Flash文件的加密与破解技术详细解析

Flash文件的加密与破解技术详细解析

作者：lynn　来源：赛迪网技术社区

破解和防破解是必是同时存在的对立体。如同制造病毒和防范病毒一样，制造病毒的言论从不会公开出现在一些名门场合，所以每当病毒来袭，防范的一方总是措不及防。我们更希望看到的不是偷偷摸摸，而是从破解和防范中学习到实用的技术和知识。

　　一、破解篇

　　这里所谈的破解，包括提取swf、破解已加密及未加密的swf，即通常所说的“swf to fla”。

　　获取swf的工具

　　·Flash Saver - 保存网页中的swf

　　·Flash文件格式转换器(FlashChanger) - 转换未加壳的exe为swf

　　·Flash吸血鬼 - 不得已时用之。

　　提取范围很广，只要能看到Flash的窗口，包括加壳及未加壳的exe、网页等等。在使用Flash吸血鬼提取swf的过程中建议不要进行其他操作，否则速度会变得极其缓慢，配置不好的机器有可能死机。这也是这款软件目前版本(v2.2)最大的一个不足之处。如果想中止程序，可以在任务管理器中结束。

　　使用Temporary Internet Files(IE缓存)下载MV、SWF等资源

　　偶尔会有网友问我关于网上 MV 如何下载，其实方法很简单，只要到 Temporary Internet Files 文件夹下就能找到想找的大部分网络资源。

　　Temporary Internet Files 是 IE 的临时文件夹。目录一般在C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files

　　使用 Temporary Internet Files 查找资源的技巧：先清空 Temporary Internet Files，然后用 IE 打开或刷新你要找的资源 (比如 MV) 所在的网页。再刷新 Temporary Internet Files 就能看到了，如果资源比较大，需要过一会，等下载完后再刷新才能看到。

　　有时，部分资源会被隐藏。查看 Temporary Internet Files 的属性可以断定里面有文件，可是里面的内容却看不到。此时，用 WinRAR 压缩一下 Temporary Internet Files 就能看到了。为了不浪费时间，压缩的时候，压缩方式请选择“存储”。为了便于搜索查找，可以把压缩后的 Temporary Internet Files 解压到另一个目录下，里面的东西此时已经一目了然，分别分布在 Content.IE5 文件夹下的四个子文件夹中。

可以将 Temporary Internet Files 移动到其他分区下，一方面可以给系统分区减负，另一方面也便于查找。移动方法如下：

　　 Internet 选项 → 常规选项卡 → 在“Internet 临时文件”区点击“设置” → 移动文件夹 → 选择一个分区，例如选择 D，就把 Temporary Internet Files 移到了 D 盘的根目录下。最后会提示重启，其实不是重启，是注销。记得保存当前的其他工作，按确定注销。

　　从Word中提取Flash

　　测试环境：WindowsXP / Office2003

　　·需要一款16进制编辑工具WinHex

　　·打开含有Flash的Word文档，点击“控件工具箱”的“设计模式”按钮进入设计模式，选择Word中的Flash，复制粘贴到任意文件夹，会看到一个“片段”文件。

　　·打开WinHex，将该“片段”文件拉到WinHex中，单击下拉菜单“搜索”→“查找16进制值”，搜索“465753”，在搜索到的“465753”中的“4”位置上单击右键，选择“选块开始”。

　　·继续“搜索”→“查找16进制值”，搜索“3A5C”，然后按住F3，直到出现“3A5C未找到”，点击“是”，在最后搜索到的“3A5C”中“C”位置上单击右键，选择“选块结尾”。（注：少数情况可能会搜索不到“3A5C”，则改为搜索“3A”或“5C”，方法相同）。

　　·在选块内任意处点击右键→编辑→复制选块→进入新文件→输入文件名 (如test.swf) →保存。

　　常用破解工具

　　谈到破解，很多朋友都会想到时下流行的闪客精灵。以下为常用的破解工具，按我使用的频繁程度，分别有：

·硕思闪客精灵(Sothink SWF Decompiler)

　　·Action Script Viewer(ASV)

　　·Imperator FLA(有使用者译为“罗马统治者”)

　　这是我最早认识的用来还原swf的工具，可惜一直在关注也没有发现2.0以上的破解版，只有1.6.9.8的破解版，这已经是3年前的版本了，只对Flash6.0以下有效。)

　　·硕思闪客之锤(Sothink SWF Quicker)

　　以上四款，以Decompiler最为常用。ASV虽然强大，但在实用性方面却不如Decompiler，这应当也是为什么数年来Decompiler能够长久风靡的原因。而ASV对付Flashincrypt加密过的swf却是轻而易举，这大大弥补了Decompiler的不足。

　　不少网友知道用ASV来查看swf，但是不知道如何使用它来将swf还原成fla，以5.01版本为例，只需两步：

　　·打开等待破解的swf文件(支持拖放打开)，输出重建数据(File → Export Rebuild Data (JSFL)...)到某一目录下，例如：桌面\新建文件夹。

　　·双击目录下的“rebuildcommand.jsfl”，系统将启动Flash重建fla文件。根据原swf文件的复杂程度，重建fla所需的时间将有所区别。

　　破解附言

　　破解swf，依赖的主要是现成工具，多款工具综合使用，一款不行试另一款，如果作者有意加密，视破解者自身水平，在获取swf时将遇到规模可大可小的困难，在破解时亦将不可避免的多花些许心思。如果遇到 SWF Encrypt 加密过的作品，只能对其中的AS无奈了。

黑客大搜捕 共享软件的十大破解工具

作者：korn　来源：赛迪网技术社区

影响共享软件发展的因素很多，被非法破解可以说是共享软件的头号大敌。那么造成共享软件生存困难的cracker们到底用了那些武器呢?今天就让我让带您去看看神秘的cracker常用的十类软件，它们就是共享软件的十大杀手!

一. 调试类工具soft-ice和trw2000

soft-ice是目前公认最好的跟踪调试工具。使用soft-ice可以很容易的跟踪一个软件、或是监视软件产生的错误进行除错，它有dos、window3.1、win95/98/nt/2000/各个平台上的版本。这个本是用来对软件进行调试、跟踪、除错的工具，在cracker手中变成了最恐怖的破解工具;trw2000是中国人自己编写的调试软件，完全兼容soft-ice各条指令，由于现在许多软件能检测soft-ice存在，而对trw2000的检测就差了许多，因此目前它成了很多cracker的最爱。trw2000专门针对软件破解进行了优化，在windows下跟踪调试程序，跟踪功能更强;可以设置各种断点，并且断点种类更多;它可以象一些脱壳工具一样完成对加密外壳的去除，自动生成exe文件，因此它的破解能力更强，在破解者手中对共享软件的发展威胁更大。它还有在dos下的版本，名为tr。

二. 反汇编工具wdasm8.93黄金版和hiew

cracker常将soft-ice和trw2000比作屠龙刀，将wdasm8.93则比作倚天剑。wdasm8.93可方便地反汇编程序，它能静态分析程序流程，也可动态分析程序。在原有的普通版的基础上，一些破解者又开发出了wdasm8.93黄金版，加强了对中文字符串的提取。对国产共享软件的威胁也就更大了。例如开心斗地主这个很好玩的共享软件，用黄金版对其反汇编可以直接看到注册码，普通版不能，您说它厉害不?hiew是一个十六进制工具，它除了普通十六进制的功能外，它还有个特色，能反汇编文件，并可以用汇编指令修改程序， 用它修改程序，方便快捷!这也是cracker们常用的静态反汇编工具。

三. visual basic程序调试工具smartcheck

这是专门针对visual basic程序的调试程序，由于vb程序执行时从本质上讲是解释执行，它们只是调用 vbrunxxx.dll 中的函数 ，因此vb 的可执行文件是伪代码，程序都在vbxxx.dll 里面执行。若用soft-ice跟踪调试只能在vbdll里面用打转转，看不到有利用价值的东西，而且代码质量不高，结构还很复杂。当然只要了解其特点用soft-ice也可破解 ，但smartcheck的出现，大大方便了cracker。smartcheck 是 numega 公司出口的一款出色的调试解释执行程序的工具，目前最新版是v6.03。它非常容易使用，你甚至于不需要懂得汇编语言都能轻易驾驭它。它可将vb程序执行的操作完全记录下来，使破解者轻而易举的破解大部分vb程序。

四. 十六进制编辑器ultraedit

十六进制编辑器可以用十六进制方式编辑文件，修改文件的内容。虽然hiew就是一款是十六进制工具，但它是dos界面，因此很多破解者又准备了一款windows下的工具，这样的工具很多，如:ultraedit、winhex、hex workshop 等，其中ultraedit比较有特色，操作方便，更有汉化版可用，它是非常出色的十六进制编辑器，建议您也找一个用用。

五. 注册表监视工具



主要有regshot、regmon或regsnap等。在微软操作系统中，众多的设置都存放在注册表中，注册表是windows的核心数据库，表中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的正常运行。在应用软件安装时，有可能将一些必要的信息放进去，如安装时间、使用次数、注册码等。regshot、regmon或regsnap就是监视注册表变化的工具，通过它可以了解、监视应用程序在注册表中的动作，破解者常利用它们来监视应用程序在注册表中的变化。

六. 文件监视工具filemon

可监视系统中指定文件运行状况，如指定文件打开了哪个文件，关闭了哪个文件，对哪个文件进行了数据读取等。通过它，任何您指定监控的文件有任何读、写、打开其它文件的操作都能被它监视下来，并提供完整的报告信息。破解者经常利用filemon监控文件系统，以便了解程序在启动、关闭或验证注册码时做了哪些手脚，并由此进行相应的解密。

七. 脱壳工具procdump

现在许多软件都加了壳，“壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。经过加壳的软件在跟踪时已无法看到其真实的十六进制代码，因此可以起到保护软件的目的。procdump就是个对付软件加壳的脱壳工具，它可剥去许多种壳，还文件本来面目，这样再修改文件内容就容易多了。由于它还允许使用者自己编写脚本文件，因此利用它能脱去新版加壳软件的壳。它同时还是一款优秀的pe格式修改工具，是脱壳必备工具!

八. 侦测文件类型工具



这样的工具有typ、gtw、fileinfo和冲击波2000等。它们被用来侦测软件被加壳类型，其中冲击波2000能轻易的找到任何加密壳的入口点，包括asprotect以及幻影的加密壳都可以。这类软件一般是配合procdump和调试软件使用的，用它们找到程序加壳类型，用procdump或soft-ice、trw2000脱壳。

九. 资源修改器 exescope

exescope是一个可以修改软件资源的工具，功能强大。 exescope能在没有资源文件的情况下分析、显示不同的信息，重写可执行文件的资源，包括(exe，dll，ocx)等。它可以直接修改用 vc++ 及 delphi 编制的程序的资源，包括菜单、对话框、字串表等，是汉化软件的常用工具。在破解者手中，它常被用来修改文件资源中的菜单、对话框、字串表等，用以显示破解者需要的信息(例如更改版权信息等)，以此达到修改软件的目的。

十. api调用查询工具api spy



顾名思义，这个程序是用来侦测软件都调用了哪些api。 api就是windows程序执行时所呼叫的函数，跟dos下的int(中断)差不多，windows 提供了很多这样的函数让程序设计者套用，主要目的是为了节省软件开发的时间，方便大家开发软件。api spy就是这样一个监控api调用的软件，它可以查看应用程序调用了哪些api，从而得出对破解者有用的api调用信息，通过这些api调用来设定断点，达到破解软件的目的。它可以工作在windows95/98/nt/2000平台下。

好了，共享软件的十大杀手为您介绍完了，如何对付它们就是您的事了。需要说明的一点是，以上提到的软件都是“正当”软件，只是在不同的使用者手中发挥了不同的用途。就犹如一把枪，在人民军队手中就是保家卫国的武器，在为非作歹的坏人手中就是一把凶器了，千万不能此就对这些软件产生成见哦!