执行文件方式加密FLASH文件的解密方法

krrish

工具：OD Lordpe 16进制编辑器
* {' C% c% `5 J7 t$ f7 q; V
8 i# J1 \9 J2 f. B7 s程序：多彩的夏天.exe

目的：从EXE文件中导出SWF，之后可以进行反编及修改操作
( z( ?/ X8 \0 U  m% J9 a
% p/ M/ b! S! `( O9 N说明：为了研究需要而处理的。不敬之处请您谅解。



7 c) y4 l, [1 A5 d6 _1、OD导入程序。

( N) {+ R1 h. M停在这里
, v9 O3 n8 K, S" z3 G
$ q, G! o+ N) o* V5 f4 ^- x004B556B > $ 6A 60 PUSH 60
( V% y9 {0 |7 h+ K' T  A
004B556D . 68 30805300 PUSH 多彩夏天.00538030

004B5572 . E8 E9EBFFFF CALL 多彩夏天.004B4160

8 T! v: Z. ^( ~. h: Z6 V6 [004B5577 . BF 94000000 MOV EDI,94
8 k" C% A2 ]8 n/ \4 B% b' M! P
- r- i5 [! k  Q$ h8 n9 J004B557C . 8BC7 MOV EAX,EDI

- s, H( s2 a# m9 U. j" u004B557E . E8 CD95FFFF CALL 多彩夏天.004AEB50
, L- i+ I) ]) b2 U3 U+ N& z
  _% H( z8 Z8 B' t1 X2 l

! h1 ?7 ^5 Z) X% z( S( C) A% o2、执行程序，之后可以看到程序运行的界面。以及播放的FLASH动画。
7 P/ S8 o$ z$ T  [) S9 @
# e; i. l: Y% \8 `# s注意：此程序不是用Flash播放器生成的EXE文件，所以不能用网上的一些去头的方法进行处理。
8 L5 G8 R0 o% k5 M5 G  _
到OD中。

; ]2 S) O) F' F) M7 M

ALT+M显示内存列表。
3 ^- ]" k7 ], G9 A+ Q2 J
( A( x2 @! R' P$ Y- V
/ m. ^: z% Y. L8 h. g4 f
选一些比较大的内存块，鼠标右键，在CPU中进行转存，这样在数据区时可以看到内存块的内容了，
5 x2 }* X) h7 I( i, |- R, A
, t' v+ y  b9 \# ~0 F6 t8 v进行 二进制的搜索Flash文件的头 FWS 字符，如果你找到了，可以看一下，这一块内容离块的头并不远，
! A$ B; u9 G+ n, G+ ]
7 i" p( D- K3 y. ^9 A9 g实际上不用找也能看到的。
0 ^3 P" n9 P7 g" @


- \  x& x. E- @% i+ b01DF0000 50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00 P._ P._ ........

7 X  a' {6 |: S% y5 C/ b01DF0010 00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00 .`'..`'. .....

% K6 Y1 ^6 F& |. B' j) ?01DF0020 46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70 FWS 頦'.x.?. p
$ i" {! o' k  c  O$ g. U" X; K
& j" v2 j3 V; @01DF0030 00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00 ... .C

foxzf

写的不错。不知道楼主对flash7的文件格式熟悉不。我这几天在搞。一点累。

狂野黑狼

搞得不错,支持一下.

nobody555

是转贴的哦！不过转贴这种文章的人应该对FLASH有研究，不知能否给FOXZF帮上忙？

103077

谢谢楼主