好友
阅读权限20
听众
最后登录1970-1-1
|
pxhb
发表于 2019-3-8 12:03
本帖最后由 pxhb 于 2019-3-8 12:05 编辑
朋友找帮忙,拿到一个课件动画类u盘,只能打开,复制不出文件,
打开u盘,就一个exe,u盘大小也就7MB左右,明细不正常,是有隐藏分区,百度也没找到什么dir、这些没用,习惯性的自己动手
开始打开u盘的主程序,刚好开着360安全卫士,提示有驱动加载,CrUNCopy.sys ImDisk.sys两个驱动,通过xuetr这个工具的简单查看驱动,可以看到hook了CreateProcess 还有一些文件过滤
开始我以为恢复了文件过滤就行了,确实也可以打开虚拟出来的那个盘,也可以复制出文件来了,但是,,,这个好像做的稍微有点高级,复制出来的关键文件是加密的,比如图片,mp3,txt等文件都是乱码,明显加密过的
百度这个驱动,找到了官方,好巧,看到了介绍
大家自己找,这边我就不方便说是哪个软件了,免得影响不好
大概意思就是说,只能被验证的exe去访问才可以得到正确的内容
应该就是通过hook createprocess来判断是不是自身去读取了
想过分析怎么判断的,改驱动去绕过,强制任意文件可读取,但是驱动方面不熟悉,好像有点困难,
换方案,既然是他的主程序读取的就行,那总不能连dll也判断了吧,思路就清晰了,
注入一个自己写的dll,功能特别简单,能读取,复制出文件就可以,写的话要费点时间,有成品,
Virtual File System Editor这个软件里面的dll(论坛有,注入工具随便找一个都行),注入就可以访问,并复制出u盘全部文件了
这个防止复制的思路确实可以,即使通过其他方式得到文件,也是加密的,
之前反馈给官方,可惜,他们客服不在乎,致命缺陷都不管
vfseditor.rar
(325.55 KB, 下载次数: 1246)
写的有点乱,大家将就着看,简单来说就是,注入一个dll到他的u盘主程序,就可以直接访问到明文文件了
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|