谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解
2017-04-21 17:00:56 返回首页透明加解密是企业电子文档安全保护技术的术语,意思为,在保护过程中,相对用户终端 是透明的、不改变用户习惯的一种文档加密技术。
亿赛通文档透明加密系统(简称: SmartSec ),是亿赛通文档安全管理系统的核心组件之一,也是国内最早基于文件过滤驱动技术的文档透明加解密产品。SmartSec 以数据透明加解密为核心,通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。对受控格式的文档实现“写加密、读解密”控制。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
加密过的文件会有个小锁,软件是通过判断文件头实现的(亿赛通软件加密文件会先添加一个文件头)。
1. 禁止开机启动
可以通过360,魔方,家鸽小助手等工具实现,也可以手工在注册表中删除,开始->运行->regedit,然后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除亿赛通即可。
2.卸载
在已安装的电脑上重新安装需要先卸载软件,卸载需要输入验证码,所以可以采用清除注册表信息,让软件认为我们已经卸载了实现。具体实现方法,可以采用在开始->运行->regedit,查找“亿赛通”,然后全部删除。
3.破解
当我在开机启动时,只加载filelock模块时,可以通过系统信息-》软件环境-》加载的模块下看到filllock.dll出现。
此时文件不能解密,但是可以自动加密,所以可以判断出加密函数出自这里。通过查看 filelock .dll可以看到其中的加密函数。如下:
软件自带的filelock.dll是加壳的,需要先脱壳处理,才能进行正常的od,并修改。 点击下载脱壳后的filelock.dll 文件.
通过观察,可以看到2个系统函数被亿赛通挂钩。
1. 通过另存扩展名实现明文保存
此方法需要电脑安装亿赛通软件,因为亿赛通软件会对进程进行查看,如果此进程在它的列表中,就会自动解密,当保存文件时,会判断扩展名是否在列表中,如果是,就加密。我们可以利用这一点,打开文件另存为元扩展名后+1,因为不在列表中,所以明文保存,然后修改后缀名去掉1即可。
利用此方法,我们可以做个小软件,让它的进程名为列表中的,例如为notepad++,javaw,这些进程名都在软件自带的动态库中以包含,不会通过策略更新修改的。然后让软件遍历我们的目录,找到加密文件如果有加密的文件头,就另存,然后重命名。
2. 通过修改filllock.dll实现 明文保存
用od在filllock.dll中调试,遇到关键点,将它retn。
3. 通过调用filllock.dll实现解密
用od观察对应的加解密函数,找到传入的参数,及输出的参数,用自己的软件调用,即可实现加解密。
4.通过修改 CDGRegedit.exe解除限制功能
亿赛通软件登陆需要输入账号和密码,并且不时进行策略更新,更为严重的是限制了复制粘贴等功能,给工作带来了不便,所以可以通过爆破CDGRegedit.exe来达到免登陆,解除限制等。
用od单步执行,只要加载了filelock.dll等文件,可以实现解密即可,然后让它retn,即可爆破。
© 著作权归作者所有,未经允许《谈谈亿赛通的那些事,被亿赛通文档安全管理系统加密的文件如何破解》不得转载
相关文章
最新文章
热门文章
热门TAG
QC 汽车 NSA 教育制度 食疗法 标签 银行 财经 道指 冰淇凌 smart AVR 妹子 解释 数字舵机 单身 OQC 安全管理 补丁 龋齿 鸡蛋 列表 IP 图片 意思 技术 狙击手 教学 才华 拔牙 数字 创始人 女仆装 小米 发育 挂号费 中药 骨骼清奇 市场 微博 春节 宁采臣 华为 柯洁 1272战法骗局 刮舌苔 完美 鸡内金 徒弟 股灾 病毒 拜亚动力 睡眠专家 火形貌 视频教程 谦逊 黄忠 贝爷 证明 拍痧 男孩 朱熹 老公 医案 炒股 西游记 空调 停牌 专家 佩戴 三菱 读书 荐股之王 刺死辱母者 光电 刮痧后可以洗热水澡吗 密码 技能 必须氨基酸 解酒 行医 介绍 宋雅宁 002739 乘客 配置 操作指南 房地产 600959 还债 动物 闲聊 瓦尔登湖 爱情 食补 动铁 二婚 战法 霍金 查看源代码