针对被易赛通数据泄露防护客户端加密的文件的解密思路借鉴.pdfVIP

针对被易赛通数据泄露防护客户端加密 的文件的解密思路 由于工作上所接触到的数据的特殊性 , 公司要求电脑上必须加装 易赛通数据 泄露防护客户端 , 导致很多常用格式的文件都被加密了 , 文件拷贝到未装易 赛通的电脑上打开就是乱码甚至像 .xlsx .docx 这样的文件甚至无法打开 . 于 是决定编写一个文件解密的工具来实现将被加密的文件还原为未加密的状态 . 分析易赛通的主要程序结构 : 主进程模块 : CDGRegedit.exe(64 位为 CDGRegedit64.exe) 负责程序的 GUI , 加密策略更新和用户登录等 位于 EsafeNet/Cobra DocGuard Client 辅助进程 : EstVPN.exe(64 位为 EstVPN64.exe) 负责守护主进程模块 , 提供主 进程模块的保护和重启 位于 EsafeNet/Cobra DocGuard Client 驱动 : Filelock.sys 提供驱动层的数据加密 位于 Windows/System32/drivers 研究发现易赛通使用驱动对关键 API 进行 Hook 的方式实现了文件的加解密功 能 , 加解密过程对应用层完全透明 一般的应用层手段都无能为力了 于是我 想硬的不行就来软的 一计借刀杀人就实现了文件解密的 , 下面是具体的实现 思路 长期观察发现易赛通只在特定的进程名创建和修改文件时进行加密 , 总结出了 如下加密规律 . 进程名存在于加密进程列表 进程名不存在于加密列表 加密结果 中 中 更改文件存在于扩展名列表中 加密 不加密 更改文件不存在于扩展名列表 不加密 不加密 中 具体解释一下 , 易赛通会维护两个列表 , 一个是进程名列表 , 一个是进程名 对应的扩展名列表 易 赛通只在处于进程名列表内的进程名读写特定的扩展名时进行加解密 举个 例子 notepad.exe 进程在读写 .txt 文件时会提供加解密服务 , 但在读写 .abc 的扩展名文件时就不会提供加解密服务 , abc.exe 进程在读写任何扩展名的文 件时都不会提供加解密服务 , 因为他不在进程名列表中 . 这样一来就好办了 , 既然是通过进程名判断是否提供加解密服务 , 那么使用 以下流程就可以实现文件的解密了 借刀杀人的具体实现流程 : 1. 将自己开发的程序的进程名改为进程列表内的进程名 比如:winrar.exe 2. 使用该程序读取已加密的文件 , 此时易赛通会提供解密服务 3. 程序获取到已解密的数据后将数据保存到文件 并将文件的扩展名指定为不 在扩展名列表中的扩展名 比如: .temp 4. 使