用ollydbg-ICE1.1 creak XXX视频*密工具

原程序：XXX视频加密工具 V8.6.26 在www.china-drm.com可以下载

工具：PEID0.94,ollydbg-ICE1.1,volx大哥的脚本Aspr2.XX_unpacker_v1.14aSC.osc
IMportREC 1.7CN,W32ASM无极版，RESCOPE 1.96,ULTRAEDIT32 v10c,WINDOWS的计算器。

volx大哥的脚本Aspr2.XX_unpacker_v1.14aSC.osc
http://www.live-share.com/done.php?processid=544aaab45d51a36b69a4cf0286213e4e
http://www.live-share.com/files/334511/Aspr2.XX_unpacker_v1.14aSC.osc.rar.html

1.用PEID查壳为ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov,其实是假的，再用插件

VERA0.15查壳为ASProtect 2.3 SKE build 06.26 Beta [Extract].是个超强猛壳哦。

2.用ollydbg-ICE1.1打开“飓风视频加密工具 V8.6.26”，载入后，在“插件”---HIDE OD--选择HIDE，

在“插件”--ODSCRIPT---打开“volx大哥的脚本Aspr2.XX_unpacker_v1.14aSC.osc”，自动脱壳完成，

显示“有偷窃代码，请查看记录的IAT*****”，确定，到“查看”---记录，最下面找到并记录下来：

IAT的地址=004F4190
IAT的相对地址=000F4190
IAT的大小=000007A0
******
OEP的地址=004ED38C
OEP的相对地址=000ED38C

不关闭OD，打开IMportREC 1.7CN，在“进程”找到“***\XXX视频加密工具 V8.6.26

\MediaEncode12.2.0602.exe”，在右边填入：

OEP：000ED38C
RVA（IAT）：000F4190
大小：000007A0

点“获取输入表”，将显示所有函数，点“显示无效的”，在显示表中将有蓝色部分，点右键删除指针，

其实本例没有无效函数的。点“修复储存文件”，找到de_MediaEncode12.2.0602.exe,点保存后，退出，

也关闭OD哈。

将在目录生成一个de_MediaEncode12.2.0602_.exe文件，就是我们修复OEP入口后的脱壳文件了。
怎么样？ASProtect 2.3 SKE的超强壳也不可怕吧，得益于volx大哥的脚本

Aspr2.XX_unpacker_v1.14aSC.osc，是个强脱壳机了。

3.现在我们来运行一下de_MediaEncode12.2.0602_.exe，和MediaEncode12.2.0602.exe一样正常。我们破

解什么呢？它有两个地方：关于---注册，输入78787878，点确定，显示“注册码错误”；还有一个地方

在“播放时禁止开启其他程序”打勾时，有提示“试用版不能使用此功能”。

我们用W32ASM无极版打开de_MediaEncode12.2.0602_.exe文件，在“信息”---字符串参考---找到最下的

区域有“注册码错误”和“试用版不能使用此功能”，双击“注册码错误”和“试用版不能使用此功能”

多次，都发现只有一处代码出现，好了，发现的有意义的跳转：

“注册码错误”上面
004EAFBA 740C   je  004EAFC8----->点右键--编辑修改--改为：750C--应用--关闭

“试用版不能使用此功能”上面

004EB759 741F   je  004EB77A----->点右键--编辑修改--改为：751F--应用--关闭

关闭W32ASM无极版，在目录下有de_MediaEncode12.2.0602__BAK.exe,就是完全功能版了。

4.也可以记录上面的偏转地址：
“注册码错误”上面
004EAFBA 740C   je  004EAFC8  在W32ASM无极版最下方有0x000EAFBA,就是偏转地址。

“试用版不能使用此功能”上面

004EB759 741F   je  004EB77A  在W32ASM无极版最下方有0x000EB759,就是偏转地址。

关闭W32ASM无极版，用ULTRAEDIT32打开de_MediaEncode12.2.0602_.exe，

CTRL+G，输入0x000EAFBA，回车，740C改为750C；
CTRL+G，输入0x000EB759，回车，741F改为751F；

保存退出。就是完全功能版了。

5.我们来将de_MediaEncode12.2.0602_.exe或de_MediaEncode12.2.0602__BAK.exe改名为

MediaEncode12.2.0602企业版.exe
运行一下，加密一个***.MPG文件，完成后是***.exe,运行它，在屏幕中央有一小长方形是红底显示：

www.china-drm.com demo,很明显这是个未注册的标志，怎么去除呢？用RESCOPE打开

MediaEncode12.2.0602企业版.exe，在RCDATA---TFORM1，将“飓风视频加密工具 V8.06.26 (支持500M以

上超大视频)”改为“飓风视频加密工具 V8.06.26企业版 (支持500M以上超大视频)”。保存。

继续找www.china-drm.com demo，没找到。退出。

用ULTRAEDIT32打开MediaEncode12.2.0602企业版.exe，在搜索--查找---输入www.china-drm.com demo，

勾上ASCII，点查找，一下来到“TstaticText.Testinfo”,下面有：
                    left   top   width   height就是那个www.china-drm.com demo窗口。

对应的ASCII 16制码：left后：03 F0 00 03    top后：03 E8 00 05   
                    width后：03 C3 00 06   height后：02 11 09
换算为10进制后为：left F0-->240 ; top  E8-->232 ;  width C3-->195;  height 11-->17

将F0；E8；C3；11都改为00；00；00；00
将www.china-drm.com demo全改为00 00 00 00 00-----共22对00

保存退出，再启动加密一个***.MPG,生成***.exe,运行输入播放密码后，那个www.china-drm.com demo长

方块没有了，但是在最左上角落里有一个小红点哈，我用参数clblack替换clred,由于字节不等，不成功

，就将就用吧，已经是完全功能版了。

liyucrk
QQ:16465865
yuluhen@163.com
20080710

[课程]Linux pwn 探索篇！