首页
论坛
专栏
课程

也谈用可执行文件方式加密FLASH文件的解密方法

2005-6-13 12:04 7074

也谈用可执行文件方式加密FLASH文件的解密方法

nig
4
2005-6-13 12:04
7074
也谈用可执行文件方式加密FLASH文件的解密方法

工具:OD  Lordpe 16进制编辑器
程序:多彩的夏天.exe
目的:从EXE文件中导出SWF,之后可以进行反编及修改操作
说明:为了研究需要而处理的。不敬之处请您谅解。

1、OD导入程序。
  停在这里
004B556B > $ 6A 60           PUSH 60
004B556D   . 68 30805300     PUSH 多彩夏天.00538030
004B5572   . E8 E9EBFFFF     CALL 多彩夏天.004B4160
004B5577   . BF 94000000     MOV EDI,94
004B557C   . 8BC7            MOV EAX,EDI
004B557E   . E8 CD95FFFF     CALL 多彩夏天.004AEB50

2、执行程序,之后可以看到程序运行的界面。以及播放的FLASH动画。
注意:此程序不是用Flash播放器生成的EXE文件,所以不能用网上的一些去头的方法进行处理。
到OD中。

ALT+M显示内存列表。

选一些比较大的内存块,鼠标右键,在CPU中进行转存,这样在数据区时可以看到内存块的内容了,
进行 二进制的搜索Flash文件的头 FWS 字符,如果你找到了,可以看一下,这一块内容离块的头并不远,
实际上不用找也能看到的。

01DF0000  50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00  P._ P._ ........
01DF0010  00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00  .`'..`'.  .....
01DF0020  46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70  FWS 钭'.x.?. p
01DF0030  00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00  ... .C ?D ...
01DF0040  3F 03 02 00 00 00 07 00 BF 05 76 2D 00 00 01 00  ?  ....?v-.. .

大约在块头的20H开始,简单说一下Flash头的格式:
01DF0020  46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70  FWS 钭'.x.?. p
           ====== -- =========
           标示   版本  长度
长度内容一会要用的。当前文件的长度是2757EEH字节长,1DF0020+2757EE=1E6580E 说明我们的Flash到此位置

3、上lordpe,在path中选中程序的名称列表。
  鼠标右键  dump region  汉语是  脱壳部分区域。
在列表中选中我们刚才的内存块了。
右键 dump,保存文件AA.SWF。
4、用16进制编辑器打开生成的文件AA.SWF,去掉头20H字节, 之后到2257EEH处,删除后面的字节。
之后SWF文件就可以看到了,用播放器可以看。用AVS可以反编。

5、总结
现在网上的Flash的文件加密方法很多,但常是能被反编译,之后改文件,改底稿,改图片,为了保护作者的权力,可谓保护起来不遗余力了。
这种保护方法是用VC编程,之后在程序中调用播放Flash的控件,再调用Flash文件进行播放。因为数据是被压缩的,不能直接dump出来的。

多年不写东西,都快不会打字了。
    Nig  2005.06.13

[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (12)
clide2000 7 2005-6-13 15:12
2
0
8错,支持一下
liyangsj 25 2005-6-14 07:21
3
0
精练,支持!
快雪时晴 4 2005-6-14 09:32
4
0
说的明白,支持
prince 16 2005-6-14 09:41
5
0
学习好方法~
曾经 2005-6-14 09:46
6
0
谢谢! 我也试试。
小虾 10 2005-6-14 10:43
7
0
不错,收藏一份慢慢学习。
wenglingok 26 2005-6-14 10:50
8
0
swf的壳,
nig 4 2005-6-14 12:42
9
0
说是外包装可能更准确些,也是一种保护SWF文件的一种方法了。
现在SWF不保护太容易就能搞到源码了前几天BAIDU搜索才发现。
lee 3 2005-6-14 12:56
10
0
好文章!!!
killl 10 2005-6-14 14:11
11
0
好多电子杂志不知道是不是类似的原理,有空看看
king2004 2005-6-14 21:32
12
0
好文章,收藏!前天才发现我都完全忘记怎样做FLASH了!
analog 2 2005-6-15 15:11
13
0
为数不多的涉及flash方面的文章,收藏!
游客
登录 | 注册 方可回帖
返回