【多图详细】drmsoft（金盾、飓风） exe加密pdf之机器码破解

admin

前言：近几天在学校论坛发现一篇关于破解exe加密的pdf的求助帖，论坛搜索了一下也发现了一样的帖子。初尝试爆破无果，随后查阅了相关方法后我联系了求助者，得到了一组已经通过验证的机器码和密码，开始了机器码替换破解和pdf文件提取。（伪原创）
无密码爆破我还实现不到，大家可以回帖交流
出于版权考虑，所有有关的软件信息已经打码处理，也不上传该文件作为样本，仅提供方法供交流参考。本文章只仅限用于学习和研究目的；不得将该内容用于商业或者非法用途，否则，一切后果请用户自负，本人恕不承担由此带来的任何责任。

参考破文资料：
1.http://www.arvinhk.com/post/289.html
2.http://jingyan.baidu.com/article/a3f121e4de0e5ffc9052bb99.html


准备工具：
ExeinfoPE（查壳和基本PE信息）、吾爱OD（不解释了）、Process Monitor+Process Explorer（进程和相关操作监视）、PCHunter（用于最后提取文件）、Adobe Acrobat DC Pro（Adobe的PDF查看、编辑、导出等工具）


正题：
常规操作，先使用EXEInfoPE查壳

Delphi，看上去无壳。虚拟机尝试直接打开


果然没那么简单，有虚拟机检测，点完就退出。我并没有破掉这个虚拟机检测，直接在win10本机上搞了（但这样不推荐，如果有暗桩格盘、关机等等就很危险）。一是嫌有点麻烦，二是技术层面可能也达不到。如果技术好的大佬可以试试。接下来全部是在win10平台做的，最好关闭defender后操作，它可能阻止、误报吾爱工具包

启动exe后界面如图，同时在C盘根目录下生成一个名为drmsoft的文件夹。百度该名可以得到其商业信息



拖进OD，并开启Process Explorer、Process Monitor和PCHunter。根据参考文章2，在OD使用Ctrl+G,跳转到“00401000”位置（这个地址位置应该比较熟悉，是常见的载入程序入口），使用中文搜索 智能搜索找到如图所示的字符串（最后一串00000）


双击跳转后，根据参考文章2在如图所示的地方（3个call中间的两个mov的第二个mov处）F2下切换断点，然后F9将程序跑起来


可以看到成功断下后，窗口里出现了本机的机器码如图所示


右键点击机器码，选择“在数据窗口中跟随”，选中下方机器码后右键点击 二进制-编辑 将其替换为得到的已经通过验证可以正常使用的机器码



替换后F9继续运行，可以看到软件界面的机器码已经改成了上面的机器码


在Process Explorer中查看进程（OD下的附加进程），可以得知其PID，在Process Monitor中先清空事件停止捕捉，根据PID设置Filter（过滤器）后开启捕捉



随后粘贴该机器码对应的密码就可以成功打开，点击右上角打印，会弹出禁止打印的窗口。软件打开后禁止截图（禁用了剪贴板）和禁止某些软件、窗口的打开（版权，防盗取），只能用手机拍照呈现（像素将就些undefined）


还是用OD搜索“禁止打印”，找到了关键的语句，将那个判断跳转的jnz语句直接NOP掉就可以开启打印



注意还需要开启系统的Print Spooler服务才能开启打印功能



本来以为，到这里了应该就能导出PDF打印，想着大功告成了，但结果打印的时候还给我出了这样的错，崩溃（PS：如果没有这个错误，根据参考文章1接着做就可以了）

这个Access Violation用了百度的方法还是没解决，真的很无奈。所以这才用到了上文提到的Process Explorer、Process Monitor和PCHunter

到这时候，Process Monitor应该已经捕捉到了很多很多事件了。猜测软件是通过释放临时文件（.tmp文件）来实现功能的，只需要查看Process Monitor里面关于文件的操作就可以了

注意到软件运行时在C:Users用户名AppdataLocalTemp目录下释放了名为6b5df的临时文件，猜测这个就是该PDF文件（注意，在Process Monitor中还会捕捉到很多关于文件的操作，其中后面还出现了很多临时文件，但这里只需看第一次出现的临时文件）


接下来，在PCHunter的文件里，展开C:Users用户名AppdataLocalTemp目录，找到这个名为6b5df.tmp的文件双击打开。弹出窗口询问打开方式，选择Adobe Acrobat DC


终于成功打开了PDF文件，经过查看，页数还是126页，文件完整


最后，使用另存为功能导出为PDF文件即可，到此提取完成，结束

義周

最后tmp无法打开

尘世间小书童

如果是视频怎么搞下，大佬