一坨看不懂的玩意……
再往下面翻,还能发现最底下被印了个章。
18-加密文件尾部.png
想想就觉得刺激。
*你够了!我无法忍受你的行为。*
直接拖入 OD,根据输入密码错误会弹窗,我们下断弹窗函数,命中后回溯。
05-回溯.png
上回有说关于这个弹窗函数的事这里就不再多谈。
可以看到上面有个跳转可以跳过弹窗,尝试让它跳转。
06-尝试跳过弹窗.png
然后……
07-完美闪退.png
就这样莫名奇妙的没了?
我们看看文件夹有没有被解密。
08-安然无恙.png
没事我们心态要平和(自我安慰)。我们再向下翻翻,发现还有一堆的跳转。
09-一堆跳转.png
(我的美术水平已经无可救药了555……)
我们尝试不跳过这些跳转,执行一下红色框中的部分。
结果就给我蹦出个这玩意?
10-感觉被侮辱.png
可以这很生草。
然后的事情就和上面一样了……
看来下面似乎没啥好东西,不如去那个判断弹窗的那个函数那里看看,说不定会有些有用的讯息。
11-令人头皮发麻的函数.png
(注:图中仅为函数函数全貌的约 1/12)
我还真以为上回见到的就已经是非常大的函数了……
做好成为光头的心理准备,开始单步吧,欧里给!
12-一个很长的跳转.png
单步到这发现有个超级长的跳转(其实这好像只算中跳……),几乎直接跳到了函数尾部。
看来可能是跨过了什么重要的东西,我们输入正确的密码,发现会跳过这个很长的跳转。
13-输入正确密码后.png
于是有点子了,修改标志寄存器,让它在这里跳过试试。
14-修改标志寄存器.png
然后弹出了密码正确的窗口,心中一喜。
15-一阵狂喜.png
但是再回过头来看看文件夹里……
16-笑容渐渐失色.png
完蛋这些家伙居然还在被锁着,看来肯定是哪里出了点问题。
把她们再关回去,换成正确的密码试试。
19-结果密码也被改了.png
完了这下把密码也给改了,怕不是要关着嘿嘿嘿一辈子了……
想想就觉得刺激。
*你够了!我无法忍受你的行为,现在你会成为我们中的一员。*
没事不要方!我们用刚才的套路换回正确的密码。
20-可以松一口气了.png
好的看来她们还活着,可以松一口气了。
还没完呢!我们可是要破解文件夹的加密呢。把她们再关回去嘿嘿嘿嘿嘿……

好的我不胡说八道了,我们来看看这个地方。
21-跟进去看看.png
这个结构已经见过几次面了,下面那个跳转基本和上面那函数脱不开关系,所以还是跟进去看看。
22-单步向下.png
跟进去单步到这里,观察堆栈中的变化。
23-栈里面出现了奇妙的东西.png
可以看到我们乱输入的密码已经出现在了眼前。
再看看倒数第二条 Unicode,再比较一下之前加密文件尾部盖上的印,再对照下代码。
(懒得放图了自己去前面找吧233333)
接下来的三个跳转都会跳过那个 xor ebx,ebx,这个代码会把 ebx 清零,而此时 ebx:
25-结合EBX的值.png
另外对这三个跳转前的函数稍微分析,可以认为这个函数是字符串比较函数。

我们再向下翻翻。
24-函数的下半部分.png
注意 50847B 那一段代码,它是把 ebx 的值复制给 eax 的,而外面又是根据 al 的值判断跳转,
所以能不能解密就看之前对栈里面那几个奇怪的字样判断能不能成功了。
如果我们换成正确的密码,会发现栈里的第一条 Unicode 和最后一条一样了。
27-栈内出现了一段和之前一样的数据.png
这条 Unicode 是经过了这个函数后才出现的。
26-当经过这个函数时.png
我本来想对这段函数进行分析,观察那段字串是怎么生成的。
29-下断某个生成密文的函数.png
但是在头部下断后,发现这个函数还断在了另一处。
34-再次中断.png
回溯看看……
30-误打误撞来到了这.png
经过这俩个函数,即将进行字符串比较的时候,观察栈里面:
31-再次出现了数据.png
如果换成错误的密码,且使用之前的方法让它解密,会发现还会断在这。再观察一下栈。
32-换成错误的密码.png
看来出错的原因是这里还有个判断没有被我们解决,我们修改标志寄存器。
33-1在这里.png 33-2让它跳转.png
然后你会看到,奇迹发生了!
36-成功解密文件.png
接下来就简单了,把刚才找到的那两处跳转都改成 jmp 就可以爆破文件了。
当然软件都改掉了那岂不是真成摆设了?所以我们要用注册机的方式修改。
37-生成补丁.png
生成后试着爆破一下……
38-成功破解.png
大功告成!她们活着出来了!
(好奇怪的一句话啊……(^^;







后话


好的这次破解就到此结束了。

其实这回文章里的思路不是我真实破解的思路(话说上回也不是),
因为我本来是找最高强度的破解方法的,顺便先破解了较高强度的加密而已。
顺带一提,这个方法似乎对最高强度加密无效哦!
不仅没法破解里面的数据,还会把数据给弄坏掉呢……
(当然如果你只是想删掉文件夹或者给那些用加密的朋友搞事的话当我没说)

单破解较高强度的加密的话其实还算比较简单的……吧。
毕竟我没有去研究加密的算法(毕竟能偷懒就偷懒嘛)。

想要试着玩或者想要帮忙破解最高加密的朋友们附件在上篇帖子里哦!
这回发一下生成的注册机,注意恢复加密状态前要把注册机给拷出来哦,不然也会被丢进去的……
还有就是这种破解方法会改掉密码,如果不想改掉密码的话似乎就要弄得麻烦一点了呢……

破解较高强度加密的注册机.zip (268.28 KB, 下载次数: 364)
28-推测是字符串比较函数.png
35-强行跳转.png

免费评分

参与人数 7吾爱币 +14 热心值 +6 收起 理由
小泪姬 + 1 我很赞同!
九忆 + 1 + 1 谢谢@Thanks!
yingxifanfan + 1 + 1 谢谢@Thanks!
小火 + 2 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
东方学痞 + 1 + 1 谢谢@Thanks!
FanGX7365 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

天空の幻像 发表于 2020-5-25 14:43
哈哈,萌新看不懂
霖韵嫣然 发表于 2020-12-4 23:17
BearBrine 发表于 2020-5-25 18:54
这个似乎是xp上才能用的,要放到程序本体所在文件夹根目录下运行,况且这个软件就是供大家随便玩玩参考下 ...

大概是ASLR的锅,吾爱的内存补丁生成器内存地址填写为定值,但是不知道吾爱补丁器会不会自动修正随即后的ImageBase,所以觉得是大概
Windows10-Windows安全中心-应用和浏览器控制-Exploit Protection-有三个ASLR选项
xuekcd 发表于 2020-5-25 12:05
终南明月 发表于 2020-5-25 14:12
本帖最后由 终南明月 于 2020-5-25 14:15 编辑

谢谢楼主分享。
muyu1314520 发表于 2020-5-25 15:01
不错不错啊啊啊啊
azusys 发表于 2020-5-25 16:46
普通难度的 就是把原来的文件隐藏了····
行侠仗义 发表于 2020-5-25 17:42
祝乱按喇叭的大车司机早日升天
 楼主| BearBrine 发表于 2020-5-25 17:46
行侠仗义 发表于 2020-5-25 17:42
祝乱按喇叭的大车司机早日升天

这位朋友啊,你确定你没有走错地方么?(^^;;
lizhipei78 发表于 2020-5-25 17:52
这个厉害了,真的佩服啊,一般强度的加密,这个用一般的winrar等可以 破解,较高强度的也给你破解了
最高强度的在哪里能看啊
小冷ice 发表于 2020-5-25 17:55
是易语言吗
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 00:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表