吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19545|回复: 14
收起左侧

[调试逆向] (转)天狼星加密视频的一点研究

  [复制链接]
Ruin 发表于 2012-6-19 17:45
文章来自orztxt

没有通用性,因为版本众多。

简单讲一下机器码的构成:
    例如:8617874345161312345643335350303238205016
     大致可以分为5个部分:
    8617874345(1613)123456   硬盘序列号相关
    4333535030   mac地址相关
    3238     cpuid相关
    2        前面所有位的一个校验值
   050(16)    050即十进制50,本例中是前面一位'2'的ascii码值,也就是0x32,   16是50整除3后的商

      4333535030, mac地址的计算是将mac地址的移位后分成两部分相乘得到,然后将第11、12位附加到第1、2位再整除2,最后取出前10位。主要是浮点运算。
     8617874345(1613)123456   硬盘序列号相关本来是86178743456780123456,每一位数不超过8,是因为mod 9的原因,由于我的硬盘序列号只有8个字符后面全是空格按照它的算法后面就是456780123456,非常有规律,所以这里利用了由cpuid得到的4个字节与括号中的xor了一下,
45(6780)123456,最后变成了45(1613)123456,起到迷惑大家的作用。

008F3F20                                        54  05 00 00 4F 2E 00 00 45      
008F3F30   B4 00 00 E9 C1 00 00 8B  DB 00 00 65 2D 00 00 23  
008F3F40   42 00 00 18 99 00 00 06  48 00 00 F7 0C 00 00 1D   
008F3F50   EC 00 00 7C A8 00 00 12  81 00 00 19 64 00 00 00
008F3F60   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00                  
008F3F70   00 00 00 00 00 00 00 00  00 00 00 08 00 00 00 08                  
008F3F80   00 00 00 23 D7 0E 00 70  6D 6C 78 7A 6A 6D 6C 78     
008F3F90   00 00 00                                             

                                               对于有些老版本,在加密视频尾部可以看到类似上面的数据,从尾部偏移0x34开始连续取出0x38字节数据:

008F3F20                                        54  05 00 00 4F 2E 00 00 45        008F3F30   B4 00 00 E9 C1 00 00 8B  DB 00 00 65 2D 00 00 23   
008F3F40   42 00 00 18 99 00 00 06   48 00 00 F7 0C 00 00 1D   008F3F50   EC 00 00 7C A8 00 00 12  81 00 00 19 64 00 00   
这些数据都是预先计算好的,当视频播放时会有一段代码重新计算出这些值,并与之比较。
      
以下数据是用OD脚本拦截得到,格式是:
起始地址:字节长度   ax=该段内存数据的校验值      
00401001:0000C800  ax: 00000554    //c800=50k
0040D801:0000C800  ax: 00002E4F
0041A001:0000C800  ax: 0000B445
00426801:0000C800  ax: 0000C1E9
00433001:0000C800  ax: 0000DB8B
0043F801:0000C800  ax: 00002D65
0044C001:0000C800  ax: 00004223
00458801:0000C800  ax: 00009918
00465001:0000C800  ax: 00004806
00471801:0000C800  ax: 00000CF7
0047E001:0000C800  ax: 0000EC1D
0048A801:0000C800  ax: 0000A87C
00497001:0000C800  ax: 00008112
004A3801:000007FF  ax: 00006419
这里显然与视频尾部的数据完全一致,因为我下的硬件断点,也没有修改内存数据。
      天狼星内存检测的方法多种多多样,反调试很多,这里权当抛砖引玉,欢迎讨论交流。

免费评分

参与人数 1热心值 +1 收起 理由
1029973124 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

tcpper 发表于 2012-6-19 17:56
膜拜楼主,强大
ITChenXI 发表于 2015-2-2 03:56
盛开阳阳 发表于 2015-3-14 14:23
xie83544109 发表于 2012-6-19 18:17

认真看看,多谢楼主哟
lbj2004 发表于 2012-7-26 22:42
认真看看,多谢楼主
hexi7164 发表于 2012-8-3 19:40
不错不错 很好很强大
Chenxs110 发表于 2012-8-9 17:36
获取了这么多的标识用作加密,真变态
感谢分享
头像被屏蔽
苏烟式 发表于 2014-7-21 01:50
提示: 作者被禁止或删除 内容自动屏蔽
kanxue2018 发表于 2014-11-12 20:00
膜拜楼主,强大ya
yt753302 发表于 2015-2-4 15:57 来自手机
这个可以有
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 18:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表