迅维网

标题: 处理一起RAR被伪装成EXE并被加密 [打印本页]

作者: 逍遥王子258 时间: 2010-3-14 20:45
标题: 处理一起RAR被伪装成EXE并被加密

想想应该是某个文件被上锁，是EXE ？是文档？是图片？还是其他什么文件？？客户送来时没怎么说，最后我询问有没印象他说应该是图片或RAR文件。
OK知道这些就有思路了，上锁软件只是在文件前面加了一段自己的代码，代码后面就是真正的文件，搜索文件头图片没找到，然后搜索RAR文件头如下图：

找到了以个rar文件头把它整个复制成新的文件，数据提取ok

作者: 兄弟电脑电器 时间: 2010-3-14 20:53
这个很稀奇，很好
但我没看明白

作者: 石头第七领域 时间: 2010-3-14 23:01
我理解是当做rar文件，搜索rar文件头，然后保存后面的全部内容就恢复了原来的文件了

作者: OSmboard 时间: 2010-3-16 06:57
原来如此，学习了

When windows gives you an error message saying that it
"Cannot open RAR files", this means either:

A. You need to identify a program that can open the file
B. Or your registry may be damaged

Identifying characters Hex: 52 61 72 21 1A 07 00 , ASCII: Rar!

只要在这个加锁程序改过的rar文件里头，找出上面16进制的函数，就可以确认是 winrar 文件，从它的offset开始复制到最尾，制成一个新的rar文件，就可以破解这个上锁软件。
想知道如果rar文件本身被加过密，用上面的方法只是卸掉上锁软件，恢复出来的rar文件始终还是加密的喽?

作者: 错没爱你 时间: 2010-3-16 10:44
还是有点不明白在搜索对框输入什么？是RAR吗

作者: OSmboard 时间: 2010-3-16 16:45
本帖最后由 OSmboard 于 2010-3-16 16:48 编辑

还是有点不明白在搜索对框输入什么？是RAR吗
错没爱你发表于 2010-3-16 10:44

登录/注册后看高清大图

用 hex 搜索的的话就是： 52 61 72 21 1A 07 00
用 ASCII搜索的话就是: Rar!

注: 用 ascii 搜索时， 1A 07 00 是显示不出的，所以只能搜索 Rar! 要注意大小写之分。
hex(52) = ascii(R)
hex(61) = ascii(a)
hex(72) = ascii(r)
hex(21) = ascii(!)

欢迎光临迅维网 (https://www.chinafix.com/)