zhutijiang 最近的时间轴更新
zhutijiang

zhutijiang

V2EX 第 546169 号会员,加入于 2021-05-24 16:52:01 +08:00
zhutijiang 最近回复了
@x1aoYao 只有 office 才自动解密,我猜测很有可能只是简单的匹配了下进程路径和进程名,你可以自己写个程序放到 office 程序路径下改个名,应该就能骗过了
而且就算按照你的思路,那也不是内存 dump,你只要用最原始的读取文件的方式,比如 open/read 把你需要的任何文件原封不动读进内存,那么在此过程中,驱动会给你自动解密,之后怎么做就随你便了,为啥非要局限于用 word/excel 打开,然后 dump 内存呢??
你们这个思路都错了呀。。。。既然是磁盘驱动自动加解密,你就算 dump 出来,存到磁盘里的过程又被自动加密了,所以要想传出来明文,就不能经过磁盘这个步骤。由于读到内存时自动解密,所以直接通过联网,用邮件附件发送之类的就好了呀。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   970 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 21:11 · PVG 05:11 · LAX 13:11 · JFK 16:11
Developed with CodeLauncher
♥ Do have faith in what you're doing.