定位飓风视频9.0-9.7加密软件中的解压密码位置
本帖最后由 kelvar 于 2009-7-29 08:26 编辑看了CHHSun版主的飓风加密V9.0加密文件破解
http://www.52pojie.cn/viewthread.php?tid=24246&highlight=%EC%AB%B7%E7%BC%D3%C3%DC
收益匪浅。并且也发现很多人对于CHHSun的"关于这个位置的找法,一机一码不好确定。你可以自己加个视频跟踪一下,也是在第一个断断下后向下找,注意辅助窗口。"这里的确很让人费解。
我这里来补充说明下,以献给跟我一样费解的菜菜鸟们。大家共勉。
在测试9.7版本的时候发现总是出现一个警告,说某个地址不知如何执行。这个直接Nop掉即可。并且V9.7中有两个Call需要Nop掉才能顺利的破解。
为了验证关键代码是否通用。我下载了最新版的飓风加密V9.7版的测试了下。发现一样通杀。方法就是查找
je命令后第二个Call后面的那条mov edx,dword ptr ss:中的地址。就是解压密码应该出现的位置。
0046ACD3 8B95 04FEFFFF mov edx,dword ptr ss:
0046ACD9 8B45 FC mov eax,dword ptr ss:
0046ACDC E8 D39FF9FF call kjtmp.00404CB4
0046ACE1 0F84 D2000000 je kjtmp.0046ADB9 ; 不能跳改为JNE
0046ACE7 33C0 xor eax,eax
0046ACE9 55 push ebp
0046ACEA 68 96AD4600 push kjtmp.0046AD96
0046ACEF 64:FF30 push dword ptr fs:
0046ACF2 64:8920 mov dword ptr fs:,esp
0046ACF5 8D95 FCFDFFFF lea edx,dword ptr ss:
0046ACFB 8B45 FC mov eax,dword ptr ss:
0046ACFE E8 E5EBF9FF call kjtmp.004098E8
0046AD03 8B85 FCFDFFFF mov eax,dword ptr ss:
0046AD09 8D95 00FEFFFF lea edx,dword ptr ss:
0046AD0F E8 2C420000 call kjtmp.0046EF40
0046AD14 8B95 00FEFFFF mov edx,dword ptr ss: ; V9.7飓风视频加密-内存解码定位地址
根据CHHSun版主的方法可以顺利的得到视频解码的关键码,在把",关键码"填入解码地址就可以顺利播放了。另外通过查找字符串可以发现
0046B38A mov edx,脱壳测试.0046B568 scap.exe|camtasia|captivate|capture|easysnap|fsvideo|hprsnap|courseware|htserver|hycam|lcsc.exe|m4uscreen|scrcam|myscrmycut|屏录|ly.exe|sph.exe|rdfsnap|screencapture|snagit|screenvcr|wmenc.exe|screen|lxj.exe|snap|vampire|webex
0046B397 mov edx,脱壳测试.0046B654 |flashback|robodemo|recorder|screen|wisecam|democreator|s-demo|snap|camera|record|wink|viewletcam
.
猜想去掉其中的字符串可以达到去除屏蔽的目的。感觉好的话,支持一下给我再次更新的勇气。呵呵
下面是图片示意:
本来还做了一个完整版破解的视频,看到版主反映强烈,不发了。呵呵,不好意思,可能破坏规矩了,抱歉抱歉! 顶了,太好了,楼主可以留下qq吗,想和你交流 明天做个视频传上来。看来大家都很期待呀。呵呵
给我评点分吧。穷死了(拉点广告) 下来看看,期待楼主的录像 :lol很好 呵呵,一切尽在不言中。 呵呵,其实版主大C已经 ... ...
一切尽在不言中呀... 呵呵 ... 就那烂地方,系统不一样地址不一样,哈哈。:loveliness:
90的看这吧http://www.52pojie.cn/thread-24246-1-1.html
其它的自己学习,智能反录,没弄来,有思想的没敢测来!!!!。 呵呵强大... 本来还做了个视频教程的,完整版的。这下不敢发了,是不是我破坏了啥规矩了?那位老大提点下菜鸟