无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 361|回复: 12
打印 上一主题 下一主题

[教程] 关于部分CMPA解密工具Cmpa_Decryptor无法解密的ini的解决办法

  [复制链接]
跳转到指定楼层
1#
发表于 昨天 22:09 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 nianyueriPE 于 2024-11-16 23:07 编辑

如题,下载了http://wuyou.net/forum.php?mod=viewthread&tid=440927的工具,却发现http://wuyou.net/forum.php?mod=v ... 72396&page=1&extra=http://wuyou.net/forum.php?mod=viewthread&tid=373688的pecmd.ini不是只能解出一部分,就是一片空白。由于这个工具本质是挂钩pecmd函数,于是我用od调试找到了破解方法。
示例文件:https://nianyueripe.lanzoub.com/iFIFH2f9fbud
请使用我提供的已脱upx壳解密工具:https://nianyueripe.lanzoub.com/iUb4e2f8y7pc密码52pojie.cn
1、解密出来的文件,大小不对解密不全

2、用od打开,设置参数

3、下messageboxwapi断点,F9运行

4、进入暂停状态

5、找ECX寄存器,跳转到数据窗口,dump数据

6、复制二进制,用winhex保存

7、用notepad设置字符编码打开,这里用utf-16,防止中文乱码,然后删除多余部分


总结:有一部分ini文件无法直接解密,可以用od运行Cmpa_Decryptor.exe,参数为ini文件,给messageboxwapi下断点,到了时候寄存器ECX转到数据窗口dump二进制数据,用UTF-16或根据实际情况打开





评分

参与人数 1无忧币 +5 收起 理由
wintoflash + 5 很给力!

查看全部评分

2#
 楼主| 发表于 昨天 22:24 | 只看该作者
无法解密原因估计是编码不对,工具自带的dump工具识别失败
回复

使用道具 举报

3#
 楼主| 发表于 昨天 22:31 | 只看该作者
目前看了一下,就连几个正常ini文件也有部分缺漏,我建议最好不用自带的dump工具,直接自己dump比较安全
回复

使用道具 举报

4#
发表于 昨天 22:34 | 只看该作者
感谢分享
回复

使用道具 举报

5#
发表于 昨天 22:58 | 只看该作者
谢谢分享,学习一下
回复

使用道具 举报

6#
发表于 昨天 23:05 | 只看该作者
你上传的压缩包要密码

点评

不好意思忘了,密码52pojie.cn  详情 回复 发表于 昨天 23:07
回复

使用道具 举报

7#
 楼主| 发表于 昨天 23:07 | 只看该作者
zhangze 发表于 2024-11-16 23:05
你上传的压缩包要密码

不好意思忘了,密码52pojie.cn
回复

使用道具 举报

8#
发表于 10 小时前 来自手机 | 只看该作者
我有发部全破解版不存在这问题。原因是配置中带空格和/解不了。用我的试试

点评

刚才分析了下你的工具,你的工具的核心cmpa.exe确实是你自己的,不是棒子的工具,你是不是把加密算法也分析了出来?解出来确实都是完整的。  详情 回复 发表于 3 小时前
我测试的其他ini文件,配置中带空格和/的也一样可解,估计是有的ini文件比较特殊  详情 回复 发表于 4 小时前
回复

使用道具 举报

9#
发表于 7 小时前 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

10#
 楼主| 发表于 4 小时前 | 只看该作者
syl123456 发表于 2024-11-17 06:31
我有发部全破解版不存在这问题。原因是配置中带空格和/解不了。用我的试试

我测试的其他ini文件,配置中带空格和/的也一样可解,估计是有的ini文件比较特殊
回复

使用道具 举报

11#
发表于 4 小时前 | 只看该作者

谢谢分享
回复

使用道具 举报

12#
发表于 2 小时前 | 只看该作者
谢谢分享
回复

使用道具 举报

13#
发表于 21 分钟前 | 只看该作者
很给力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-17 16:35

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表