一个阅读器的加密文件,我解开之后好像是PDF,但怎么也打不开,不知道佬们有没有办法
4d9e45ca-dbc1-4c4d-811f-d3a7d7750ff6.pdf (66.8 KB)
27 Likes
可能真的不是标准的pdf 
3 Likes
有那个阅读器的样本嘛,看你都贴了010editor,想必是懂逆向的。先看看它有没有用任何的开源pdf解析库,或者任何看起来像是打开pdf的地方,再hook几个win api读写文件的,一般就可以定位到它是如何操作文件映像把它改成标准pdf的。一般都会复用某种pdf库,不然排版什么的全自己实现太不合理了。
4 Likes
看起有的确很头疼,如果你确定这里面的确有某部分进行了“解密”操作,那其实是可以用node补环境把这wasm封装起来当黑箱调用的。如果过实在找不到,那就也可以尝试一下逆页面上的js,大概率也是用PDF.js什么的魔改的,尝试从js这边突破吧。
1 Like
可能两边都改过,页面展示用的也不一定就是原版的库(比如PDF.js什么的)如果是个开源库的话,用chrome的本地替换换成同版本的开源版,如果也能展示那就是解密解错了,如果不能那就复杂了(既有可能是没完全解对 也有可能是用的页面展示的库也被改过)
现在看起来是你AES解开了(毕竟010editor模板都跑通一大半了),但是后面这个解开后的就直接给了页面展示用的库吗,中间有没有什么针对某一部分xor什么的简单加密(没完全解对的情况)。
不然那就应该是展示用的库被改过了,还得研究,不过看那wasm一堆的情况,还真是头疼(顿时没了研究兴趣)。
但能看出用的mupdf
https://linux.do/t/topic/481383
网站就是这个帖子里面的HyRead
真难搞啊 之后有机会了研究一下(加入咕咕咕待办列表)
安娜的档案上有吗,论坛里有人共享了高速key
里面全是正版书,新出的也有
虽然全是繁体的,但解开来转一下估计可以
1 Like
安娜的档案上新出的很多也没有
1 Like
是不是还原 pdf 文件还有问题啊。如果没问题就是出现在 wasm 层有特殊处理了。
1 Like
主要问题是从010上看起来很正常
看上去是挺正常的,但是解析规则有点改变没有对应的pdf加载程序还是会出现无法正确识别从而导致错误。
所以现在需要大佬逆向wasm啊
之前研究过hyread安卓端针对epub文件的处理,有DRM加密。下载book的时候会从服务器申请一个针对设备的、使用设备证书加密后的密钥,对密钥解密后会得到一个AES/ECB加密key,对book解密后就是原文件了。可能对于pdf也是相同加密方式,总体来讲会有点复杂,可以尝试直接hook最后的AES加密key
佬方便把原始pdf发下吗?这也有可能是解密的时候出的问题呢