执行文件方式加密FLASH文件的解密方法

krrish

工具：OD Lordpe 16进制编辑器

程序：多彩的夏天.exe
' D- c5 \% G0 b. c9 @8 }, y7 _
目的：从EXE文件中导出SWF，之后可以进行反编及修改操作
* ^# G/ C3 W% a, D" j: q1 \
说明：为了研究需要而处理的。不敬之处请您谅解。
, `  w( F' F$ H; D( b* ]) J4 T: E0 z

/ a8 P8 I8 j1 L
( a" E2 l5 K) A  M2 ]1、OD导入程序。
2 p( D, Z* u  z, M* ^
停在这里

( e  F6 ?1 E) N& v* ?004B556B > $ 6A 60 PUSH 60

! m4 f% X  Z/ O1 ~0 v4 u" |/ P004B556D . 68 30805300 PUSH 多彩夏天.00538030

004B5572 . E8 E9EBFFFF CALL 多彩夏天.004B4160

% N! a& {* M7 x; T2 [' z. F, o004B5577 . BF 94000000 MOV EDI,94
% u! t0 {" i& w& w. y( a
2 B$ E' ~8 o7 a; K' f$ w! E4 _004B557C . 8BC7 MOV EAX,EDI

/ D' U: N4 x( ^* W! y004B557E . E8 CD95FFFF CALL 多彩夏天.004AEB50
. G$ z% N$ V- g- }
% ^0 \$ B; o+ d

2、执行程序，之后可以看到程序运行的界面。以及播放的FLASH动画。
) k7 Y8 B1 W: U& J
注意：此程序不是用Flash播放器生成的EXE文件，所以不能用网上的一些去头的方法进行处理。
+ ?7 i& q0 P, M6 d
到OD中。
6 C2 G/ Y& `( x
' `2 P5 Q. p4 ], x( p7 ~0 C

ALT+M显示内存列表。
5 p) X8 V7 I3 @9 r$ l
% j  ]. b! x5 |: E) s; V

; f  t& }+ n+ F& A/ g选一些比较大的内存块，鼠标右键，在CPU中进行转存，这样在数据区时可以看到内存块的内容了，
! t# q; h( ~& o& ^; j
进行 二进制的搜索Flash文件的头 FWS 字符，如果你找到了，可以看一下，这一块内容离块的头并不远，
  D* D! U- ^& q# s; j/ e
实际上不用找也能看到的。
4 {& X) a& r; E- r4 u" @
5 G/ ?2 O: r4 Z% {. z0 I. B9 @5 j# K
8 t) R9 }4 h( a7 a. R. X1 w
! W* ?9 X0 E& g01DF0000 50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00 P._ P._ ........
7 U7 P( c0 ], `$ K3 z! d
9 F8 _; \% V/ h8 {# K6 ?01DF0010 00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00 .`'..`'. .....
6 y1 L& R# `: S# c' f$ ~
# u8 J% K$ y4 t* A2 A01DF0020 46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70 FWS 頦'.x.?. p

01DF0030 00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00 ... .C

foxzf

写的不错。不知道楼主对flash7的文件格式熟悉不。我这几天在搞。一点累。

狂野黑狼

搞得不错,支持一下.

nobody555

是转贴的哦！不过转贴这种文章的人应该对FLASH有研究，不知能否给FOXZF帮上忙？

103077

谢谢楼主