Дружественные темы: Взлом .net, Java. Взлом и реверсинг, Взлом Android приложений, Unity3D.

Анализаторы:
SWF iD - первый и единственный анализатор для SWF, позволяет выяснить чем накрыта флэшка, имеет встроенный дампер флэшек с отсевом фэйков.

Декомпиляторы\редакторы:
Action Script Viewer (ASV) - лучшее, что есть для работы с обфусцированными swf (ru-board).
AS3 Sorcerer - только код, только as3 (от автора ASV) (ru-board).
JPEXS Free Flash Decompiler (FFDec) - декомпилятор и редактор байткода; есть автоматическая деобфускация (слабенькая), редактирование кода (именно кода!), сохранение в fla, пакетное переименование.
SWiX - редактор swf в виде xml.
Sothink SWF Decompiler (ru-board).
Eltima Flash Decompiler Trillix (ru-board).
SWFWire Inspector - отличная утилитка на AIR, которая позволяет ползать по структуре swf, декомпилировать код и т.д.
Adobe SWF Investigator - аналог SWFWire от Adobe, по некоторому функционалу интереснее.

Работа с байткодом\тэгами:
RABCDAsm - асм/дизасм байткода, опенсорс (as3).
Редактор на базе RABCDAsm - удобный редактор с подсветкой и сворачиванием блоков.
WinRABCDAsm - ещё один GUI для RABCDAsm, на этот раз более практичный - можно использовать с любой версией RABCDAsm.
RABCDAsm mod - удобная редакция RABCDasm от местного обывателя JohnyDoe, позволяет разбирать\собирать swf простым перетаскиванием на основной exe, с автоматической деобфускацией имён и некоторой чисткой от мусора.
SWF Reader - позволяет править все тэги и данные в swf, содержит декрипторы\депротекторы, разработка прекращена.
FlashHacker - инструмент на основе RABCDAsm для работы с байткодом, сделан для исследователей малвари.

Автоматизированное снятие защит
SWF Decrypt - снимает старые версии Amayeta SWF Encrypt и DComSoft SWF Protector (офсайт сдох).
+ уже упомянутые: ASV, FFDec, RABCDAsm mod и SWF Reader.

Дапмеры\Распаковщики (для тех, кому лень руками)
SWF Revealer Ultimate - самый продвинутый из автоматических инструментов данного типа, вытащит все, что проиграется в локальном проигрывателе. Платный, количество лицензий ограничено.
Есть ещё обычный SWF Revealer, который входит в комплект ASV. Тоже весьма прокачанный распаковщик, работает по другому принципу.
SWF Memory Dumper - бесплатный и простой дампер.
Sothink SWF Catcher - умеет вытаскивать swfки из кэшей браузеров и искать их в памяти процессов (ru-board).
+ уже упомянутые: SWF Reader, SWF iD.

Разное
Sulo - дополнение к Intel Pin kit. Может трейсить инструкции (пример), дампить всё что загружается с помощью loader.loadBytes() и расшифровывать SecureSWF строки.
За скомпилированный бинарь 1 спасибо JohnyDoe, еще компилил OKOB, но ссылка сдохла.

Другие местные обсуждения в области исследования Flash:
Decrypt SWF, подверженный обфускации Amayeta SWF Encrypt
Вытащить swf из exe (Camtasia Studio)
Реверсинг Adobe Flash Player
Формат данных флэш-вьювера "Электронной библиотеки" РНБ
DoSWF - professional flash encrypter
Реверсинг Флэша, поменять размер массива
Новый метод защиты swf
Реверсинг flash(action script)
www.teachshop.ru - Обновленная защита
Разбор флешки - о том, как находить и вытаскивать включённые в swf файлы с двоичными данными

Чтиво на тему
Способы "защиты" flash-приложений
Упакованный SWF. Как распаковать?
Продвинутое шифрование в DoSWF? Вызов принят!

Доки \ маны
AVM2 Overview - описание вирт. машины для as3 с опкодами и проч.
SWF File Format Specification - спецификация формата swf (строение, расположение тэгов и проч.).

Debug-версии Flash Player - тут.
Они позволяют трейсить и отлаживать код (см. описание AS3Trace и AS3Verbose тут).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: uncleua, OKOB, SReg, res, ClockMan, Gideon Vi, sendersu, Oott, _ruzmaz_, FrenFolio, d0wn, SGA, Flint, Coderess, daFix, Runner, tracename, pollllll_n, Hexxx, DenCoder, Lumen, NikolayD, AKAB, ==DJ==[ZLO], Rustem, BAHEK, SyntaX, nick8606, UniSoft, Soso, sivorog, MarcElBichon, soho

4kusNick, ситуация похожа на ту, что описал Isaev. Есть флешка, накрытая (подозрение такое) SecureSWF. Она скорее всего является wrapper для других флешек.Открывается в iframe по https.
Собственно из-за такой схожести и посмел спросить о чем-то тутороподобном... Сам в реверсе swf не копенгаген (

| Сообщение посчитали полезным:

Ну так и почитайте что мы советовали Isaev. Там упоминались разные инструменты, которые вам могут пригодиться.
Проверьте сперва что вообще грузится, потом найдите жертву и работайте с ней - маппите через чарли или подменяйте вручную, если я вообще правильно понял что вам нужно.

Если не понятно как что-то конкретное сделать - спрашивайте, пока я с трудом понимаю вашу задачу и конечную цель и на чём именно вы застряли.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick, может Вы и гуру, но вопрос был не про то, что делать мне, а не планирует ли кто-то из вас что-то тутороподобное. Перечитать все посты как-то хватило озу и без подсказок.

| Сообщение посчитали полезным:

Зашел посмотреть, что там нового в JPEXS Free Flash Decompiler. Оказалось отладчик флеша в нем появился. Сам не пользовался, но кто-то вроде интересовался.

| Сообщение посчитали полезным: DenCoder

http://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html
http://www.opennet.ru/opennews/art.shtml?num=43438
Помянем.

| Сообщение посчитали полезным:

Рано еще закапывать...

http://habrahabr.ru/post/272195/

| Сообщение посчитали полезным:

Вопрос знатокам байт кода AS3 имеем такой код



Его байт код

при замене


на


флешь вылетает с ошибкой но если занопить часть кода то флешь работает нормально
Ещё вопрос есть инфа по опкодам AS3?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Инфу по опкодам можно в офмане для avm2 посмотреть:
--> Link <--

pushbyte в частности принимает аргумент - какой именно байт пушить

pushbyte 1 напр.

ClockMan пишет:
от меняя тебе ашь две благодарности
ы

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: ClockMan

4kusNick пишет:
Инфу по опкодам можно в офмане для avm2 посмотреть:
--> Link <--
Спасибо решил по изучать AS3 )))
Разобрался
Нужно было писать так(меняю в чужой флешке байт код)

P.S
от меняя тебе ашь две благодарности

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: 4kusNick

В hex-редакторе меняешь? Так уже никто не делает . Разве что, только если as2 код обфусцирован и его нельзя восстановить чем-нибудь.

flasm для as2
rabcdasm для as3

| Сообщение посчитали полезным:

Либо FFDec для обоих случаев (если нет обфускации, или она не серьёзная).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick предпочитаю исключительно rabcdasm использовать. В этом случае для меня результат получается гарантированно предсказуемым. Однажды пришлось "оперировать" флешку в которую влезли не очень умелые руки, вооруженные FFDec'ом. Было интересно покопаться, но для простого любителя поковыряться в флеше все закончилось бы отправкой в морг. В смысле флешки . Были нарушены всего пара значений на бинарном уровне в DoABC блоке, но этого достаточно, чтобы испортить его и больше никогда не восстановить. Инструментов ведь для хирургического вмешательства не существует. Любые декомпиляторы просто падают без каких-либо предупреждений в таком случае. Честно говоря, я даже не знаю как такое с флешкой могло произойти. Но вызов меня порадовал

| Сообщение посчитали полезным:

JohnyDoe
Раньше тоже использовал исключительно RABCDAsm, в том числе твою суперскую тулзу, которая автоматизирует всю рутину, т.к. других надёжных инструментов просто не было, FFDec тогда в большинстве случаев запарывал либо структуру, либо байткод, либо что-нибудь ещё.

Сейчас же FFDec'ом пользуюсь чаще, т.к. большинство таких багов уже поправили и в нём значительно быстрее процесс проходит, особенно если надо переписать большие объёмы. Ну и встроенный отладчик иногда полезен бывает.

Конечно, он и сейчас может запороть флэшку, особенно если она обфусцирована, потому сперва пробую им, а если вижу ошибки в консоли или если на выходе получается нерабочий файл - достаю с полки rabcdasm.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

JohnyDoe пишет:
В hex-редакторе меняешь? Так уже никто не делает
Мне много и не надо поменять пару байт,вообще я только начил изучать эти дебри))))))))
Ещё вопрос по структуре флешек может скинете мануал по структуре SWF файлов?
Всё нашёл --> Link <-- может в шапке поправить и добавить эти ссылки ,если вдруг кому то понадобится эта инфа в будущем

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Структуру флешек можно детально изучить поигравшись со SWIX, Sothink SWF Editor. Eltima Flash Decompiler также может сдампить структуру флешки. Там все наглядно. SWF Editor при этом подсвечивает шестнадцатиричные данные связанные с теми или иными значениями. Правда часто значения упакованы и поэтому нельзя точно понять каким образом значение хранится внутри файла. SWIX умеет пересобирать флешку обратно. Но не стоит его использовать для пересборки. Файл может быть испорчен. У меня были проблемы со звуками после пересборки.

4kusNick
Надо будет попробовать FFDec в деле. Я его пробовал использовать только для деобфускации, но безуспешно. Потому и забил на него.

| Сообщение посчитали полезным:

Доброго времени суток!

Существуют ли готовые решения или наработки по созданию лоадеров для флэш?
Задача такая:
1. Отследить загрузку флэш в память программы
2. Найти и заменить определенные байты

| Сообщение посчитали полезным:

manco
В чём конкретно вопрос? Что пробовали, что не получается?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Есть exe обертка + swf (на флексе). Отдельно запустить swf в браузере или отладочной версии флэшплеера не получается.

Снял дамп флэшки, подправил нужные байты - все работает как надо, но вместо патча файла, хотелось бы сделать лоадер, который патчит флэш в памяти. Лоадеры, которыми я пробовал это делать (dup, uppp) не помогли.

Вот собственно и спрашиваю. И попутно, как подцепить отладчик (типа монстердебагер) к флэшке, которая запускается со своей флэшбиблиотекой, а не системной? правка mm.cfg не помогла.

| Сообщение посчитали полезным:

Готовых инструментов для таких задач я не видел, возможно придется кодить - ловить swf после чтения с диска но до съедения проигрывателем и патчить.
Ещё можно попробовать пропатчить swf в памяти уже после того как проигрыватель его прогрузит, но тут могут быть неожиданные неприятности.

По поводу отладчиков по типу монстрдебаггер и т.п. - если своя флэш-либа стандартная, то посмотреть отладочная или нет, если нет, попробовать заменить на отладочную, релизная вроде бы в mm.cfg не смотрит или не всё оттуда прорабатывает.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

RABCDAsm v1.18 (2016.01.16)
---------------------------

* Fix disassembly of `pushbyte` instructions (the AVM specification
incorrectly lists the argument as unsigned).
* Bump `#version` directive of new disassemblies to 4:
- Versions below 4 treat `pushbyte` as unsigned, and throw an exception if
the argument is outside the range `0` ... `255`.
- Versions 4 and above treat `pushbyte` as signed, and throw an exception
if the argument is outside the range `-128` ... `127`.
* Fix buffer reuse bugs when using macros
* Dump floating-point numbers in hex notation if necessary to ensure precision
* Cease emitting a number in a comment after opening `script` tags
* Detect a known DMD bug in `build_rabcdasm`
* Ignore invalid file size in header

сорцы
бинарники

| Сообщение посчитали полезным: 4kusNick, tracename

FFDec 8.0
Обновился неплохо так - теперь можно отлаживать на уровне p-кода и они наконец занялись деобфускацией - проверил на нескольких семплах, которые раньше FFDec не мог осилить - все декомпильнулось отлично.

--> Link <--



-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: nick8606, ClockMan, -=AkaBOSS=-, t0ShA, tracename

JPEXS Free Flash Decompiler (FFDec) 9.0.0

--> Link <--



| Сообщение посчитали полезным: nick8606, -=AkaBOSS=-

Добрый вечер подскажите есть ли программа для редактирования swf файлов с функцией импорта скриптов обратно

Это программа https://www.free-decompiler.com/flash/download/ позволяет лишь экспортировать из файла скрипты в формате as вот скрин https://cloud.mail.ru/public/GLSy/q59Vs3ojw

А вот что б обратно его засунуть я такого не нашел увы ) Ну то есть я экспортировал все скрипты из файла swf на компьютер отредактировал их и хочу обратно засунуть их в этот файл swf Возможно ли такое ?

| Сообщение посчитали полезным:

для несложных патчей FFDec предлагает возможность править сам код
но у меня чёт постоянно косяки с пространствами имён там вылазили (еще в версии 8, новые не тестил)

можно еще конешн разбирать всё до уровня исходников и молиться чтобы успешно пересобралось

но надёжнее всего - учить байткод и править его RABCDasm'ом

| Сообщение посчитали полезным:

при вопроса к знатокам

1) есть такой кусок кода
public static function decrypt(cipher:ByteArray, password:String) : ByteArray
{
...
var array2:* = new ByteArray();
array2.writeUTFBytes(password);
array2.writeBytes(cipher, 0, 16);
...
вопрос: перетирается ли в array2 часть пароля password, или (cipher, 0, 16) дописывается в его конец?

2) в выражении
tmp2 = tmp2 + array3[index1] + _MD5_digest.charCodeAt(index1 % _MD5_digest.length) & 255;
маскироваться будет вся сумма
tmp2 + array3[index1] + _MD5_digest.charCodeAt(index1 % _MD5_digest.length)
или только последнее слагаемое _MD5_digest.charCodeAt(index1 % _MD5_digest.length)?

3) вышеупомянутый декрипт применяется к байткоду перед загрузкой
var loader:* = new Loader();
var cipher:* = Run_main;
var plain:* = decrypt(ByteArray(new cipher), password);
loader.loadBytes(plain);
вопрос: как в файле найти начало Run_main?

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
вопрос: перетирается ли в array2 часть пароля password, или (cipher, 0, 16) дописывается в его конец?
перетирается, т.к. пишут 16 байт с 0 оффсета (с начала массива).

OKOB пишет:
маскироваться будет вся сумма
tmp2 + array3[index1] + _MD5_digest.charCodeAt(index1 % _MD5_digest.length)
или только последнее слагаемое _MD5_digest.charCodeAt(index1 % _MD5_digest.length)?
Побитовое & выполнится после сложений (к сумме).

OKOB пишет:
вопрос: как в файле найти начало Run_main?
Судя по всему это просто массив байт, тэг DefineBinaryData, его легко найти с помощью того же FFDec, в разделе binaryData.
Там должен быть ваш тэг с именем символа Run_main. Там и offset посмотреть можно (начало массива в файле), да и сам массив выдрать.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: OKOB

собрали такой сэмпл
package {
import flash.display.Sprite;
import flash.utils.ByteArray;
import flash.utils.*;
import flash.text.TextField;


public class FlashTest extends Sprite {
public function FlashTest() {

var newBytes:ByteArray = new ByteArray();

var fData:ByteArray = new ByteArray();
fData.writeUTFBytes("Hello World!");
newBytes.writeUTFBytes("xxxxxxxxxxxxx");
newBytes.writeBytes(fData, 2, 7);

var field:TextField=new TextField();
field.text=newBytes.toString();
addChild(field);
}
}
}

в результате получили "xxxxxxxxxxxxxllo Wor", что означает, что не перетирает

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
в результате получили "xxxxxxxxxxxxxllo Wor", что означает, что не перетирает

Да, я лажанулся, offset там не для массива в который пишут, а для массива который пишут =(

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Почистил бы кто шапку топика до актуального состояния, а то понадобилось в кои веки поковырять флэш,
а ссылки все на которые ходил битые, что на офсайты инструментов, что на обменники, что на топики по форуму.
Примеры: ссылка в топе на который ведет RABCDAsm mod - очередная редакция дизассемблера от местного обывателя, JohnyDoe, на этот раз с автоматической деобфускацией имён и некоторой чисткой от мусора;
ссыла на офсайт SWF Decrypt - снимает старые версии Amayeta SWF Encrypt и DComSoft SWF Protector...

Про моего подопытного SWFiD сказал, что secureSWF v.4.0 (kindi.com). Чем кроме sulo можно помочь себе?

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
Почистил бы кто шапку топика до актуального состояния
Освежу
Освежил

OKOB пишет:
Чем кроме sulo можно помочь себе?
Попробуйте ASV, или кидайте файл мне через личку, я прогоню через него.

Если нужен только код, то AS3 Sorcerer (от автора ASV) тоже должен сработать.

FFDec тоже в последних версиях научился кое-как его деобфусцировать, но подробно не тестил, надо смотреть, может и справится.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: