【新人】破解被文件夹加密用较高强度加密后的文件夹

BearBrine

通向上回破解软件本体的传送门：【新人】【多图】破解某远古时期的文件夹加密软件

---

又一个故事


于是我就真的开始研究这个软件的加密了。
目前的研究进度是已经可以破解较高强度加密后的文件夹了，最高强度还是太难了还要继续研究。
但是因为最近没啥时间所以先把较高强度加密的破解给发上来了。

由于本人较蒻所以请大牛们随意吐槽(^^;

---

正片

首先准备好一群即将被关进小黑屋里嘿嘿嘿的可怜蛋。

（不要在意旁边那个窜场的hhhh的压缩包）
然后将脱壳后的文件夹加密拖进来用较高强度的加密给她们嘿嘿嘿嘿嘿……

我们通过小缝隙 AntiSpy 看看里面发生了什么有趣的事情（我感觉我已经彻底黄了）。

可以看到文件们似乎都已经被加密了。
我们拿出那个大小最像原来的测试文本的文件拖出来看看。

可以看到文件的前面部分变成了一坨看不懂的玩意……
再往下面翻，还能发现最底下被印了个章。

想想就觉得刺激。
*你够了！我无法忍受你的行为。*
直接拖入 OD，根据输入密码错误会弹窗，我们下断弹窗函数，命中后回溯。

上回有说关于这个弹窗函数的事这里就不再多谈。
可以看到上面有个跳转可以跳过弹窗，尝试让它跳转。

然后……

就这样莫名奇妙的没了？
我们看看文件夹有没有被解密。

没事我们心态要平和（自我安慰）。我们再向下翻翻，发现还有一堆的跳转。

（我的美术水平已经无可救药了555……）
我们尝试不跳过这些跳转，执行一下红色框中的部分。
结果就给我蹦出个这玩意？

可以这很生草。
然后的事情就和上面一样了……
看来下面似乎没啥好东西，不如去那个判断弹窗的那个函数那里看看，说不定会有些有用的讯息。

（注：图中仅为函数函数全貌的约 1/12）
我还真以为上回见到的就已经是非常大的函数了……
做好成为光头的心理准备，开始单步吧，欧里给！

单步到这发现有个超级长的跳转（其实这好像只算中跳……），几乎直接跳到了函数尾部。
看来可能是跨过了什么重要的东西，我们输入正确的密码，发现会跳过这个很长的跳转。

于是有点子了，修改标志寄存器，让它在这里跳过试试。

然后弹出了密码正确的窗口，心中一喜。

但是再回过头来看看文件夹里……

完蛋这些家伙居然还在被锁着，看来肯定是哪里出了点问题。
把她们再关回去，换成正确的密码试试。

完了这下把密码也给改了，怕不是要关着嘿嘿嘿一辈子了……
想想就觉得刺激。
*你够了！我无法忍受你的行为，现在你会成为我们中的一员。*
没事不要方！我们用刚才的套路换回正确的密码。

好的看来她们还活着，可以松一口气了。
还没完呢！我们可是要破解文件夹的加密呢。把她们再关回去嘿嘿嘿嘿嘿……

好的我不胡说八道了，我们来看看这个地方。

这个结构已经见过几次面了，下面那个跳转基本和上面那函数脱不开关系，所以还是跟进去看看。

跟进去单步到这里，观察堆栈中的变化。

可以看到我们乱输入的密码已经出现在了眼前。
再看看倒数第二条 Unicode，再比较一下之前加密文件尾部盖上的印，再对照下代码。
（懒得放图了自己去前面找吧233333）
接下来的三个跳转都会跳过那个 xor ebx,ebx，这个代码会把 ebx 清零，而此时 ebx：

另外对这三个跳转前的函数稍微分析，可以认为这个函数是字符串比较函数。

我们再向下翻翻。

注意 50847B 那一段代码，它是把 ebx 的值复制给 eax 的，而外面又是根据 al 的值判断跳转，
所以能不能解密就看之前对栈里面那几个奇怪的字样判断能不能成功了。
如果我们换成正确的密码，会发现栈里的第一条 Unicode 和最后一条一样了。

这条 Unicode 是经过了这个函数后才出现的。

我本来想对这段函数进行分析，观察那段字串是怎么生成的。

但是在头部下断后，发现这个函数还断在了另一处。

回溯看看……

经过这俩个函数，即将进行字符串比较的时候，观察栈里面：

如果换成错误的密码，且使用之前的方法让它解密，会发现还会断在这。再观察一下栈。

看来出错的原因是这里还有个判断没有被我们解决，我们修改标志寄存器。

然后你会看到，奇迹发生了！

接下来就简单了，把刚才找到的那两处跳转都改成 jmp 就可以爆破文件了。
当然软件都改掉了那岂不是真成摆设了？所以我们要用注册机的方式修改。

生成后试着爆破一下……

大功告成！她们活着出来了！
（好奇怪的一句话啊……(^^;

---

后话


好的这次破解就到此结束了。

其实这回文章里的思路不是我真实破解的思路（话说上回也不是），
因为我本来是找最高强度的破解方法的，顺便先破解了较高强度的加密而已。
顺带一提，这个方法似乎对最高强度加密无效哦！
不仅没法破解里面的数据，还会把数据给弄坏掉呢……
（当然如果你只是想删掉文件夹或者给那些用加密的朋友搞事的话当我没说）

单破解较高强度的加密的话其实还算比较简单的……吧。
毕竟我没有去研究加密的算法（毕竟能偷懒就偷懒嘛）。

想要试着玩或者想要帮忙破解最高加密的朋友们附件在上篇帖子里哦！
这回发一下生成的注册机，注意恢复加密状态前要把注册机给拷出来哦，不然也会被丢进去的……
还有就是这种破解方法会改掉密码，如果不想改掉密码的话似乎就要弄得麻烦一点了呢……

破解较高强度加密的注册机.zip (268.28 KB, 下载次数: 364)

2020-5-24 15:47 上传

点击文件名下载附件

天空の幻像

哈哈，萌新看不懂

霖韵嫣然

BearBrine 发表于 2020-5-25 18:54
这个似乎是xp上才能用的，要放到程序本体所在文件夹根目录下运行，况且这个软件就是供大家随便玩玩参考下 ...

大概是ASLR的锅，吾爱的内存补丁生成器内存地址填写为定值，但是不知道吾爱补丁器会不会自动修正随即后的ImageBase，所以觉得是大概
Windows10-Windows安全中心-应用和浏览器控制-Exploit Protection-有三个ASLR选项

xuekcd

好复杂的技术！我是进来学习的

终南明月

谢谢楼主分享。

muyu1314520

不错不错啊啊啊啊

azusys

普通难度的 就是把原来的文件隐藏了····

行侠仗义

祝乱按喇叭的大车司机早日升天

BearBrine

行侠仗义 发表于 2020-5-25 17:42
祝乱按喇叭的大车司机早日升天

这位朋友啊，你确定你没有走错地方么？(^^;;

lizhipei78

这个厉害了，真的佩服啊，一般强度的加密，这个用一般的winrar等可以 破解，较高强度的也给你破解了
最高强度的在哪里能看啊

小冷ice

是易语言吗