御坂的高中同学 Schwoel Lue 今天来找御坂,说有一套题库是 exe 封装过的 pdf,只能看,无法复制出来。他发来了自动生成的机器码和供应商以此发出的密码,但在御坂的电脑上机器码不同,仍然无法打开。
御坂先是用 Process Explorer 导出了一个 dump,再用 /bin/strings
命令查看,发现其中有 china-drm.ini
字样。故上网搜索破解方法。
找到教程之后,御坂照着用 OllyDbg 打开,却根本找不到字符串 -00000000
。
后来怀疑到可能是加壳了,但御坂怎么可能会脱壳啊!
御坂就在硬盘里找文件,当然是一无所获——但却发现了一个只有两个 ini 的 C:\china-drm
文件夹。回想第一次运行弹出的对话框,御坂决定删除这个文件夹试试。
删掉这个文件夹,安装 Adobe Reader 的对话框会再次弹出,此时在 OllyDbg 中点暂停,再按照上述教程的步骤操作,即可修改机器码。
改掉机器码之后输入密码,文件可以在程序中打开,却不能复制。这时可以用 Shadow Copy 将看着差不多的临时文件 C:/Users/username/AppData/Local/Temp/随机字符串.tmp
复制出来,修改扩展名为 pdf 就可以了。事实上,在他的电脑上,就算不执行上述的操作,直接用 Shadow Copy 也可以导出 PDF……