Дружественные темы: Взлом .net, Java. Взлом и реверсинг, Взлом Android приложений, Unity3D.

Анализаторы:
SWF iD - первый и единственный анализатор для SWF, позволяет выяснить чем накрыта флэшка, имеет встроенный дампер флэшек с отсевом фэйков.

Декомпиляторы\редакторы:
Action Script Viewer (ASV) - лучшее, что есть для работы с обфусцированными swf (ru-board).
AS3 Sorcerer - только код, только as3 (от автора ASV) (ru-board).
JPEXS Free Flash Decompiler (FFDec) - декомпилятор и редактор байткода; есть автоматическая деобфускация (слабенькая), редактирование кода (именно кода!), сохранение в fla, пакетное переименование.
SWiX - редактор swf в виде xml.
Sothink SWF Decompiler (ru-board).
Eltima Flash Decompiler Trillix (ru-board).
SWFWire Inspector - отличная утилитка на AIR, которая позволяет ползать по структуре swf, декомпилировать код и т.д.
Adobe SWF Investigator - аналог SWFWire от Adobe, по некоторому функционалу интереснее.

Работа с байткодом\тэгами:
RABCDAsm - асм/дизасм байткода, опенсорс (as3).
Редактор на базе RABCDAsm - удобный редактор с подсветкой и сворачиванием блоков.
WinRABCDAsm - ещё один GUI для RABCDAsm, на этот раз более практичный - можно использовать с любой версией RABCDAsm.
RABCDAsm mod - удобная редакция RABCDasm от местного обывателя JohnyDoe, позволяет разбирать\собирать swf простым перетаскиванием на основной exe, с автоматической деобфускацией имён и некоторой чисткой от мусора.
SWF Reader - позволяет править все тэги и данные в swf, содержит декрипторы\депротекторы, разработка прекращена.
FlashHacker - инструмент на основе RABCDAsm для работы с байткодом, сделан для исследователей малвари.

Автоматизированное снятие защит
SWF Decrypt - снимает старые версии Amayeta SWF Encrypt и DComSoft SWF Protector (офсайт сдох).
+ уже упомянутые: ASV, FFDec, RABCDAsm mod и SWF Reader.

Дапмеры\Распаковщики (для тех, кому лень руками)
SWF Revealer Ultimate - самый продвинутый из автоматических инструментов данного типа, вытащит все, что проиграется в локальном проигрывателе. Платный, количество лицензий ограничено.
Есть ещё обычный SWF Revealer, который входит в комплект ASV. Тоже весьма прокачанный распаковщик, работает по другому принципу.
SWF Memory Dumper - бесплатный и простой дампер.
Sothink SWF Catcher - умеет вытаскивать swfки из кэшей браузеров и искать их в памяти процессов (ru-board).
+ уже упомянутые: SWF Reader, SWF iD.

Разное
Sulo - дополнение к Intel Pin kit. Может трейсить инструкции (пример), дампить всё что загружается с помощью loader.loadBytes() и расшифровывать SecureSWF строки.
За скомпилированный бинарь 1 спасибо JohnyDoe, еще компилил OKOB, но ссылка сдохла.

Другие местные обсуждения в области исследования Flash:
Decrypt SWF, подверженный обфускации Amayeta SWF Encrypt
Вытащить swf из exe (Camtasia Studio)
Реверсинг Adobe Flash Player
Формат данных флэш-вьювера "Электронной библиотеки" РНБ
DoSWF - professional flash encrypter
Реверсинг Флэша, поменять размер массива
Новый метод защиты swf
Реверсинг flash(action script)
www.teachshop.ru - Обновленная защита
Разбор флешки - о том, как находить и вытаскивать включённые в swf файлы с двоичными данными

Чтиво на тему
Способы "защиты" flash-приложений
Упакованный SWF. Как распаковать?
Продвинутое шифрование в DoSWF? Вызов принят!

Доки \ маны
AVM2 Overview - описание вирт. машины для as3 с опкодами и проч.
SWF File Format Specification - спецификация формата swf (строение, расположение тэгов и проч.).

Debug-версии Flash Player - тут.
Они позволяют трейсить и отлаживать код (см. описание AS3Trace и AS3Verbose тут).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: uncleua, OKOB, SReg, res, ClockMan, Gideon Vi, sendersu, Oott, _ruzmaz_, FrenFolio, d0wn, SGA, Flint, Coderess, daFix, Runner, tracename, pollllll_n, Hexxx, DenCoder, Lumen, NikolayD, AKAB, ==DJ==[ZLO], Rustem, BAHEK, SyntaX, nick8606, UniSoft, Soso, sivorog, MarcElBichon, soho

Вы не поняли другое - обычно игры подгружаются прелоадерами. Если вместо родного прелоадера игру загрузит поддельный - свой, то игра об этом не узнает. Ну, если полностью скопировать поведение оригинального прелоадера конечно ;)

А так -то я знаю много способов задетектить прелоадер, да.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Что-то я запутался чуток.

Вот такой вызов var5239() в классе Abstract является корректным или все-таки нет? Это вроде как вызов из другого класса получается. Не должно ведь вроде работать? Я просто подашманил немного через RABCDAsm. Оно работает, только я не могу понять корректно это или нет. Вроде вне самого класса функция видна не должна быть, но я к ней обращаюсь из другого класса и она спокойно отрабатывает.



| Сообщение посчитали полезным:

JohnyDoe пишет:
Вот такой вызов var5239() в классе Abstract является корректным или все-таки нет?
С точки зрения валидного кода - нет, т.к. метод var5239 является private - его вызовы должны происходить тольок в пределах класса, где он объявлен.

Чтобы обращаться к нему извне, уровень доступа следует менять на public.

Но если оно уже работает - значит подшаманить в RABCDasm'е удалось.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Вот как этот вызов в декомпилированном виде выглядит. Даже не знаю толи это баг плеера, толи какое-то непонимание его работы с кодом.



| Сообщение посчитали полезным:

Что-то WinRABCDasm работает невероятно долго. Я тут rabcdasm чуток переписал. Язык D это конечно что-то с чем-то, но читая мануал, программировать можно. Получился 1 exe и никаких промежуточных файлов не создается. Работает много быстрее, чем связка WinRABCDasm + классический rabcdasm. Правда без проблем не обошлось. Если флеш содержит множественные тэги DoABC, прога сжирает тонну памяти и падает при ассемблировании. При дизассемблировании никаких проблем нет.

Вот архивчик

http://www76.zippyshare.com/v/25316585/file.html

В архиве нет exe. Это намеренно. Может у кого-то появится интерес к работе над утечками памяти при ассемблировании, про которые я писал выше.

Процесс компиляции очень прост. Качаем компилятор языка D. Распаковываем куда-нибудь. Можно прописать директорию компилятора в переменную среды "Path". Можно не прописывать, но тогда придется указывать полный путь до exe компилятора. Запускаем так в директории с исходниками

dmd.exe -run build_rabcdasm.d 2>z.txt

На выходе будет exe.

Работает он очень просто. Принимает на входе только имя swf-файла. Если рядом уже есть директории с дизассемблированным кодом, будет собирать флешку обратно. Если директорий нет, будет дизассемблировать.

| Сообщение посчитали полезным:

WinRABCDAsm еще тупит, когда в имени флэшки есть точки или двойные расширения типа some.swf.swf.
Но вообще мне его производительности обычно хватает, если допилите свое творение - шарьте, раз рассказали!)

JohnyDoe пишет:
Язык D это конечно что-то с чем-то, но читая мануал, программировать можно.
Это точно. Я уже наигрался с D когда кодил для rabcdasm отедльный модуль для экспорта\замены тэга SymbolClass, мне хватило

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Ну, так что никто не попробовал в деле? Трое вроде скачали. Как оно?

| Сообщение посчитали полезным:

Я просто оставлю это здесь

| Сообщение посчитали полезным: 4kusNick

Gideon Vi

А что толку от него?

SWF Revealer Ultimate is limited Edition software. There will be a total of 26 installations allowed worldwide, including our own installations and any licenses given away.

Было бы интересно глянуть на результат его работы.

Что-то не пойму как тут цитату вставить. Вместо тэгов какая-то фигня вставляется. Так и до эксплуатации уязвимостей в движке форума недалеко.

Никак не пойму на кого расчитывается такой Limited Edition soft.

| Сообщение посчитали полезным:

JohnyDoe
Результат - выдранная флэшка (флэшки), вроде бы очевидно =) Выдерет всё, что запустится на локальном проигрывателе. Юзает свой, патченный ActiveX с блэкджеком - умеет прикидываться remote проигрывателем, получать FlashVars, в планах - подмена текущего домена.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick

А для кого? Там же написано что всего 26 инсталяций будет по всему миру. К тому же я и сам все это могу. И с доменом тоже разобраться не вопрос.

| Сообщение посчитали полезным:

Да, я пока тоже не встречал флэшек, которые нельзя было бы достать руками. Эта тулза для экономии времени - закинул флэшку, настроил тулзу (или даже не настраивая) - получил распакованную, быстро, удобно. Понятное дело, я бы не отдал $250 за такое удовольствие и все сделал бы сам. Так что, оно скорее ориентировано на тех, кто не умеет все это делать руками или на тех, кому приходится распаковывать очень часто и очень много, короче если покупка быстро окупится за счет сэкономленного времени.

Регистраций они всего 15 продадут - остальное уже разобраны ими самими и бета-тестерами.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick

Про удобство и сэкономленное время понятно. Меня больше смущает цифра 26. Лом флеша это ж баловство. Я даже не в курсе кому нафиг надо профессионально это все.

А если б еще спрос был большой на реверс флеша, то я бы уже давно подписался на сломать весь флеш в инете .

| Сообщение посчитали полезным:

дампер есть и в FlashEx клиенте.
В нем еще подменять можно. И доступ к внутренним полям AS скрипта.

http://exelab.ru/f/action=vthread&forum=5&topic=19435

| Сообщение посчитали полезным:

JohnyDoe
Я недавно видел вакансию - требовался реверсер Flash \ Java + разбор PDF на постоянную удаленку (от $2500 в мес), так что кому-то оно видимо надо (правда попахивает уголовщиной). Но вцелом, у меня примерно такое же ощущение - уровень востребованности таких знаний пипец какой маленький, мало кому и редко кому нужно заломать что-то в больших объемах, только если каким-нибудь казиношникам или жуликам-ворам =)

С другой стороны - оно и понятно, это весьма узкое направление, причем с защитами такая же скукота - крутых, интересных защит - единицы да и те почти не обновляются, ну и вообще наблюдается тотальный упадок активности по обе стороны баррикад - о защите почти никто не думает, а те кто думают о взломе - чаще всего справляются типичными декомпилями (в силу предыдущего пункта) и им особые навыки и знания нафиг не сдались.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

такое впечатление, что ни кто в flash инди не был Китайцы воруют игры с чужих порталов в промышленных масштабах - считайте, что уже раскупили 15 лицензий.

JohnyDoe пишет:
Меня больше смущает цифра 26

ну, как бы надобность в инстурменте не большая, а заставить быстро купить надо. Нормальная такая бизнес-модель.

JohnyDoe пишет:
Было бы интересно глянуть на результат его работы.

--> Link <-- - attention, PR detected!

| Сообщение посчитали полезным: 4kusNick

Gideon Vi пишет:
такое впечатление, что ни кто в flash инди не был
Я не был!) Но вообще да, знаю, что это очень частая практика - уводят с популярных площадок к себе на уютные китайские порталы)

Gideon Vi пишет:
--> Link <-- - attention, PR detected!
Отличный блог, рекомендую!

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Gideon Vi

А что значит в flash инди не был?

По-поводу DoSWF. Я его ни разу не видел на игровых порталах. Обычно сами же китайцы и защищают то что честно украли своим же DoSWF.

На игровых порталах обычно isURL() или domainAllowed() и все. И даже обфускаторов часто не используют.

| Сообщение посчитали полезным:

JohnyDoe пишет:
А что значит в flash инди не был?
Значит не разрабатывал сам свои flash игры для порталов или мобилок например.

JohnyDoe пишет:
По-поводу DoSWF. Я его ни разу не видел на игровых порталах. Обычно сами же китайцы и защищают то что честно украли своим же DoSWF.
Да, аналогично. И причин тому думаю несколько:
- о DoSWF не многие знают (по сравнению со всяким шлаком типа Amayeta), т.к. он гуглится не так легко как другой такой софт
- DoSWF не умеет нормально работать с большими флэшками - столько лет прошло, а даже посредственную по объемам флэшку он не может накрыть не сломав, по-крайней мере те 2, что я пробовал (разные, 2 и 5 мб) он поломал
- ...

JohnyDoe пишет:
На игровых порталах обычно isURL() или domainAllowed() и все. И даже обфускаторов часто не используют.
Угу, это как раз то, о чем я говорил выше - поавльная безграмотность в вопросах безопасности - большинство не в курсе, что swf можно отредактировать, а те кто в теме используют обфускацию, т.к. знают, что это единственная реальная защита для swf. Те кто городит огород из матрешек и всяких проверок - тоже обычно не в теме, либо стараются сделать работу реверсера дороже.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

К вопросу о том что ничего нового не появлялось на ниве защиты флеша.

Вот случайно натолкнулся на такую флешку. Какой-то китайской поделкой версии 1.4.4 накрыто, судя по метаданным.

http://swf.yeahgame.com/down/pandagunshop.zip

Внутри видимо какие-то левые объекты напиханы, которые не воспринимаются плеером, но декомпилерам выносят мозг. Судя по всему эти объекты являются спрайтами с AS 2.0 кодом.

А может я просто не в курсе был что такое существует?

И до меня только что дошло что я сделал не так с rabcdasm. Теперь никаких проблем с ним нет.

Вот новые исходники.

http://www60.zippyshare.com/v/99679353/file.html

В архиве присутствует тестовый swf с 473 тэгами DoABC. Можете потестить насколько быстро работает моя сборка по сравнению с классическим использованием rabcdasm'a.

P.S. в архиве только исходники, exe по традиции нет.

| Сообщение посчитали полезным:

Monster Debugger - отладчик с открытым исходным кодом для Adobe Flash, Flex и Air.
TheMiner - профилировщик для Adobe Flash и Air. Доступна бесплатная версия.

Чтобы подключить TheMiner, его нужно установить в качестве прелоадера.
Как это сделать, описано ЗДЕСЬ
Если коротко, то нужно создать файл %USERPROFILE%\mm.cfg и вписать в него строчку

После этого, можно открывать любую флэшку в отладочной версии Flash Player'а - TheMiner будет там.
Также, можно присоединиться к отлаживаемой флэшке Monster Debugger'ом - достаточно включить соответствующую опцию в настройках TheMiner

btw. Более полное описание параметров, доступных для настройки в файле mm.cfg - ЗДЕСЬ
Там еще много интересных опций.

| Сообщение посчитали полезным:

Кстати консоль в демайнере не его автором написана. Спрашивается нафига она отключена в обычной версии. Самое интересное что сами классы консоли внутри имеются.

Если пересобрать этот демайнер, удалив оттуда всякие аналитики и классы гугла, он становится в 3 раза меньше

И кстати консолька там версии 2.7beta. 2.6 прикольнее была. Можно было расстояния и углы мерить И можно было глянуть хуизху на сцене.



| Сообщение посчитали полезным:

В 2.7 это все тоже есть, только в виде отдельных модулей.
Консольку в майнер добавили по моей просьбе xD
Но, к сожалению, майнер давно не обновляется, автору не до того в последнее время (ещё бы, с 5тью-то детьми!).

Да и автор консольки над js версией работает, флэшовую подзабросил. В общем, упадок и разруха =)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick а профайл загрузчиков не делает ли тоже самое что и SWF Revealer? Очень похоже. Ведь он позволяет сохранить все что подгрузилось.

Ты не пробовал rabcdasm all-in-one?

| Сообщение посчитали полезным:

Нет, PreloadSWF - это несколько другое, revealer'ы работают иначе (каждый по-своему).
А так да - можно вполне успешно использовать эту возможность отладочного проигрывателя, прадва дамп обычно быстрее и проще. Зато PreloadSWF удобно использовать для внедрения во флэшку - пробежаться там по её DisplayList'у например, дёрнуть доступные (и не очень) методы, понажимать кнопочки, в общем мечта ботовода =)

JohnyDoe пишет:
rabcdasm all-in-one
Не сталкивался, а что это, ещё одна IDE? Вцелом как я уже вроде ранее писал - юзаю WinRABCDAsm - есть конечно некоторые неудобства, но вполне пригодно для тех задач, с которыми я обычно сталкиваюсь.
С другой стороны был бы рад, чему-то более шустрому, менее глючному и такому же удобному (самому правда не охота такое кодить - сейчас нет времени на такие развлечения).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

all-in-one это то что я выложил выше . Переделанный rabcdasm, которому нужно только имя файла для работы и который не плодит лишних файлов в процессе работы.

Тут заметил что одна кнопка в профайлере памяти демайнера залазит на остальные. Я так понимаю что у всех этот глюк наблюдается.

Самое странное что координата x вроде верная, если не считать что автор видимо попутал что-то и вместо 16 прибавил 9.

mPauseButton_x:450
mClearButton_x:434
mSaveSnapshotButton_x:418
mPerFrame_x:409

| Сообщение посчитали полезным:

JohnyDoe пишет:
all-in-one это то что я выложил выше
А, понятно, не, не пробовал - не было необходимости, да еще возмться с компиляцией - пока WinRABCDAsm выручает.

JohnyDoe пишет:
Тут заметил что одна кнопка в профайлере памяти демайнера залазит на остальные
Вполне возможно, после релиза было довольно много багов и не только по дизайну... После пары апдейтов авто многое поправил, но не все - вон солько всего в багтрекере висит без решения: http://www.sociodox.com/TheMinerBugBase/my_view_page.php

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Ну, если всем лень компилировать, вот exe.

http://www24.zippyshare.com/v/37042520/file.html

Можно WinRABCDAsm в принципе переделать чуток под работу с этой версией. Но у меня почему-то даже оригинал из исходников не собирается.

| Сообщение посчитали полезным: Gideon Vi, 4kusNick

Никто не в курсе по поводу вот этой софтины http://www.nirsoft.net/utils/flash_cookies_view.html

На сайте на скриншоте видно что утилита показывает в нижней части что конкретно сохранено. У меня почему-то там пусто. Устарела? В hex все видно естественно. А вот в текстовом виде пусто.

| Сообщение посчитали полезным:

JohnyDoe
Сегодня попался проектик в котором аж 501 ABC тэг! WinRABCDAsm разбирал и пересобирал очень медленно, наверное по минуте на каждое действие, твой вариант рулит - разбирает\пересобирает за секунды, спасибо!

JohnyDoe пишет:
Никто не в курсе по поводу вот этой софтины http://www.nirsoft.net/utils/flash_cookies_view.html
Сам не пользовался, но вообще в сети куча аналогов - гугли sol или SharedObject viewer\editor.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: