执行文件方式加密FLASH文件的解密方法

krrish

工具：OD Lordpe 16进制编辑器

程序：多彩的夏天.exe
! U9 E: t8 d3 A! l- v6 C
目的：从EXE文件中导出SWF，之后可以进行反编及修改操作
: ]; f- F7 r6 K# X( `7 _- f0 x
说明：为了研究需要而处理的。不敬之处请您谅解。
4 ]( C/ k% @. U, m5 c& |
9 |) [" B1 D) z

7 m0 F0 t3 S/ v3 }! T: R/ F1、OD导入程序。
. p0 W4 ^  p4 P0 P% S& p
停在这里
, J3 O7 ^% y' F
004B556B > $ 6A 60 PUSH 60
; T' @0 v$ y- `9 m
004B556D . 68 30805300 PUSH 多彩夏天.00538030
* W4 G- w3 V6 K/ Q5 h1 m  Q6 x
004B5572 . E8 E9EBFFFF CALL 多彩夏天.004B4160
  l* t9 n5 |- s6 r: @
004B5577 . BF 94000000 MOV EDI,94
& o/ b, g6 x, J$ I  O8 T# D2 Y
004B557C . 8BC7 MOV EAX,EDI

0 v" \2 H" i; a. }004B557E . E8 CD95FFFF CALL 多彩夏天.004AEB50

' O% B( B0 x" @; {4 j. Q8 v

) g4 X7 U2 x, |2、执行程序，之后可以看到程序运行的界面。以及播放的FLASH动画。

2 L) z- h5 H  P' R1 r1 h. N$ q( [注意：此程序不是用Flash播放器生成的EXE文件，所以不能用网上的一些去头的方法进行处理。

到OD中。
4 c' A# E* }, y- k
* {' w* |& k% J9 q$ i5 D$ N& N7 p

$ Y3 ^2 C% H6 I+ h; M5 Y3 K0 @ALT+M显示内存列表。
+ Q4 l' U. h! I

  u; i% J7 x! h( J$ ?
选一些比较大的内存块，鼠标右键，在CPU中进行转存，这样在数据区时可以看到内存块的内容了，

7 V* G4 l. d- ^4 }3 f1 P4 ]进行 二进制的搜索Flash文件的头 FWS 字符，如果你找到了，可以看一下，这一块内容离块的头并不远，

实际上不用找也能看到的。
  f4 j' [! Y3 s% H- j# f

& Y% Z, I& _) V/ z1 a0 i( g# R
01DF0000 50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00 P._ P._ ........

, k/ ~8 R6 `0 f8 w/ [4 e1 b01DF0010 00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00 .`'..`'. .....
( x0 J! H/ F7 b8 {/ C  I" V
/ Y* H! Y) n- ]  A0 d, @1 s01DF0020 46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70 FWS 頦'.x.?. p
$ q: u9 u. w/ h) X1 Y1 M
! Q3 E" }7 y6 ^% o9 k0 w, {' A01DF0030 00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00 ... .C

foxzf

写的不错。不知道楼主对flash7的文件格式熟悉不。我这几天在搞。一点累。

狂野黑狼

搞得不错,支持一下.

nobody555

是转贴的哦！不过转贴这种文章的人应该对FLASH有研究，不知能否给FOXZF帮上忙？

103077

谢谢楼主