【吾爱第四届动画大赛参赛作品】逆向分析破解金盾2016S正阳加密视频

sunflover

【吾爱第四届动画大赛参赛作品】- 逆向分析破解金盾2016S正阳加密视频

Hi,大家好,我是sunflover

视频教程包括以下内容:
从视频加密到视频提取分析全过程
1:金盾2016S正阳加密视频去除翻录
2:去除复制粘贴限制
3:提取思路分析
4:OD分析锁定关键地址
5:VS2010写DLL用于HOOK播放器实现视频提取

【吾爱第四届动画大赛参赛作品】- 逆向分析破解金盾2016S正阳加密视频
by sunflover
2015-01-17

加密密钥:52pojie
83309616a056b5008734e26da550b07986329417a656c6008133e26da250b37980309111a753b60785349017a655b37980309716a556b7078031946da250b27981359716a756b3008734e16da355b479d163c6

===========================
OpenClipboard

[Asm] 纯文本查看 复制代码

?

1 2 3 4 5 6 7

ReadFile 0018EB94   76743EE7  /CALL 到 ReadFile 来自 kernel32.76743EE2 0018EB98   000008D0  |hFile = 000008D0 (window) 0018EB9C   0A5C786C  |Buffer = 0A5C786C 0018EBA0   00000100  |BytesToRead = 100 (256.) 0018EBA4   0018EBF4  |pBytesRead = 0018EBF4 0018EBA8   00000000  \pOverlapped = NULL

[Asm] 纯文本查看 复制代码

?

1 2 3 4 5 6

SetFilePointer 0018F8C0   00429D1B  /CALL 到 SetFilePointer 来自 专用播放.00429D16 0018F8C4   00000808  |hFile = 00000808 (window) 0018F8C8   FFFFFFFC  |OffsetLo = FFFFFFFC (-4.) 0018F8CC   0018F8E0  |pOffsetHi = 0018F8E0 0018F8D0   00000002  \Origin = FILE_END

[Asm] 纯文本查看 复制代码

?

1 2 3 4 5 6 7

00981A43    E8 784FA8FF     call    004069C0 00981A48    8BC7            mov     eax, edi 00981A4A    99              cdq 栈顶: 0018E724   01F5E420//buffer 0018E728   00008000//length 0018E72C   0000BAC8//offset

[Asm] 纯文本查看 复制代码

?

1 2 3 4 5 6 7 8

00981A67    8BC7            mov     eax, edi 00981A69    83C4 28         add     esp, 0x28 00981A6C    5D              pop     ebp 00981A6D    5F              pop     edi 00981A6E    5E              pop     esi 00981A6F    5B              pop     ebx 00981A70    C3              retn //8BC783C4285D5F5E5BC3

[Asm] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

//hook 00981A67 实现提取 //shellcode call dump pushad pushfd push    dword ptr [esp+0x2C] push    dword ptr [esp+0x2C] push    dword ptr [esp+0x2C] mov     eax, 0x401000 call    eax add     esp, 0xC popfd popad mov     eax, edi add     esp, 0x28 push    0x401000 retn //60 9C FF 74 24 2C FF 74 24 2C FF 74 24 2C B8 00 10 40 00 FF D0 83 C4 0C 9D 61 8B C7 83 C4 28 68 00 10 40 00 C3 90

加载DLL我常用的两种方法:
1:增加导入表
2:hijack dll ws2_32.dll version.dll lpk.dll

================================
__stdcall 和 __cdecl 的区别浅析
http://www.jb51.net/article/34554.htm

WINDOWS进程或线程号为什么是4的倍数
http://www.cnblogs.com/Thriving- ... /09/18/2180143.html
================================

感谢Rookietp,Kido,yes2ever这三位师傅对我的帮助

感谢大家观看 再见

教程错误错误之处在所难免,请大家及时指出,以免误导了大家,还望大大们务喷!

声明：教程仅供交流学习，请勿用于非法用途。
点我下载视频教程
由于有很多网友不喜欢看帖,找不到下载地址,我那就直接贴地址了:
http://pan.baidu.com/s/1ntr8hWt
原稿: 【吾爱第四届动画大赛参赛作品】- 逆向分析破解金盾2016S正阳加密视频.txt (131 Bytes, 下载次数: 6)

2015-1-18 11:10 上传

点击文件名下载附件
阅读权限: 80

aware

有点疑问，想问下楼主，感谢楼主的无私奉献精神，如果是在知道机器码和播放密码的情况下，。将视频直接拖入播放器（已关联dll文件）就可以实现视频提取了？刚才实验了下，发现没有提取成功，然后尝试将播放器用load-pe重新添加目录添加表，添加DLL文件，还是一样，会不会是我哪里操作错误，还是缺少了某步骤，请楼主指教。感激不尽。

aware

今天又测试了下，分别，WINDOWS7和XP，XP播放后生成AVI的目录不是本文件夹，WINDOWS7生成的AVI是在本文件夹，XP生成的AVI是在C:\Documents and Settings\Administrator下，所以，用XP的朋友注意了，不要跟我犯同样的错误，再次诚心的感谢，SUNFLOVER大神的杰作，如果不是你的研究，我们估计还要不停的用机器码和播放密码播放，太繁琐了。。。谁用谁知道！也希望大家共同进步，

catty870807

终于等到作品问世了，感谢大牛，抢个沙发来慢慢看

囚徒灬

向日师傅么么哒

bigharvest

牛擦  不解释

UnRegister

菊花哥哥，32个，偶不，520个赞

Fw_8850

额。。大神作品…只有膜拜

sunflover

catty870807 发表于 2015-1-18 11:29
终于等到作品问世了，感谢大牛，抢个沙发来慢慢看

有空会跟大家多分享些东西的,毕竟网络存在的意义在于分享

sunflover

bigharvest 发表于 2015-1-18 12:33
牛擦  不解释

师傅过奖了,会玩CM才牛叉