谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解
2017-04-21 17:00:56 返回首页透明加解密是企业电子文档安全保护技术的术语,意思为,在保护过程中,相对用户终端 是透明的、不改变用户习惯的一种文档加密技术。
亿赛通文档透明加密系统(简称: SmartSec ),是亿赛通文档安全管理系统的核心组件之一,也是国内最早基于文件过滤驱动技术的文档透明加解密产品。SmartSec 以数据透明加解密为核心,通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。对受控格式的文档实现“写加密、读解密”控制。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
加密过的文件会有个小锁,软件是通过判断文件头实现的(亿赛通软件加密文件会先添加一个文件头)。
1. 禁止开机启动
可以通过360,魔方,家鸽小助手等工具实现,也可以手工在注册表中删除,开始->运行->regedit,然后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除亿赛通即可。
2.卸载
在已安装的电脑上重新安装需要先卸载软件,卸载需要输入验证码,所以可以采用清除注册表信息,让软件认为我们已经卸载了实现。具体实现方法,可以采用在开始->运行->regedit,查找“亿赛通”,然后全部删除。
3.破解
当我在开机启动时,只加载filelock模块时,可以通过系统信息-》软件环境-》加载的模块下看到filllock.dll出现。
此时文件不能解密,但是可以自动加密,所以可以判断出加密函数出自这里。通过查看 filelock .dll可以看到其中的加密函数。如下:
软件自带的filelock.dll是加壳的,需要先脱壳处理,才能进行正常的od,并修改。 点击下载脱壳后的filelock.dll 文件.
通过观察,可以看到2个系统函数被亿赛通挂钩。
1. 通过另存扩展名实现明文保存
此方法需要电脑安装亿赛通软件,因为亿赛通软件会对进程进行查看,如果此进程在它的列表中,就会自动解密,当保存文件时,会判断扩展名是否在列表中,如果是,就加密。我们可以利用这一点,打开文件另存为元扩展名后+1,因为不在列表中,所以明文保存,然后修改后缀名去掉1即可。
利用此方法,我们可以做个小软件,让它的进程名为列表中的,例如为notepad++,javaw,这些进程名都在软件自带的动态库中以包含,不会通过策略更新修改的。然后让软件遍历我们的目录,找到加密文件如果有加密的文件头,就另存,然后重命名。
2. 通过修改filllock.dll实现 明文保存
用od在filllock.dll中调试,遇到关键点,将它retn。
3. 通过调用filllock.dll实现解密
用od观察对应的加解密函数,找到传入的参数,及输出的参数,用自己的软件调用,即可实现加解密。
4.通过修改 CDGRegedit.exe解除限制功能
亿赛通软件登陆需要输入账号和密码,并且不时进行策略更新,更为严重的是限制了复制粘贴等功能,给工作带来了不便,所以可以通过爆破CDGRegedit.exe来达到免登陆,解除限制等。
用od单步执行,只要加载了filelock.dll等文件,可以实现解密即可,然后让它retn,即可爆破。
© 著作权归作者所有,未经允许《谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解》不得转载
相关文章
最新文章
热门文章
热门TAG
出轨 港交所 福报 搭错车 灰色 超模 苹果 巴西 性格 喝水 扒手 张锐 天然 手环 解析 耳机 姿势 金行貌 揭露 教官 返乡 荒野求生 诺基亚 谷歌 丘少梅 舌苔 配合 化石 师傅 大盘 文件 AKG 快速入睡 土行貌 toolbox3 平和 大招 英国 影响力 经络 ofo 周易 生活费 柴胡 河南 亮点 房东 万达 地铁 银饰 机械手 家庭 20170211 武志红 狮子 科学 炒股法 规则 收藏 方法 要账 中线 私企 源代码 THINKPAD 外网 三菱机械手 华泰证券 江苏有线 南方周末 巴菲特 痘痘 世界观 体内 营养表 单元 粉丝 王宝强 人类 禁止查看源代码 爸妈 五杀 前妻 在家 黑客 页面 扎心 女朋友 电机 伤寒杂病论 网站 水平 研究 马阳卫 地球 盗窃 首富 赵云 动物调戏美女 公司