透明加解密企业电子文档安全保护技术术语意思为,在保护过程中,相对用户终端 是透明的、不改变用户习惯的一种文档加密技术。

亿赛通文档透明加密系统简称: SmartSec ),是亿赛通文档安全管理系统的核心组件之一,也是国内最早基于文件过滤驱动技术的文档透明加解密产品。SmartSec 以数据透明加解密为核心,通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。对受控格式的文档实现“写加密、读解密”控制。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。

加密过的文件会有个小锁,软件是通过判断文件头实现的(亿赛通软件加密文件会先添加一个文件头)。

1. 禁止开机启动

可以通过360,魔方,家鸽小助手等工具实现,也可以手工在注册表中删除,开始->运行->regedit,然后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除亿赛通即可。

2.卸载

在已安装的电脑上重新安装需要先卸载软件,卸载需要输入验证码,所以可以采用清除注册表信息,让软件认为我们已经卸载了实现。具体实现方法,可以采用在开始->运行->regedit,查找“亿赛通”,然后全部删除。

3.破解

当我在开机启动时,只加载filelock模块时,可以通过系统信息-》软件环境-》加载的模块下看到filllock.dll出现。

此时文件不能解密,但是可以自动加密,所以可以判断出加密函数出自这里。通过查看 filelock .dll可以看到其中的加密函数。如下:

软件自带的filelock.dll是加壳的,需要先脱壳处理,才能进行正常的od,并修改。 点击下载脱壳后的filelock.dll 文件.

通过观察,可以看到2个系统函数被亿赛通挂钩。

1. 通过另存扩展名实现明文保存


此方法需要电脑安装亿赛通软件,因为亿赛通软件会对进程进行查看,如果此进程在它的列表中,就会自动解密,当保存文件时,会判断扩展名是否在列表中,如果是,就加密。我们可以利用这一点,打开文件另存为元扩展名后+1,因为不在列表中,所以明文保存,然后修改后缀名去掉1即可。


利用此方法,我们可以做个小软件,让它的进程名为列表中的,例如为notepad++,javaw,这些进程名都在软件自带的动态库中以包含,不会通过策略更新修改的。然后让软件遍历我们的目录,找到加密文件如果有加密的文件头,就另存,然后重命名。

2. 通过修改filllock.dll实现 明文保存

用od在filllock.dll中调试,遇到关键点,将它retn。

3. 通过调用filllock.dll实现解密

用od观察对应的加解密函数,找到传入的参数,及输出的参数,用自己的软件调用,即可实现加解密。

4.通过修改 CDGRegedit.exe解除限制功能

亿赛通软件登陆需要输入账号和密码,并且不时进行策略更新,更为严重的是限制了复制粘贴等功能,给工作带来了不便,所以可以通过爆破CDGRegedit.exe来达到免登陆,解除限制等。

用od单步执行,只要加载了filelock.dll等文件,可以实现解密即可,然后让它retn,即可爆破。


© 著作权归作者所有,未经允许《谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解》不得转载

相关文章

最新文章

热门文章

热门TAG