最近空闲时,在网上下载到了一个加密视频替换机器码的工具,添加播放器后,填上机器码生成新播放器就能实现替换。好奇用OD跟了下,记录如下:
工具界面:
<ignore_js_op>
开始吧!
上OD(本站OD下载地址:
),载入生成器
<ignore_js_op>
从区段看,是没加壳的一个程序。
接着我们进入TEXT内存段支找字符串吧
<ignore_js_op>
<ignore_js_op>
前面igpg添写好播放器后,点生成,会提示“新的播放器生成成功”。找到该字符串后,双击进入汇编窗口找到函数开头下断。
<ignore_js_op>
<ignore_js_op>
F9运行程序,添加播放器,点击生成,OD断在了程序首。
<ignore_js_op>
接着就是F8往下走。。。。。。。。。。。。。。。。。。。。。
该处判断播放器路径是否为空:
<ignore_js_op>
该处判断机器码是否为14位:
<ignore_js_op>
下面它在做资源释放
它的资源名是:"LOADER",我们用资源工具查看下这个EXE文件:
确实程序有这么个资源文件!
资源释放后,申请了一块内存空间来存放
我们继续往下走。。。。。
后面的操作就是把机器码写入LOADER固定位置,在把播放器的内容也写到LOADER后面就直接完成了。
总结:
这个功能还是相对简单。
做的操作就是把集成到自身LOADER加载到内存,然后读取到把要替换的机器码写入到固定位置,在把播放器写到LOADER尾部就可以了。
真正替换机器码的功能是在LOADER里。下节在分析LOADER的对应功能!
金盾2018SS加密视频机器码替换工具的分析过程一
http://www.it0365.com/thread-23-1-1.html
(出处: IT资源社区)