请选择 进入手机版 | 继续访问电脑版

IT资源社区(IT0365.COM) 一个收集优质的IT学习资源和教程社区

 找回密码
 登记学习
查看: 598|回复: 6

逆向分析酷狗加密音乐提取还原方法一

[复制链接]
匿名
匿名  发表于 2019-7-13 17:53:34 |阅读模式

想学习更多破解与编程技巧,就马上加入吧!

您需要 登录 才可以下载或查看,没有帐号?登记学习

x
【免责说明】
本贴仅用于交流经验之用,只可用于个人研究试验,不得用于商业用途。
请在下24小时后删除,若产生不良后果,使用者应自已承担。与本人无关。
文章未经作者同意,禁止转载!如有侵权可联系simon9921@qq.com删贴
【需要工具】
1、it资源社区OD.exe
2、WinHex
3、OllyScript

【表演开始】
打开酷狗我们发现之前播放过的音乐,在没有联网的情况下也能播放,可以确认文件已经保存在本地。通过查找发现保存在一个TEMP文件内后缀为:.kgtemp,修改文件名为MP3也无法播放。因为是被加密的!通过网上查找也未发现有效的解决办法。出于好奇于是研究了一番。
将酷狗播放器拖进OD后,直接运行。启动后,播放一首音乐。
既然是读本地文件进行播放,那就直接下断:BP CreateFileW   发现读取的文件非常多,直接下个条件断点。对条件断点不懂的,朋友请看基础知识:
http://www.it0365.com/forum.php?mod=forumdisplay&fid=37
断下后,确定在读取加密文件后取消断点,返回到程序领空单步走。
接着通过三方DLL进行文件读的操作,一次读取0x10000字节。在堆栈中,压入的参数选择要保存数据的地址在数据窗口显示。读取完文件后,数据窗口出现了数据。正是加密视频文件内容。
0.JPG
过程比较枯燥和漫长就不细说。重点部分以文字方式指明。
本篇主要是提供一种对内存提取的方法供大家学习和交流。其实只要数据在内存中如果解码后是明文形式的,就都有可能进行提取还原的。
【高潮部分】
数据在读取完后,返回后。单步继续走,在第二个CALL后,数据窗口中的内容已经发现改变。

[C] 纯文本查看 复制代码
[/size]
[size=4]0C08F640  [color=#ff0000]49 44 33 04 00 00 00 00 01 1E 54 45 4E 43 00 00[/color]  ID3....TENC..[/size]
[size=4]0C08F650  00 0B 00 00 03 50 72 6F 20 54 6F 6F 6C 73 00 54  ...Pro Tools.T[/size]
[size=4]0C08F660  58 58 58 00 00 00 23 00 00 03 6F 72 69 67 69 6E  XXX...#..origin[/size]
[size=4]0C08F670  61 74 6F 72 5F 72 65 66 65 72 65 6E 63 65 00 61  ator_reference.a[/size]

[size=4]

能看到内存中的数据正是MP3的头。为什么说需要WINHEX工具,就是先查看一下普通MP3的文件格式方便后面分析能辨认!
好了,在CALL下面下断后,直接F9运行。发现该内存空间数据会跟随改变,由此我们就可以想办法对该空间地址进行复制保存了。
保存的方式,1、手工复制出来、2、编写OD脚本提取‘3、写DLL注入提取
这里我就写OD脚本来提。随便教大家如何编写脚本!
【脚本编写】
首先打开一款脚本编写工具:OllySubScript.exe,这工具很方便,命令都有详细说明和例子。一看就懂!
编写脚本前,我们要先缕下调试思路。
游客,如果您要查看本帖隐藏内容请回复


DMA [esp-c],10000, "c:\\SimonT_QQ1462109921.mp3"  //循环保存到文件
st:
esto
jmp start //循环读取


1.JPG
脚本正常将数据提取,并播放。

PS:脚本未做判断,当数据解密完后。要停止脚本,否则数据在二次解密就重复写文件了。


【结束】
编写脚本还原还是比较简单的。
写DLL注入大家也可以试试。
静态还原算法部分,也不算复杂,但涉及到多个算法,感兴趣的可以去试试。
哎,一篇破文写了2小时。有问题回复,大家一起学习交流。





IT资源社区 - 免责声明 1、本站会员可发帖,本主题所有言论和图片纯属会员个人意见,与本论坛立场无关.
2、本站所有帖子由该帖子作者发表,该帖子作者享有帖子相关权益.
3、本帖内容来源网友及会员分享和其它网络媒体.
4、本站仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除并致以最深的歉意!
5、若因内容问题IT资源社区管理员和版主有权不事先通知发贴者而删除本文.
6、本站教程仅供本站会员学习参考,不得传播及用于其他用途,学习完后请在24小时内自行删除.
7、本站邮箱地址:admin@it0365.com
回复

使用道具 举报

发表于 2019-7-13 20:21:34 | 显示全部楼层

这东西我收了!谢谢楼主!IT资源社区真好!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2019-7-13 22:10:56 | 显示全部楼层
谢谢楼主!IT资源社区真好!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2019-7-19 22:24:54 | 显示全部楼层
看下哈,嘿嘿。
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2019-7-30 11:06:53 | 显示全部楼层

楼主太厉害了!楼主,I*老*虎*U!我觉得IT资源社区真是个好地方!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2019-7-30 19:49:55 | 显示全部楼层
楼主发贴辛苦了,谢谢楼主分享!我觉得IT资源社区是注册对了!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2019-8-31 23:03:58 | 显示全部楼层
师傅我来收经验了
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

懒得打字嘛,点击右侧快捷回复 <<--快捷回复】
您需要登录后才可以回帖 登录 | 登记学习

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|IT资源社区(IT0365.COM)

GMT+8, 2019-10-14 06:49 , Processed in 0.052486 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表