一个被SE壳(v2.3.9.0)加密的暴风雨视频提取工具教你2步快速破解替换机器码
之前也分享过一篇文章:2步破解一款X盾通用加密视频提取工具
https://www.52pojie.cn/thread-980161-1-1.html
本次再和大家分享一款视频还原提取工具破解的教程。工具采用SE加密壳(v2.3.9.0)加密,网上查找并未找到该版本的替换文章,于是自己分析试了试。运气不错,找到了关键替换点,并成功破解。
前面有写具体怎么分析,这次也分2步快速来替换这个壳的机器码。
工具未注册,打开提示框:
OD载入后,几次F7后。分析可查看到版本号:
当前版本: PUSH ASCII "Safengine Shielden v2.3.9.0"
好,进入主题部分:
一、特征码定位关键点:
E9 ?? ?? ?? ?? 61 FF 44 24 08 9D C3
通过搜索找到这个位置:
006E1F00 > \E8 0D000000 call 工具_101.006E1F12 ;PUSH ASCII "ADVAPI32.dll"
006E1F05 .41 44 56 41 5>ascii "ADVAPI32.dll",0
006E1F12 >FF90 370BA775 call dword ptr ds:
006E1F18 .^ EB 81 jmp X工具_101.006E1E9B
006E1F1A $E9 8E010000 jmp 工具_101.006E20AD
006E1F1F >E9 09010000 jmp 工具_101.006E202D
006E1F24 >61 popad
006E1F25 .FF4424 08 inc dword ptr ss:
006E1F29 .9D popfd
006E1F2A .C3 retn
二、定位关键点下断:
我们在006E1F29 .9D popfd
下F2断点,之后F9运行。断下后F8单步直到RETN到这位置:
02CB3B9D 8BFF mov edi,edi
02CB3B9F 55 push ebp
02CB3BA0 8BEC mov ebp,esp
02CB3BA2 5D pop ebp
02CB3BA3^ EB ED jmp X02CB3B92
02CB3BA5 90 nop
02CB3BA6 90 nop
直接下硬件断点,F9运行观察EAX的值为:0018E4B4ASCII "SystemBiosVersion"
右键,数据窗口跟随,位置0X34开始即为机器码变位!
偏移在0X1C位置下写入断点,F9运行2次,出现真实机器码,进行替换
完成后,删除硬件断点后,F9运行。机器码替换完成,成功运行。
该工具测试能提取一种叫金盾暴风雨版加密的视频文件,转成普通播放器可播放视频文件MKV。
PS:即对SE壳机器码替换的思路做交流!学习的朋友,直接下载SE加密软件加密练习。
工具来源网络,论坛版规不允许提供。大家不要问工具在哪了!
兄弟对加密视频提取情有独钟啊!感谢分享 大师来这些了,先膜拜下,谢谢 非常感谢,最近正为这事发愁,一下解决了,楼主应当分享一下文件我们也练练手
前来学习的,谢谢分享 太感谢了 {:1_927:}
速度来学习了 谢谢 您的分享。。。 问一下楼主如果某个程序被破解 并且加了这种壳 能直接使用这方法吗。
页:
[1]
2