透明加解密是企业电子文档安全保护技术的术语,意思为,在保护过程中,相对用户终端 是透明的、不改变用户习惯的一种文档加密技术。
亿赛通文档透明加密系统(简称: SmartSec ),是亿赛通文档安全管理系统的核心组件之一,也是国内最早基于文件过滤驱动技术的文档透明加解密产品。SmartSec 以数据透明加解密为核心,通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。对受控格式的文档实现“写加密、读解密”控制。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
加密过的文件会有个小锁,软件是通过判断文件头实现的(亿赛通软件加密文件会先添加一个文件头)。
可以通过360,魔方,家鸽小助手等工具实现,也可以手工在注册表中删除,开始->运行->regedit,然后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除亿赛通即可。
在已安装的电脑上重新安装需要先卸载软件,卸载需要输入验证码,所以可以采用清除注册表信息,让软件认为我们已经卸载了实现。具体实现方法,可以采用在开始->运行->regedit,查找“亿赛通”,然后全部删除。
当我在开机启动时,只加载filelock模块时,可以通过系统信息-》软件环境-》加载的模块下看到filllock.dll出现。
此时文件不能解密,但是可以自动加密,所以可以判断出加密函数出自这里。通过查看 filelock .dll可以看到其中的加密函数。如下:
软件自带的filelock.dll是加壳的,需要先脱壳处理,才能进行正常的od,并修改。 点击下载脱壳后的filelock.dll 文件.
通过观察,可以看到2个系统函数被亿赛通挂钩。
1. 通过另存扩展名实现明文保存
此方法需要电脑安装亿赛通软件,因为亿赛通软件会对进程进行查看,如果此进程在它的列表中,就会自动解密,当保存文件时,会判断扩展名是否在列表中,如果是,就加密。我们可以利用这一点,打开文件另存为元扩展名后+1,因为不在列表中,所以明文保存,然后修改后缀名去掉1即可。
利用此方法,我们可以做个小软件,让它的进程名为列表中的,例如为notepad++,javaw,这些进程名都在软件自带的动态库中以包含,不会通过策略更新修改的。然后让软件遍历我们的目录,找到加密文件如果有加密的文件头,就另存,然后重命名。
2. 通过修改filllock.dll实现 明文保存
用od在filllock.dll中调试,遇到关键点,将它retn。
3. 通过调用filllock.dll实现解密
用od观察对应的加解密函数,找到传入的参数,及输出的参数,用自己的软件调用,即可实现加解密。
4.通过修改 CDGRegedit.exe解除限制功能
亿赛通软件登陆需要输入账号和密码,并且不时进行策略更新,更为严重的是限制了复制粘贴等功能,给工作带来了不便,所以可以通过爆破CDGRegedit.exe来达到免登陆,解除限制等。
用od单步执行,只要加载了filelock.dll等文件,可以实现解密即可,然后让它retn,即可爆破。
© 著作权归作者所有,未经允许《谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解》不得转载
相关文章
最新文章
热门文章
热门TAG
宏图高科 600122 董事会 会议 公告 20160616 武汉 新洲 暴雨 凤凰镇 同事聚会 财经 职场 快乐股手 张重 图片 快乐 幸福 腹肌 微博 教官 视频 上海 谦逊 平和 创新 进取 读书 家庭 教育 企业 房地产 华泰证券 分析师 美女 薛蓓蓓 在家 马云 阿里巴巴 打牌 公司 老总 地主 搭档 人生 朋友 菲律宾 追涨 割肉 作死 美国人 年轻人 台湾 黄崇 深圳 微信 二维码 已婚 同学 妻子 聚会 结果 日线 周线 月线 感情线 这就是我 单身 单身狗 春雨医生 APP 创始人 张锐 CEO 移动医疗 鸡内金 化石 良药 柴胡桂枝干姜汤 医案 柴胡 桂枝 干姜 解酒 方法 什么 动圈 动铁 单元 区别 比尔盖茨 代码 水平 BAT 程序员 网友 神回复 潘金莲 王健林 收费