|
前些日子在verycd上下载了几个ccna教学视频,下载完成后我的小红伞就报警了,原来是视频作者用了一个叫“EXE视频专用加密器”的软件给视频加了个壳。这个壳功有防盗版的功能,比如:它会自动关闭任务管理器,资源管理器,屏蔽复制,粘贴,剪贴版等,还可以自己定义屏蔽的程序来防止翻录视频。简单分析一下它的执行过程,执行加壳后的程序会出现一个提示框,要求输入授权码(我下的视频作者提供了授权码),这里直接输入正常的授权码后,程序会在C盘创建一个名为china-drm的目录,在这个目录中释放一个名为chinadrm.exe的文件并执行它,这个chinadrm.exe用delphi6编写,有一个FORM和一个TIMER组件,作用是上面提到的防翻录。然后程序将真正的视频文件解压到china-drm目录中的一个很深层的目录并命名为exeplay.exe,见下图,这里只要将这个exeplay.exe复制出来就可以了。 复制出来真正的视频的要用到的软件有Process Explorer,Wsyscheck 步骤:执行加壳的视频文件,输入授权,视频开始播放,按暂停,按ALT+TAB切到桌面,执行Process Explorer,找到chinadrm.exe后,右键点suspend,让进程挂起,然后右键点chinadrm.exe上面那个没有名字的进程,见下图,同样点suspend,作用就是让壳停止运行。最后执行wsyscheck.exe,点Explorer标签,进入C盘的china-drm目录,进入此目录中子目录(大概有12层),最会发会现一个名为exeplay.exe,这时右键点击后选择sendto—》Any Folder,然后在出现的对话框中选择要保存的目标目录,点OK!最后用Process Explorer把chinadrm.exe和它上面没有名字的进程KILL掉!注意这个文件是隐藏文件,复制出来看不到的话,就去文件夹选项中设置一下查看隐藏文件即可。 Process Explorer  Wsyscheck  chinadrm的加密软件有很多种类,所以上文中的方法不一定都适用。参见:提取china-drm加密的视频之二 1 打开被加密成exe的pdf。这个我是花钱买的电子书,所以能够打开。是一机一码模式。对于任意一个加密成exe的pdf,如何打开,是个问题。 这个exe,必须两次双击打开。为什么这样你们或许懂,我是外行。 打开后它会终止别的程序的运行,除了杀软。除了桌面,硬盘别处都不能访问。但是windows徽标键可以用,可以打开”开始“菜单。 2 尝试打开process explorer,打开不了。 3 关掉所有程序后打开火狐浏览器再看了下相关教程,然后打开了SnipeSword,在此情况下重新打开加密exe,惊奇地发现火狐还开着。我想或许是SnipeSword禁止了它关闭火狐。 4 用SnipeSword暂停(suspend,挂起)了教程中说的“chinadrm.exe上面那个没有名字的进程”。当然我这里暂停的两个进程名字都是我电子书的名字。 5 尝试用Wsyscheck寻找C盘下china-drm文件夹内的文件,没有pdf文件。转而到C:\Documents and Settings\administrator\LocalSettings\Temp下找到了两个名字类似Acr89D.tmp的文件,修改日期为今天,其一大小2MB左右,其二大小300多k,分析其一可能是释放出来的pdf。 用Wsyscheck复制、粘贴那个文件,提示不能打开剪贴板。 6 尝试用UnLocker来复制,无法复制。尝试打开XueTr,可能它也被SnipeSword禁止了,提示无法加载驱动。 7 准备用EasyRecovery Pro来复制,这时候在SnipeSword的“其他功能”里面发现了“磁盘文件管理”,打开后找到刚才的那2个Acr89D.tmp文件,分别复制,复制到一个路径中,保存为A.pdf和B.pdf。 8 退出SnipeSword,用Acrobat打开,A.pdf为电子书,B.pdf无法打开。电子书是用Acorbat加密过了的,这种加密和沒加密也沒区别。用Adult PDF Password Recovery破掉加密,得完整的pdf电子书。 不过用Advanced PDF Password Recovery无法破掉加密,提示Can't open file xxx error 1不知道为何。 基本上这些就是今天现学现卖的,纯粹菜鸟,写出详细过程以资其余菜鸟参考。破解过程主要参考本帖以及一位大侠博客上的3篇文章、2个视频 随意提取“EXE录像加密”中的录像文件 http://blog.sina.com.cn/s/blog_40983e5e0100h7pt.html chinadrm的PDF文件加密就是在骗钱 http://blog.sina.com.cn/s/blog_40983e5e0100hqnn.html 提取china-drm加密的视频之二 http://blog.sina.com.cn/s/blog_40983e5e0100ib5c.html
|
|
|
