处理一起RAR被伪装成EXE并被加密

会员199932

                               
登录/注册后看高清大图

想想应该是某个文件被上锁，是EXE ？是文档？是图片？还是其他什么文件？？客户送来时没怎么说，最后我询问有没印象他说应该是图片或RAR文件。
OK知道这些就有思路了，上锁软件只是在文件前面加了一段自己的代码，代码后面就是真正的文件，搜索文件头图片没找到，然后搜索RAR文件头 如下图：

                               
登录/注册后看高清大图

找到了以个rar文件头 把它整个复制成新的文件， 数据提取ok

会员12031

这个很稀奇，很好
但我没看明白

会员185592

我理解是当做rar文件，搜索rar文件头，然后保存后面的全部内容就恢复了原来的文件了

会员200410

原来如此，学习了

When windows gives you an error message saying that it
"Cannot open RAR files", this means either:

A. You need to identify a program that can open the file
B. Or your registry may be damaged

Identifying characters Hex: 52 61 72 21 1A 07 00 , ASCII: Rar!

只要在这个加锁程序改过的rar文件里头，找出上面16进制的函数，就可以确认是 winrar 文件，从它的offset开始复制到最尾，制成一个新的rar文件，就可以破解这个上锁软件。
想知道如果rar文件本身被加过密，用上面的方法只是卸掉上锁软件，恢复出来的rar文件始终还是加密的喽?

会员139645

还是有点不明白  在搜索对框输入什么？是RAR吗

会员200410

还是有点不明白  在搜索对框输入什么？是RAR吗
错没爱你 发表于 2010-3-16 10:44

                               
登录/注册后看高清大图

用 hex 搜索的的话就是： 52 61 72 21 1A 07 00
用 ASCII搜索的话就是: Rar!

注: 用 ascii 搜索时， 1A 07 00 是显示不出的，所以只能搜索 Rar! 要注意大小写之分。
hex(52) = ascii(R)
hex(61) = ascii(a)
hex(72) = ascii(r)
hex(21) = ascii(!)