一个被SE壳(v2.3.9.0)加密的暴风雨视频提取工具教你2步快速破解替换机器码

simont

之前也分享过一篇文章：
2步破解一款X盾通用加密视频提取工具
https://www.52pojie.cn/thread-980161-1-1.html

本次再和大家分享一款视频还原提取工具破解的教程。工具采用SE加密壳(v2.3.9.0)加密，网上查找并未找到该版本的替换文章，于是自己分析试了试。运气不错，找到了关键替换点，并成功破解。
前面有写具体怎么分析，这次也分2步快速来替换这个壳的机器码。

工具未注册，打开提示框：

OD载入后，几次F7后。分析可查看到版本号：

当前版本： PUSH ASCII "Safengine Shielden v2.3.9.0"


好，进入主题部分：
一、特征码定位关键点：

E9 ?? ?? ?? ?? 61 FF 44 24 08 9D C3
通过搜索找到这个位置：

[Asm] 纯文本查看 复制代码

006E1F00   > \E8 0D000000   call 工具_101.006E1F12                     ;  PUSH ASCII "ADVAPI32.dll"
006E1F05   .  41 44 56 41 5>ascii "ADVAPI32.dll",0
006E1F12   >  FF90 370BA775 call dword ptr ds:[eax+0x75A70B37]
006E1F18   .^ EB 81         jmp X工具_101.006E1E9B
006E1F1A   $  E9 8E010000   jmp 工具_101.006E20AD
006E1F1F   >  E9 09010000   jmp 工具_101.006E202D
006E1F24   >  61            popad
006E1F25   .  FF4424 08     inc dword ptr ss:[esp+0x8]
006E1F29   .  9D            popfd
006E1F2A   .  C3            retn

二、定位关键点下断：
我们在006E1F29   .  9D            popfd
下F2断点，之后F9运行。断下后F8单步直到RETN到这位置：

[Asm] 纯文本查看 复制代码

02CB3B9D    8BFF            mov edi,edi
02CB3B9F    55              push ebp
02CB3BA0    8BEC            mov ebp,esp
02CB3BA2    5D              pop ebp
02CB3BA3  ^ EB ED           jmp X02CB3B92
02CB3BA5    90              nop
02CB3BA6    90              nop

直接下硬件断点，F9运行观察EAX的值为：  0018E4B4  ASCII "SystemBiosVersion"
右键，数据窗口跟随，位置0X34开始即为机器码变位！
偏移在0X1C位置下写入断点，F9运行2次，出现真实机器码，进行替换

完成后，删除硬件断点后，F9运行。机器码替换完成，成功运行。




该工具测试能提取一种叫金盾暴风雨版加密的视频文件，转成普通播放器可播放视频文件MKV。
PS:即对SE壳机器码替换的思路做交流！学习的朋友，直接下载SE加密软件加密练习。
工具来源网络，论坛版规不允许提供。大家不要问工具在哪了！

afanyone

兄弟对加密视频提取情有独钟啊！感谢分享

逍遥枷锁

大师来这些了，先膜拜下，谢谢

plwww

非常感谢，最近正为这事发愁，一下解决了，楼主应当分享一下文件我们也练练手

逆劫古修

前来学习的，谢谢分享

duduhao

太感谢了

xie83544109

速度来学习了

xudongchu

谢谢 您的分享。。。

guly666

问一下楼主  如果某个程序被破解 并且加了这种壳 能直接使用这方法吗。