笨办法解决优道加密文档提取的问题
这个方法比较笨,大牛可以无视,汇编命令不太熟悉,所以没有做出提取工具我是这想样的,优道文档禁止复制,其实这个问题可以解决,只是忙于解决提取的问题,所以没有过深去研究
有兴趣的可以研究一下,呵呵,估计是拦截调用系统API
进入正文
首先你得有一个优道文档阅读器逆向版,如果没有,请看我这个贴子:https://www.52hb.com/thread-10379-1-1.html
提取思想,文档解密后肯定会驻存在内存中,我们直接把内存中的数据转储即可完成提取。
开工,载入优道文档阅读器逆向版
F9运行,并打开加密文档
点击确定(前提:我这是逆向版的,不用输入密码即可查看文档)
让程序运行起来,把文档加载到内存
查看内存
查看内存数据,据我实验的经验,大多数都是在
01字母开头的段里
我们可以看出这是一个PDF文件,保存数据吧
修改为PDF后缀的文件名
保存成功
双击打开看看,我们成功了
总结:这个方法比较笨,希望大家不要见笑!
另请教一下大家,我发现程序是运行到命令:sysenter这个地方开始加载内存数据的
我想写一个小软件,直接提取,但是不明白这个命令sysenter是什么意思,请大家指点一下
我只会用易语言,大家可以附上思路,或者直接给我发个源代码研究一下,不胜感谢!!
别忘了评分哦,呵呵!
师傅,01CA0000这里怎么保存的? 不错拉,学习下大牛的内存提取法.... 黑刀 发表于 2015-5-24 15:09
师傅,01CA0000这里怎么保存的?
这样能看懂么?在数据窗口右键,保存数据到文件
....为什么 看不懂这是什么 温柔断想 发表于 2015-5-24 15:22
....为什么 看不懂这是什么
看不懂,你可以先看这两个贴子就懂了。
第一个:https://www.52hb.com/thread-10307-1-1.html
第二个:https://www.52hb.com/thread-10379-1-1.html 血色 发表于 2015-5-24 15:16
这样能看懂么?在数据窗口右键,保存数据到文件
不用选中保存部分? 不用选择中 思路很清晰{:5_121:} Shark恒 发表于 2015-5-24 15:37
思路很清晰
得到恒大的表扬,感觉学习起来更有劲头了,哈哈