針對被易賽通資料洩露防護客戶端加密的檔案的解密思路

由於工作上所接觸到的資料的特殊性 , 公司要求電腦

上必須加裝"易賽通資料洩露防護客戶端" , 導致很多常用格式的檔案都被加密了 , 檔案拷貝到未裝易賽通的電腦上開啟就是亂碼甚至像.xlsx .docx這樣的檔案甚至無法開啟 . 於是決定編寫乙個檔案解密的工具來實現將被加密的檔案還原為未加密的狀態 .

分析易賽通的主要程式結構:

主程序模組 : cdgregedit.exe(64位為cdgregedit64.exe) 負責程式的gui , 加密策略更新和使用者登入等位於esafenet/cobra docguard client

輔助程序: estvpn.exe(64位為estvpn64.exe) 負責守護主程序模組 , 提供主程序模組的保護和重啟位於esafenet/cobra docguard client

驅動 : filelock.sys 提供驅動層的資料加密

位於windows/system32/drivers

研究發現易賽通使用驅動對關鍵api進行hook的方式實現了檔案的加解密功能 , 加解密過程對應用層完全透明一般的應用層手段都無能為力了於是我想硬的不行就來軟的一計借刀殺人就實現了檔案解密的 , 下面是具體的實現思路

長期觀察發現易賽通只在特定的程序名建立和修改檔案時進行加密 , 總結出了如下加密規律 .

加密結果

程序名存在於加密程序列表中

程序名不存在於加密列表中

更改檔案存在於副檔名列表中

加密不加密

更改檔案不存在於副檔名列表中

不加密不加密

具體解釋一下 , 易賽通會維護兩個列表 , 乙個是程序名列表 , 乙個是程序名對應的副檔名列表

易賽通只在處於程序名列表內的程序名讀寫特定的副檔名時進行加解密舉個例子 notepad.exe程序在讀寫.txt檔案時會提供加解密服務 , 但在讀寫.abc的副檔名檔案時就不會提供加解密服務 , abc.exe程序在讀寫任何副檔名的檔案時都不會提供加解密服務 , 因為他不在程序名列表中 .

這樣一來就好辦了 , 既然是通過程序名判斷是否提供加解密服務 , 那麼使用以下流程就可以實現檔案的解密了

借刀殺人的具體實現流程 :

1. 將自己開發的程式的程序名改為程序列表內的程序名比如:winrar.exe

2. 使用該程式讀取已加密的檔案 , 此時易賽通會提供解密服務

3. 程式獲取到已解密的資料

後將資料儲存到檔案並將檔案的副檔名指定為不在副檔名列表中的副檔名比如: .temp

4. 使用另外乙個程式修改剛才儲存的檔案的擴充套件名為原先的程式副檔名

5. 解密完成

從流程看解密過程在第三部實際上就已經完成了 , 下面是具體demo的演示動畫(比較大 , 載入時間長)