本文主要給大家介紹flash文件通過(guò)執(zhí)行文件方式加密過(guò)后如何進(jìn)行解密。
　　工具：OD Lordpe 16進(jìn)制編輯器
　　程序：多彩的夏天.exe
　　目的：從EXE文件中導(dǎo)出SWF，之后可以進(jìn)行反編及修改操作
　　說(shuō)明：為了研究需要而處理的。不敬之處請(qǐng)您諒解。

　　1、OD導(dǎo)入程序。

　　停在這里

　　004B556B > $ 6A 60 PUSH 60
　　004B556D . 68 30805300 PUSH 多彩夏天.00538030
　　004B5572 . E8 E9EBFFFF CALL 多彩夏天.004B4160
　　004B5577 . BF 94000000 MOV EDI,94
　　004B557C . 8BC7 MOV EAX,EDI
　　004B557E . E8 CD95FFFF CALL 多彩夏天.004AEB50

　　2、執(zhí)行程序，之后可以看到程序運(yùn)行的界面。以及播放的FLASH動(dòng)畫(huà)。

　　注意：此程序不是用Flash播放器生成的EXE文件，所以不能用網(wǎng)上的一些去頭的方法進(jìn)行處理。

　　到OD中。

　　ALT+M顯示內(nèi)存列表。

　　選一些比較大的內(nèi)存塊，鼠標(biāo)右鍵，在CPU中進(jìn)行轉(zhuǎn)存，這樣在數(shù)據(jù)區(qū)時(shí)可以看到內(nèi)存塊的內(nèi)容了，進(jìn)行二進(jìn)制的搜索Flash文件的頭FWS 字符，如果你找到了，可以看一下，這一塊內(nèi)容離塊的頭并不遠(yuǎn)，實(shí)際上不用找也能看到的。

01DF0000 50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00 P._ P._ ........
01DF0010 00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00 .`'..`'. .....
01DF0020 46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70 FWS ?'.x.?. p
01DF0030 00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00 ... .C ??D ...
01DF0040 3F 03 02 00 00 00 07 00 BF 05 76 2D 00 00 01 00 ? ....?v-.. .

　　大約在塊頭的20H開(kāi)始，簡(jiǎn)單說(shuō)一下Flash頭的格式:

　　01DF0020 46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70 FWS ?'.x.?. p
====== -- =========

標(biāo)示 版本 長(zhǎng)度

　　長(zhǎng)度內(nèi)容一會(huì)要用的。當(dāng)前文件的長(zhǎng)度是2757EEH字節(jié)長(zhǎng)，1DF0020+2757EE=1E6580E 說(shuō)明我們的Flash到此位置

　　3、上lordpe，在path中選中程序的名稱(chēng)列表。

　　鼠標(biāo)右鍵 dump region 漢語(yǔ)是 脫殼部分區(qū)域。

　　在列表中選中我們剛才的內(nèi)存塊了。

　　右鍵 dump，保存文件AA.SWF。

　　4、用16進(jìn)制編輯器打開(kāi)生成的文件AA.SWF,去掉頭20H字節(jié)， 之后到2257EEH處，刪除后面的字節(jié)。

　　之后SWF文件就可以看到了，用播放器可以看。用AVS可以反編。

　　5、總結(jié)

　　現(xiàn)在網(wǎng)上的Flash的文件加密方法很多，但常是能被反編譯，之后改文件，改底稿，改圖片，為了保護(hù)作者的權(quán)力，可謂保護(hù)起來(lái)不遺余力了。

　　這種保護(hù)方法是用VC編程，之后在程序中調(diào)用播放Flash的控件，再調(diào)用Flash文件進(jìn)行播放。因?yàn)閿?shù)據(jù)是被壓縮的，不能直接dump出來(lái)的。