首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]Sdemo加密录像密码解密
发表于: 2008-4-15 15:36 6862

[原创]Sdemo加密录像密码解密

icefall 活跃值
1
2008-4-15 15:36
6862

技术含量不高,需要的来看看

随手拈来Sdemo加密录像密码

Sdemo由于生成文件可直接运行、压缩率高、可记录屏幕任何动作和鼠标点击过程等优点而在视频教学中被广泛采用。特别是一些黑客站点,随处可见Sdemo或其修改版制作的动画教程。其中有些是被加了密码的,今天我们就看看如何不知道密码的情况下也能观看动画甚至解密出密码。
  如果输入错误密码,录像文件会弹出对话框,提示“PassWord Wrong!”。用Peid发现生成的录像是无壳的,直接Ollydbg载入录像文件后下断点Bp MessageBoxA运行后输入一个错误的密码即可中断在关键位置,观看此时的右下角堆栈区域,如图1。



很容易看出这个MessageBoxA返回地址是00402054处,那么调用地址就是0040204F,Ctrl+G过去看看。附近代码是这样的:
00401FE9  /.  55            PUSH EBP
00401FEA  |.  8BEC          MOV EBP,ESP
00401FEC  |.  83EC 68       SUB ESP,68
00401FEF  |.  56            PUSH ESI
00401FF0  |.  8BF1          MOV ESI,ECX
00401FF2  |.  83BE 94000000>CMP DWORD PTR DS:[ESI+94],0
00401FF9  |.  74 5B         JE SHORT test1.00402056
00401FFB  |.  6A 01         PUSH 1
00401FFD  |.  E8 80900000   CALL <JMP.&MFC42.#6334_?UpdateData@CWnd@>
00402002  |.  8D45 98       LEA EAX,DWORD PTR SS:[EBP-68]
00402005  |.  68 AC504100   PUSH test1.004150AC                      ; /src = "Clayman"
0040200A  |.  50            PUSH EAX                                 ; |dest
0040200B  |.  E8 3A940000   CALL <JMP.&MSVCRT.strcpy>                ; \strcpy
00402010  |.  8D46 60       LEA EAX,DWORD PTR DS:[ESI+60]
00402013  |.  50            PUSH EAX                                 ; /src
00402014  |.  8D45 CC       LEA EAX,DWORD PTR SS:[EBP-34]            ; |
00402017  |.  50            PUSH EAX                                 ; |dest
00402018  |.  E8 2D940000   CALL <JMP.&MSVCRT.strcpy>                ; \strcpy

0040201D  |.  8D45 98       LEA EAX,DWORD PTR SS:[EBP-68]
00402020  |.  50            PUSH EAX
00402021  |.  8D45 CC       LEA EAX,DWORD PTR SS:[EBP-34]
00402024  |.  50            PUSH EAX
00402025  |.  E8 24FEFFFF   CALL test1.00401E4E
;解密出原始密码
0040202A  |.  FFB6 A4000000 PUSH DWORD PTR DS:[ESI+A4]               ; /s2
00402030  |.  8D45 CC       LEA EAX,DWORD PTR SS:[EBP-34]            ; |
00402033  |.  50            PUSH EAX                                 ; |s1
00402034  |.  FF15 E0234100 CALL DWORD PTR DS:[<&MSVCRT._stricmp>]   ; \_stricmp
;密码比较
0040203A  |.  83C4 20       ADD ESP,20
0040203D  |.  85C0          TEST EAX,EAX
0040203F  |.  74 15         JE SHORT test1.00402056
;密码正确就跳走,不对就报错
00402041  |.  6A 40         PUSH 40
00402043  |.  68 A4504100   PUSH test1.004150A4                      ;  ASCII "Player"
00402048  |.  68 94504100   PUSH test1.00415094                      ;  ASCII "Password Wrong!"
0040204D  |.  8BCE          MOV ECX,ESI
0040204F  |.  E8 28900000   CALL <JMP.&MFC42.#4224_?MessageBoxA@CWnd>
整个解密和判断也就这么一个过程,判断逻辑过于简单,既可以在stricmp比较时看到明文也可以直接爆破0040203F处的跳转来破解密码的限制。既然如此容易那就在00402025处顺便F7步入看看它的解密过程吧。
对比两个不同的加密录像分析可知是由三个固定字符串"FZRHK01WGTPQSAVC"、"Clayman"和"Guest"字符及其长度对一个可变的字符串循环取模及移位进行解密的,这个可变字符串因不同密码而异。用Winhex打开可在偏移0x261A1处找到此加密后字符串,在不同的文件中偏移位置是相同的,0x261A0处为00则表示无密码,为01表示有密码。解密代码较长,在这里不详细贴出,可对照给出的C代码阅读解密过程:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
lovelyfrog
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
太强了
2008-4-15 15:55
0
honghan
雪    币: 334
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
哈 这个easy
2008-4-15 18:47
0
寿星
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
呵呵,不会啊
2008-4-15 18:58
0
蚊香
雪    币: 557
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
5
相对来说是属于比较简单的
2008-4-15 20:45
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//