針對被易賽通資料洩露防護客戶端加密的檔案的解密思路

2021-06-29 09:42:50 字數 1409 閱讀 7805

由於工作上所接觸到的資料的特殊性 , 公司要求電腦

上必須加裝"易賽通資料洩露防護客戶端" , 導致很多常用格式的檔案都被加密了 , 檔案拷貝到未裝易賽通的電腦上開啟就是亂碼甚至像.xlsx .docx這樣的檔案甚至無法開啟 . 於是決定編寫乙個檔案解密的工具來實現將被加密的檔案還原為未加密的狀態 .

分析易賽通的主要程式結構:

主程序模組 : cdgregedit.exe(64位為cdgregedit64.exe)  負責程式的gui , 加密策略更新和使用者登入等  位於esafenet/cobra docguard client

輔助程序: estvpn.exe(64位為estvpn64.exe)  負責守護主程序模組 , 提供主程序模組的保護和重啟  位於esafenet/cobra docguard client

驅動 : filelock.sys  提供驅動層的資料加密

位於windows/system32/drivers

研究發現易賽通使用驅動對關鍵api進行hook的方式實現了檔案的加解密功能 , 加解密過程對應用層完全透明  一般的應用層手段都無能為力了  於是我想硬的不行就來軟的  一計借刀殺人就實現了檔案解密的 , 下面是具體的實現思路

長期觀察發現易賽通只在特定的程序名建立和修改檔案時進行加密 , 總結出了如下加密規律 .

加密結果

程序名存在於加密程序列表中

程序名不存在於加密列表中

更改檔案存在於副檔名列表中

加密不加密

更改檔案不存在於副檔名列表中

不加密不加密

具體解釋一下 , 易賽通會維護兩個列表 , 乙個是程序名列表 , 乙個是程序名對應的副檔名列表

易賽通只在處於程序名列表內的程序名讀寫特定的副檔名時進行加解密 舉個例子  notepad.exe程序在讀寫.txt檔案時會提供加解密服務 , 但在讀寫.abc的副檔名檔案時就不會提供加解密服務 , abc.exe程序在讀寫任何副檔名的檔案時都不會提供加解密服務 , 因為他不在程序名列表中 .

這樣一來就好辦了 , 既然是通過程序名判斷是否提供加解密服務 , 那麼使用以下流程就可以實現檔案的解密了

借刀殺人的具體實現流程 :

1. 將自己開發的程式的程序名改為程序列表內的程序名   比如:winrar.exe

2. 使用該程式讀取已加密的檔案 , 此時易賽通會提供解密服務

3. 程式獲取到已解密的資料

後將資料儲存到檔案  並將檔案的副檔名指定為不在副檔名列表中的副檔名  比如: .temp

4. 使用另外乙個程式修改剛才儲存的檔案的擴充套件名為原先的程式副檔名

5. 解密完成

從流程看解密過程在第三部實際上就已經完成了 , 下面是具體demo的演示動畫(比較大 , 載入時間長)

CSDN回應資料庫被洩露 已向公安機關報案

針對黑客公開csdn 資料庫一事 發表宣告稱,該庫系2009年csdn作為備份所用,目前已向公安機關報案並向使用者致歉。今日有訊息稱,有黑客在網上公開了csdn 的使用者資料庫,600餘萬位使用者的註冊郵箱賬號和密碼洩露。csdn就此事發表宣告致歉。csdn創始人蔣濤也在微博向使用者道歉,並稱這是 ...

易觀方舟通過中國信通院大資料產品能力評測

今日,由中國資訊通訊研究院 中國通訊標準化協會 中國網際網路協會聯合主辦的 2019 資料資產管理大會在北京召開。大會匯集國內外知名機構的資料資產管理領軍專家,對政務 工業 金融等領域的資料資產管理問題展開深入 並頒發了 第九批大資料產品能力測評 證書。智慧型使用者資料中颱易觀方舟憑藉領先的技術突破...

萬豪酒店因資料庫洩露遭集體訴訟 被索賠125億美元

新浪科技訊 北京時間 12 月 1 日晚間訊息,萬豪國際酒店集團 marriott internatio近日因顧客資料庫洩pplxxdix露而遭遇集體訴訟,索賠金額高達 125 億美元。萬豪國際酒店上周五宣布,旗下喜達屋酒店 starwood hotel 的乙個顧客預訂資料庫被黑客入侵,可能有約 5...