谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解
2017-04-21 17:00:56 返回首页透明加解密是企业电子文档安全保护技术的术语,意思为,在保护过程中,相对用户终端 是透明的、不改变用户习惯的一种文档加密技术。
亿赛通文档透明加密系统(简称: SmartSec ),是亿赛通文档安全管理系统的核心组件之一,也是国内最早基于文件过滤驱动技术的文档透明加解密产品。SmartSec 以数据透明加解密为核心,通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。对受控格式的文档实现“写加密、读解密”控制。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
加密过的文件会有个小锁,软件是通过判断文件头实现的(亿赛通软件加密文件会先添加一个文件头)。
1. 禁止开机启动
可以通过360,魔方,家鸽小助手等工具实现,也可以手工在注册表中删除,开始->运行->regedit,然后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除亿赛通即可。
2.卸载
在已安装的电脑上重新安装需要先卸载软件,卸载需要输入验证码,所以可以采用清除注册表信息,让软件认为我们已经卸载了实现。具体实现方法,可以采用在开始->运行->regedit,查找“亿赛通”,然后全部删除。
3.破解
当我在开机启动时,只加载filelock模块时,可以通过系统信息-》软件环境-》加载的模块下看到filllock.dll出现。
此时文件不能解密,但是可以自动加密,所以可以判断出加密函数出自这里。通过查看 filelock .dll可以看到其中的加密函数。如下:
软件自带的filelock.dll是加壳的,需要先脱壳处理,才能进行正常的od,并修改。 点击下载脱壳后的filelock.dll 文件.
通过观察,可以看到2个系统函数被亿赛通挂钩。
1. 通过另存扩展名实现明文保存
此方法需要电脑安装亿赛通软件,因为亿赛通软件会对进程进行查看,如果此进程在它的列表中,就会自动解密,当保存文件时,会判断扩展名是否在列表中,如果是,就加密。我们可以利用这一点,打开文件另存为元扩展名后+1,因为不在列表中,所以明文保存,然后修改后缀名去掉1即可。
利用此方法,我们可以做个小软件,让它的进程名为列表中的,例如为notepad++,javaw,这些进程名都在软件自带的动态库中以包含,不会通过策略更新修改的。然后让软件遍历我们的目录,找到加密文件如果有加密的文件头,就另存,然后重命名。
2. 通过修改filllock.dll实现 明文保存
用od在filllock.dll中调试,遇到关键点,将它retn。
3. 通过调用filllock.dll实现解密
用od观察对应的加解密函数,找到传入的参数,及输出的参数,用自己的软件调用,即可实现加解密。
4.通过修改 CDGRegedit.exe解除限制功能
亿赛通软件登陆需要输入账号和密码,并且不时进行策略更新,更为严重的是限制了复制粘贴等功能,给工作带来了不便,所以可以通过爆破CDGRegedit.exe来达到免登陆,解除限制等。
用od单步执行,只要加载了filelock.dll等文件,可以实现解密即可,然后让它retn,即可爆破。
© 著作权归作者所有,未经允许《谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解》不得转载
相关文章
最新文章
热门文章
热门TAG
这就是我 FQC 股市 漏洞 制度 毒鸡蛋 调用 结构 张重 沉睡 修图 中国特种兵 语言 颜值 KingRoot 舵机 APP 福利 系统 经济 蛀牙 进口 骨相学 肮脏 腹肌 博士 董永 note7 AlphaGo 人品 刷牙 枪劫匪 移动医疗 虎牙 小米手环 360 森海塞尔 单车 水行貌 toolbox 上海 回家 模仿 跳水 疏通 共享单车 周易本义 家暴 柴胡桂枝干姜汤 祖师爷 西游 摄像头 万达电影 睡眠 玉石 指南 进取 江苏 黄祖宏 编码器 刮痧 飚车 传送 人体 干姜 欠条 Cherie 陆可安 李晓青 集水井 wampserver toolbox2 企业 股票 母亲 老大 经验 生命 巴掌 药补 动圈 霍建华 乾坤K线 白领 禁止复制 快捷键 wamp 时代 美女 女人 file_get_contents 查干湖 直播 万科 医圣 64bit 比尔盖茨 婚姻 马蓉父亲 物理