PCHunter是一款知名的Windows系统底层工具,系统信息检测工具、手工杀毒工具、系统安全辅助工具。这款ARK工具有内核级驱动检测、内核对象劫持、Hook 、MBR Rootkit、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、应用层钩子、系统修复等功能。
对于我们安全人员来说,大部分情况下会使用它来找出系统里是否存在恶意的痕迹或者对已经被入侵的机器进行取证处置。
最近遇到两类银狐木马,因为发现存在自保护与隐藏手法,所以不得已需要使用这类工具来帮助快速分析找到原因。但因为好久没有进行取证分析的实践,所以当这几天第一次打开这个工具时发现被提示授权已过期,当前该工具无法正常使用。
首先遇到这个明显的问题,我会这样考虑:
1、网上有工具的最新版发布信息吗?如果有的话,我会去下载最新版的工具来使用,也许就能获取到还在授权时间内的该工具。
2、如果没有发布最新版的工具,那么有人提供其他方法解决了这个问题吗?如果有解决该问题的相关文章,我会按照文章内容去做本地实验,说不定也能解决这个问题。
3、如果以上两种情况都无法解决当前的工具使用问题,我会考虑基于当前需要使用该工具提供的特定功能去寻找是否有类似提供特定功能的工具来替代,而不是花费比较多的时间仅仅只是为了解决这个工具的正常使用问题。因为当前就是需要了解特定的银狐木马的自保护与隐藏手法的原因是什么,而不是为了正常使用工具而解决这个工具的正常使用问题。
在第一个步骤下,通过网上搜索发现该工具确实没有发布最新版,相关的版本依然还停留在几年前发布的版本。为了最后排除掉是因为自己搜索方法的不同而导致错过最新版的发布信息,于是找到了该工具背后相关的官方站点,官方站点网页内容提示404,说明该工具确实没有更新发布过最新版,于是该解决方法已失败。
第二个步骤是寻找有没有相关的文章来解决这个具体的工具使用授权过期的问题,通过搜索确实发现了一篇文章,通过仔细阅读该文章发现该文章的思路是通过逆向找到弹出对话框的来源逐一往前回溯找到工具核验授权时间的代码逻辑,之后研究完授权逻辑后,在本地实现补丁的思路,这种方式绕过了授权时间的限制。仔细阅读了相关代码发现并没有内嵌后门等操作,于是在本地搭建环境进行实验。
从参照文章来源:https://www.cnblogs.com/DirWang/p/16938073.html 获取到对应的Python脚本后,在本地设置对应的工具目录,然后执行,不过由于该脚本中存在加解密功能,需要安装特定的Python包才能正常执行,因此第一步需要提前安装好pycryptodome。
命令是pip.exe install pycryptodome -i https://mirrors.aliyun.com/pypi/simple/
之后是提供pchunter.ek的文件路径,然后执行成功后便能成功补丁对应的文件。
效果如下,该工具可以正常打开使用,相关的到期时间也因为上述的补丁过程进行了变化。
第三个步骤作为最后的手段没有被应用上,不过也可以作为思考如何解决特定问题时的通常思路。
参照文章来源:
https://www.cnblogs.com/DirWang/p/16938073.html
https://web.archive.org/web/20240517075059/https://www.cnblogs.com/DirWang/p/16938073.html