关于文件被加密后的脱壳处理问题

cs0208

各位大佬好，电脑中的办公文件被某通加密后，未安装某通的电脑无法正常打开被加密的文件，经过查阅资料之后，找到如下思路：
       一、软件的加密策略为维护进程列表和文件类型，来确认是否对文件加密，如程序设定，使用a程序编辑**.abc类型的文件时，才对文件进行加密，则使用b程序编辑**.abc类型文件，和使用a程序编辑**.abd类型文件均不会进行加密，因为不了解软件的策略配置情况，因此不清楚如何针对此思路进行实际操作，针对此思路希望得到以下帮助；
               1、找到软件维护的进程列表或类型列表文件，并提供可行的编辑、修改方式；
               2、找到软件可在本地进行策略配置的文件，并提供可行的编辑、修改方式；
       二、通过查询资料得知，某通软件的加密方式为对符合要求的文件加壳，因此想到是否可以通过对文件脱壳的方式来解密，下图为通过winhex查看到的文件头部信息。

被加密文件头部信息

请大佬指教可行方案，不胜感激！
另外在补充一部分信息，如下图所示，截图中的文件均为某通安装文件夹内的文件，红框中的部分，表示软件启动时更新到的文件，绿框中的文件，大概每分钟更新一次，尝试修改过第一个文件中的配置，但是并未有效果。

文件启动时的更新

JackLei

我公司也是装了某通加密，我一般通过WPS的云文档，把正在编辑的同步到云端，云端的文档就不会被加密，这个不知道能不能算是突破口。

cs0208

JackLei 发表于 2023-2-2 17:21
我公司也是装了某通加密，我一般通过WPS的云文档，把正在编辑的同步到云端，云端的文档就不会被加密，这个 ...

云端是一个思路，不过这个思路有诸多限制，包括文件的格式、执行效率等方面，对于PDF文件也不能有效解决。

ps122

如果有客户端，可以正常打开加密文件还是有希望的，如果只有文件基本不可能

cs0208

ps122 发表于 2023-2-2 18:26
如果有客户端，可以正常打开加密文件还是有希望的，如果只有文件基本不可能

有客户端在，其实想实现的目标，就是客户端正常运行的情况下，通过本地配置策略，来实现本机编辑的文件不会被加密，且已被加密的文件可以正常打开。

ps122

cs0208 发表于 2023-2-3 08:57
有客户端在，其实想实现的目标，就是客户端正常运行的情况下，通过本地配置策略，来实现本机编辑的文件不 ...

有客户端，脱离环境解密应该也可做到。
你提的本地策略来自于服务器，除非你能修改，所以有难度。

cs0208

ps122 发表于 2023-2-3 09:02
有客户端，脱离环境解密应该也可做到。
你提的本地策略来自于服务器，除非你能修改，所以有难度。

就是这个想法，我能监控到每次与服务器同步策略时所更新的文件，并且尝试修改过不少.ini和.sys文件，但是对于实际效果来说，并没有生效，所以很怀疑我的方法用的不对。

pjy612

这是要盗公司文件吗？？？

cs0208

pjy612 发表于 2023-2-4 18:26
这是要盗公司文件吗？？？

当然不是了，只是为了方便工作，解密流程时间太长，很多工作需要用到的文件都很急，我是工程单位，也没有涉密的文件。

pjy612

cs0208 发表于 2023-2-4 19:37
当然不是了，只是为了方便工作，解密流程时间太长，很多工作需要用到的文件都很急，我是工程单位，也没有 ...

以前类似的都是直接发给leader 申请解密 啥的。。。
一般这类应该都是配好了会监控某几个 应用 通过窗口标题或者进程 进行注入。
然后就是 对文件进行加解密了。 读取解密 写入加密。啥的。
没具体研究过 囧。