[原创]RLM Decrypt Set Tool-软件逆向-看雪安全社区｜专业技术交流与安全研究论坛

[原创]RLM Decrypt Set Tool

发表于: 2025-8-29 00:06 3150

[原创]RLM Decrypt Set Tool

UnicornMaker 活跃值

2025-8-29 00:06

3150

SET创建过程

1）获取ISV配置，拼接字符串

2）查表异或

__int64 __fastcall sub_7FF69D1A2400(char *a1, _BYTE *a2, int a3)
{
  __int64 result; // rax
  int i; // [rsp+0h] [rbp-18h]
  int v5; // [rsp+4h] [rbp-14h]

  for ( i = *a1; ; ++i )                        // ISV strings
  {
    v5 = a3;
    result = (unsigned int)--a3;
    if ( v5 <= 0 )
      break;
    if ( i > dword_7FF69D2421C4 )
      i = 0;
    if ( i < dword_7FF69D2421C4 )
      *a2 ^= byte_7FF69D242350[i];
    ++a2;
  }
  return result;
}

SET解密过程

1）获取ISV第一个字符hex作为异或表的索引元素，根据加密文件0x00前ascii推出加密长度

2）C#核心代码

 static byte[] hash = new byte[]
 {
     0x30, 0x81, 0xDE, 0x02, 0x40, 0x12, 0x1A, 0x80,
     0xDD, 0xE1, 0xA3, 0x3B, 0xF4, 0x22, 0x4F, 0x3C,
     0x63, 0x2D, 0x52, 0x80, 0x95, 0xA3, 0xDA, 0xD0,
     0xB8, 0x04, 0x4D, 0x40, 0x6F, 0x8D, 0x9A, 0xD1,
     0xB2, 0x55, 0xE7, 0xAB, 0x21, 0x48, 0x17, 0xE0,
     0x47, 0x47, 0x12, 0xB3, 0xE6, 0x11, 0xD3, 0xEF,
     0xEC, 0xDE, 0xC6, 0xC5, 0x2C, 0x37, 0x27, 0x6B,
     0x88, 0xA2, 0x2B, 0x5F, 0x91, 0xD5, 0x39, 0xCB,
     0x59, 0x6B, 0xF5, 0x69, 0xA5, 0x02, 0x41, 0x00,
     0xE4, 0x4A, 0xF4, 0xE1, 0x07, 0x89, 0xBA, 0xE3,
     0x42, 0xBD, 0x63, 0x18, 0x24, 0xF6, 0x37, 0xF1,
     0xD6, 0xE8, 0x1D, 0xBE, 0xE6, 0x58, 0x4F, 0x5C,
     0x1D, 0xE3, 0x32, 0xD2, 0xDE, 0xA4, 0xF0, 0x4E,
     0x43, 0x93, 0xAB, 0x0F, 0x8D, 0xAC, 0xA9, 0x6A,
     0x53, 0x4B, 0x94, 0xB6, 0x50, 0x68, 0x86, 0xF1,
     0x88, 0x69, 0xED, 0x28, 0xFE, 0x8B, 0xCF, 0x22,
     0xEB, 0x0E, 0x85, 0x1F, 0x1C, 0x23, 0x3D, 0x1F,
     0x02, 0x15, 0x00, 0xBE, 0x94, 0xB2, 0x26, 0x2F,
     0xB0, 0xA8, 0xC7, 0xD8, 0x22, 0x26, 0xD5, 0x93,
     0xF8, 0xB8, 0x16, 0xD2, 0x34, 0x8D, 0xA3, 0x02,
     0x40, 0x7E, 0x6F, 0xAC, 0xC7, 0x3A, 0x0C, 0x23,
     0xB7, 0x5C, 0x4B, 0xA9, 0x08, 0x99, 0x4F, 0x57,
     0xEE, 0xD8, 0xD5, 0xE3, 0xC1, 0x73, 0x14, 0xF4,
     0x56, 0x34, 0x92, 0x1E, 0x80, 0xB9, 0x53, 0x81,
     0x48, 0xAE, 0x55, 0xAB, 0x45, 0x17, 0xA2, 0x68,
     0x26, 0xB0, 0xE1, 0x3A, 0x52, 0xAB, 0x6B, 0x43,
     0x87, 0x6C, 0xAE, 0x06, 0x7B, 0x4B, 0x54, 0x99,
     0x83, 0x9A, 0x7A, 0x0F, 0x89, 0xAC, 0x4D, 0x80,
     0x76, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
 };
 
 
 //Read file data
byte[] fileData = File.ReadAllBytes(file);

//Get encrypt size
int zeroIndex = Array.IndexOf(fileData, (byte)0x00);
int.TryParse(Encoding.ASCII.GetString(fileData, 1, zeroIndex - 1).Trim(), out int encSize);

tbISV.Text = Path.GetFileNameWithoutExtension(file);

int startIndex = (int)tbISV.Text[0]; 

//Decrypt process
byte[] decBytes = new byte[encSize];

int decIndex = 0;

for (int i = zeroIndex + 1; i < encSize; i++)
{
    decBytes[decIndex] = (byte)(fileData[i] ^ hash[startIndex]);

    if (startIndex++ > 0xE0) startIndex = 0;

    decIndex++;
}

解密工具

加载正常加密的set文件，自动解析关键内容，并生成*_decrypt.bin，仅供娱乐。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

最后于 6天前被UnicornMaker编辑，原因： Update tool

#调试逆向 #其他内容

上传的附件：

RLM_DecryptSetTool.exe （396.00kb，32次下载）

收藏・19

免费・7

支持

最新回复 (19)
wandering 雪币： 5358 活跃值： (9669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 584 粉丝 40 关注私信	wandering 2 楼佩服，高人 2025-8-29 13:58 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 3 楼牛皮 2025-8-29 14:09 0
joycechou 雪币： 113 活跃值： (1850) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 2 关注私信	joycechou 4 楼解密了set文件，软件的本体和rlm license server怎么patch呢？ 2025-8-29 16:23 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 5 楼 joycechou 解密了set文件，软件的本体和rlm license server怎么patch呢？ client替换公钥，根据替换后的公钥编译SDK生成server端isv文件 2025-8-29 17:14 0
romobin 雪币： 10010 活跃值： (7149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 273 粉丝 56 关注私信	romobin 6 楼好帖收藏了 2025-8-29 17:33 0
skip2 雪币： 88 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	skip2 7 楼好帖!! 收藏了!! 2025-9-1 11:44 0
mb_aivszztb 雪币： 532 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_aivszztb 8 楼新手报到，谢谢分享 2025-9-1 12:32 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 9 楼感谢表哥提供的解码思路，我感觉我解码出来的公钥长度不对，不知道哪里还有问题。 2025-9-4 15:21 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 10 楼 helloworda 感谢表哥提供的解码思路，我感觉我解码出来的公钥长度不对，不知道哪里还有问题。公钥header:30 81 xx 2025-9-4 17:10 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 11 楼 UnicornMaker 公钥header:30 81 xx 非常感谢，成功了 2025-9-4 19:05 1
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 12 楼 helloworda 非常感谢，成功了 2025-9-4 21:16 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 13 楼请教表哥，修改puk后的checksum的大概算法是咋样的 2025-9-12 21:03 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 14 楼 helloworda 请教表哥，修改puk后的checksum的大概算法是咋样的自己分析下吧，很简单的，定位到这个位置，你就找到了，看函数名字是不是很熟悉 char __fastcall sub_7FF7A95024B0(__int64 a1) { const char v1; // rax unsigned int v3; // [rsp+30h] [rbp-1048h] BYREF void v4; // [rsp+38h] [rbp-1040h] char v5[112]; // [rsp+40h] [rbp-1038h] BYREF char Source[3488]; // [rsp+B0h] [rbp-FC8h] BYREF _BYTE v7[528]; // [rsp+E50h] [rbp-228h] BYREF load_data_in_auth(a1, 14, 0, 1, v5); v4 = rlm_get_priv(&v3); // get private key if ( (unsigned int)rlm_sign((__int64)v5, 0, (__int64)v4, v3, 6) ) { printf("ERROR: cannot sign ISV data\n"); printf("No ISV settings file written.\n"); v1 = (const char )sub_7FF7A9504FD0(0, a1, (__int64)v7); printf("%s\n", v1); exit(1); } strcpy(Destination, Source); return Destination; } 最后于 2025-9-13 20:56 被UnicornMaker编辑，原因： 2025-9-13 20:54 0
maxps 雪币： 138 活跃值： (2390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	maxps 15 楼这个必须顶一下 2025-9-13 21:16 0
drksh 雪币： 224 活跃值： (254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 3 关注私信	drksh 16 楼感谢楼主啊！ 2025-9-26 11:10 0
gxlly 雪币： 190 活跃值： (1084) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	gxlly 17 楼请教puk后的set文件启动时checksum问题如何处理？ 2025-12-22 17:29 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 18 楼 gxlly 请教puk后的set文件启动时checksum问题如何处理？前面有回复。会调用private key进行sign。 2025-12-31 18:01 0
greatzdl 雪币： 141 活跃值： (1087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 35 粉丝 6 关注私信	greatzdl 19 楼有个问题就是验证的信息存到了一个dll文件 linux是so文件如何获取set信息呢 4天前 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 20 楼 greatzdl 有个问题就是验证的信息存到了一个dll文件 linux是so文件如何获取set信息呢不是很理解你说的，set文件如果嵌入了需要调试解密过程 20小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

UnicornMaker

发帖

104

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
wandering 雪币： 5358 活跃值： (9669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 584 粉丝 40 关注私信	wandering 2 楼佩服，高人 2025-8-29 13:58 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 3 楼牛皮 2025-8-29 14:09 0
joycechou 雪币： 113 活跃值： (1850) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 2 关注私信	joycechou 4 楼解密了set文件，软件的本体和rlm license server怎么patch呢？ 2025-8-29 16:23 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 5 楼 joycechou 解密了set文件，软件的本体和rlm license server怎么patch呢？ client替换公钥，根据替换后的公钥编译SDK生成server端isv文件 2025-8-29 17:14 0
romobin 雪币： 10010 活跃值： (7149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 273 粉丝 56 关注私信	romobin 6 楼好帖收藏了 2025-8-29 17:33 0
skip2 雪币： 88 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	skip2 7 楼好帖!! 收藏了!! 2025-9-1 11:44 0
mb_aivszztb 雪币： 532 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_aivszztb 8 楼新手报到，谢谢分享 2025-9-1 12:32 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 9 楼感谢表哥提供的解码思路，我感觉我解码出来的公钥长度不对，不知道哪里还有问题。 2025-9-4 15:21 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 10 楼 helloworda 感谢表哥提供的解码思路，我感觉我解码出来的公钥长度不对，不知道哪里还有问题。公钥header:30 81 xx 2025-9-4 17:10 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 11 楼 UnicornMaker 公钥header:30 81 xx 非常感谢，成功了 2025-9-4 19:05 1
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 12 楼 helloworda 非常感谢，成功了 2025-9-4 21:16 0
helloworda 雪币： 176 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 13 关注私信	helloworda 13 楼请教表哥，修改puk后的checksum的大概算法是咋样的 2025-9-12 21:03 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 14 楼 helloworda 请教表哥，修改puk后的checksum的大概算法是咋样的自己分析下吧，很简单的，定位到这个位置，你就找到了，看函数名字是不是很熟悉 char __fastcall sub_7FF7A95024B0(__int64 a1) { const char v1; // rax unsigned int v3; // [rsp+30h] [rbp-1048h] BYREF void v4; // [rsp+38h] [rbp-1040h] char v5[112]; // [rsp+40h] [rbp-1038h] BYREF char Source[3488]; // [rsp+B0h] [rbp-FC8h] BYREF _BYTE v7[528]; // [rsp+E50h] [rbp-228h] BYREF load_data_in_auth(a1, 14, 0, 1, v5); v4 = rlm_get_priv(&v3); // get private key if ( (unsigned int)rlm_sign((__int64)v5, 0, (__int64)v4, v3, 6) ) { printf("ERROR: cannot sign ISV data\n"); printf("No ISV settings file written.\n"); v1 = (const char )sub_7FF7A9504FD0(0, a1, (__int64)v7); printf("%s\n", v1); exit(1); } strcpy(Destination, Source); return Destination; } 最后于 2025-9-13 20:56 被UnicornMaker编辑，原因： 2025-9-13 20:54 0
maxps 雪币： 138 活跃值： (2390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	maxps 15 楼这个必须顶一下 2025-9-13 21:16 0
drksh 雪币： 224 活跃值： (254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 3 关注私信	drksh 16 楼感谢楼主啊！ 2025-9-26 11:10 0
gxlly 雪币： 190 活跃值： (1084) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	gxlly 17 楼请教puk后的set文件启动时checksum问题如何处理？ 2025-12-22 17:29 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 18 楼 gxlly 请教puk后的set文件启动时checksum问题如何处理？前面有回复。会调用private key进行sign。 2025-12-31 18:01 0
greatzdl 雪币： 141 活跃值： (1087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 35 粉丝 6 关注私信	greatzdl 19 楼有个问题就是验证的信息存到了一个dll文件 linux是so文件如何获取set信息呢 4天前 0
UnicornMaker 雪币： 1746 活跃值： (2128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 104 粉丝 42 关注私信	UnicornMaker 20 楼 greatzdl 有个问题就是验证的信息存到了一个dll文件 linux是so文件如何获取set信息呢不是很理解你说的，set文件如果嵌入了需要调试解密过程 20小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复