V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  zhutijiang  ›  全部回复第 1 页 / 共 1 页
回复总数  3
@x1aoYao 只有 office 才自动解密,我猜测很有可能只是简单的匹配了下进程路径和进程名,你可以自己写个程序放到 office 程序路径下改个名,应该就能骗过了
而且就算按照你的思路,那也不是内存 dump,你只要用最原始的读取文件的方式,比如 open/read 把你需要的任何文件原封不动读进内存,那么在此过程中,驱动会给你自动解密,之后怎么做就随你便了,为啥非要局限于用 word/excel 打开,然后 dump 内存呢??
你们这个思路都错了呀。。。。既然是磁盘驱动自动加解密,你就算 dump 出来,存到磁盘里的过程又被自动加密了,所以要想传出来明文,就不能经过磁盘这个步骤。由于读到内存时自动解密,所以直接通过联网,用邮件附件发送之类的就好了呀。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2399 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 16:06 · PVG 00:06 · LAX 08:06 · JFK 11:06
Developed with CodeLauncher
♥ Do have faith in what you're doing.