Дружественные темы: Взлом .net, Java. Взлом и реверсинг, Взлом Android приложений, Unity3D.

Анализаторы:
SWF iD - первый и единственный анализатор для SWF, позволяет выяснить чем накрыта флэшка, имеет встроенный дампер флэшек с отсевом фэйков.

Декомпиляторы\редакторы:
Action Script Viewer (ASV) - лучшее, что есть для работы с обфусцированными swf (ru-board).
AS3 Sorcerer - только код, только as3 (от автора ASV) (ru-board).
JPEXS Free Flash Decompiler (FFDec) - декомпилятор и редактор байткода; есть автоматическая деобфускация (слабенькая), редактирование кода (именно кода!), сохранение в fla, пакетное переименование.
SWiX - редактор swf в виде xml.
Sothink SWF Decompiler (ru-board).
Eltima Flash Decompiler Trillix (ru-board).
SWFWire Inspector - отличная утилитка на AIR, которая позволяет ползать по структуре swf, декомпилировать код и т.д.
Adobe SWF Investigator - аналог SWFWire от Adobe, по некоторому функционалу интереснее.

Работа с байткодом\тэгами:
RABCDAsm - асм/дизасм байткода, опенсорс (as3).
Редактор на базе RABCDAsm - удобный редактор с подсветкой и сворачиванием блоков.
WinRABCDAsm - ещё один GUI для RABCDAsm, на этот раз более практичный - можно использовать с любой версией RABCDAsm.
RABCDAsm mod - удобная редакция RABCDasm от местного обывателя JohnyDoe, позволяет разбирать\собирать swf простым перетаскиванием на основной exe, с автоматической деобфускацией имён и некоторой чисткой от мусора.
SWF Reader - позволяет править все тэги и данные в swf, содержит декрипторы\депротекторы, разработка прекращена.
FlashHacker - инструмент на основе RABCDAsm для работы с байткодом, сделан для исследователей малвари.

Автоматизированное снятие защит
SWF Decrypt - снимает старые версии Amayeta SWF Encrypt и DComSoft SWF Protector (офсайт сдох).
+ уже упомянутые: ASV, FFDec, RABCDAsm mod и SWF Reader.

Дапмеры\Распаковщики (для тех, кому лень руками)
SWF Revealer Ultimate - самый продвинутый из автоматических инструментов данного типа, вытащит все, что проиграется в локальном проигрывателе. Платный, количество лицензий ограничено.
Есть ещё обычный SWF Revealer, который входит в комплект ASV. Тоже весьма прокачанный распаковщик, работает по другому принципу.
SWF Memory Dumper - бесплатный и простой дампер.
Sothink SWF Catcher - умеет вытаскивать swfки из кэшей браузеров и искать их в памяти процессов (ru-board).
+ уже упомянутые: SWF Reader, SWF iD.

Разное
Sulo - дополнение к Intel Pin kit. Может трейсить инструкции (пример), дампить всё что загружается с помощью loader.loadBytes() и расшифровывать SecureSWF строки.
За скомпилированный бинарь 1 спасибо JohnyDoe, еще компилил OKOB, но ссылка сдохла.

Другие местные обсуждения в области исследования Flash:
Decrypt SWF, подверженный обфускации Amayeta SWF Encrypt
Вытащить swf из exe (Camtasia Studio)
Реверсинг Adobe Flash Player
Формат данных флэш-вьювера "Электронной библиотеки" РНБ
DoSWF - professional flash encrypter
Реверсинг Флэша, поменять размер массива
Новый метод защиты swf
Реверсинг flash(action script)
www.teachshop.ru - Обновленная защита
Разбор флешки - о том, как находить и вытаскивать включённые в swf файлы с двоичными данными

Чтиво на тему
Способы "защиты" flash-приложений
Упакованный SWF. Как распаковать?
Продвинутое шифрование в DoSWF? Вызов принят!

Доки \ маны
AVM2 Overview - описание вирт. машины для as3 с опкодами и проч.
SWF File Format Specification - спецификация формата swf (строение, расположение тэгов и проч.).

Debug-версии Flash Player - тут.
Они позволяют трейсить и отлаживать код (см. описание AS3Trace и AS3Verbose тут).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: uncleua, OKOB, SReg, res, ClockMan, Gideon Vi, sendersu, Oott, _ruzmaz_, FrenFolio, d0wn, SGA, Flint, Coderess, daFix, Runner, tracename, pollllll_n, Hexxx, DenCoder, Lumen, NikolayD, AKAB, ==DJ==[ZLO], Rustem, BAHEK, SyntaX, nick8606, UniSoft, Soso, sivorog, MarcElBichon, soho

А никто не видел утилит для перемещения отдельных тегов по файлу?
Или может способных импортировать данные не "куда попало", а туда куда нужно?
FFdec чёт только в конец всё пихает...
Понятно, что можно через SWF Editor посмотреть смещения и ручками через хексредактор переместить, но может есть более удобный метод, просто я в танке?

| Сообщение посчитали полезным:

Ребята подскажите есть swf файл как сделать так что б он не декомпилировался через JPEXS Free Flash Decompiler (FFDec) Пробовал разные программы но после их работы программа с этим swf не работает не запускается

| Сообщение посчитали полезным:

fff66
Есть несколько вариантов.
- удали файл, тогда его точно никто не декомпилирует
- забей, те кому надо все равно распотрошат swf

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Jaa, -=AkaBOSS=-

-=AkaBOSS=- А зачем? Можно самому написать утиль на основе rabcdasm или swfdump. Я давно не заползал на форум. Извиняюсь за поздний ответ. По стандарту вроде как тэги должны идти в порядке возрастания их id.

fff66 Вариантов особо нет. Писать мне в ПМ не поможет. Я по защите не специалист

| Сообщение посчитали полезным:

fff66 пишет:
Ребята подскажите есть swf файл как сделать так что б он не декомпилировался через JPEXS Free Flash Decompiler (FFDec)
А шо экшнскрипт3 еще популярен ? Хотя да.Я писал бота для приложения вк, которое по сей день активно апдейтится.Там чел-разраб олень: взял демковый обфускатор и в итоге почти все переменные замусорились, а та, что критическая, скажем так, участвующая в формировании заголовка пакета, отправляемого через сокет, осталась неизменной.Чо толку менять ее от версии к версии, если жаба душит купить лицензию на обфускатор.Так что, товарищ fff66, если вас тоже жаба душит купить систему защиты ПО для SWF, то код ваш все равно подрежут.Это вопрос времени и спроса.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

JohnyDoe пишет:
А зачем?
Ну я временами развлекаюсь созданием оффлайн версий флэшек (для личной коллекции).
И иногда приходится не только удалять всякую рекламно-трекерно-спонсорскую парашу, но и вшивать необходимые ресурсы внутрь, чтоб лишнего не болталось.

Чаще всего такие ресурсы грузятся в первом фрейме - в коде прелоадера или где-нибудь в стартовой инициализации, но это не суть важно.
Для успешного добавления и корректного использования ресурса, нужно сделать следующее:
1. Разумеется, модифицировать код таким образом, чтобы данные грузились из самой флэшки, а не из интернета.
2. Добавить код класса для нового ресурса. Обычно это шаблонная затычка, которой нужно всего лишь правильно вписать класс-предок. Важно следить, чтобы на момент загрузки ресурса из кода, этот класс уже был определён (тоесть следим в какой DoABC пихаем класс).
3. Добавить новый ресурс (DefineBinaryData или по вкусу ситуации).
4. Создать ассоциацию между CharacterId ресурса и классом из шага 2 (правим SymbolClass).

Собственно, всё. Теперь о сути моего вопроса - тег с добавленным ресурсом нужно вручную переместить по файлу так, чтобы флешплеер его добавил себе в библиотеку до того момента, когда ему встретится тег SymbolClass с идентификатором нового ресурса, или ShowFrame с элементами, которые обращаются к ресурсу.


Вот, например:

самый конец флэшки, перед операцией


тот же кусок, FFDec добавил новый ресурс. Выбрать другое место нельзя.


тот же ресурс, после перетаскивания его вручную в нужный фрейм




JohnyDoe пишет:
Можно самому написать утиль на основе rabcdasm или swfdump
я лентяй) просто думал мож где уже готовый функционал есть, а коль нет - так и вручную справляюсь..
Swix - параша, ломает файл в 90% случаев. FFDec может экспортировать-импортировать XML, но полученные мегабайты текста всё еще сложно редактировать. Тем более что на больших флэшках джава всё равно падает с нехваткой памяти (ось х32, скорей всего поэтому).


JohnyDoe пишет:
По стандарту вроде как тэги должны идти в порядке возрастания их id.
Может оно и так, но на практике я не встречался с таким требованием.

| Сообщение посчитали полезным:

Судя по всему, в данном случае речь про AS2, а это совсем другие инструменты и формат файла, RABCDAsm не подойдёт, если ещё не научился парсить AVM-1 байткод... Для as2 вообще выбор инструментов поменьше (

Чтобы тэги туда-сюда подвигать, можно SWFReader например заюзать, если SWiX ломает файлик.
Правда там не очень дружественный к пользователю UI и придется поразбираться немного что к чему.

Ещё возможно может TagParser плагин для SWF iD:



Но это лучше уточнить у автора (--> Link <--)

На счёт SWiX - помнится он работал лучше в режиме View>Tag List, и реже так портил swfки на выходе, но возможно гоню, давно им не пользовался.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

-=AkaBOSS=- Я тоже баловался созданием оффлайн флэшек . Обычно у меня такой проблемы не стояло. Я вставлял новые ресурсы взамен старых высвободившихся после отрезания лишнего. Обычно все руками делал. Мне сложно представить каким образом перемещать тэги. Это ведь надо знать относительно чего их нужно переместить и куда приладить.
Обычно Flash Decompiller ругается на несоответствие стандарту. Но по моим наблюдениям в этом страшного ничего нет.

Swix действительно портит флэшки. Может звуки испортить или эффекты похерить.

| Сообщение посчитали полезным:

JohnyDoe пишет:
Я вставлял новые ресурсы взамен старых высвободившихся после отрезания лишнего.
да дело ведь не в том, как вставить. Просто старый ресурс реплейсить неудобно - их-то обычно целый диапазон удалять приходится, с затиранием имён, вырезанием сопутствующего кода, а новый на этом же этапе вставлять совсем неудобно... Надо ведь сначала убедиться что всё корректно вырезал.

В FFDec, например, такая беда уже хз сколько - удаляешь один именованый элемент, его ид исчезает из SymbolClass и ExportAssets, но если сохранить и перезагрузить флэшку - окажется что на самом деле имя никуда не удалилось и всё еще присутствует.

JohnyDoe пишет:
Мне сложно представить каким образом перемещать тэги
ну типа put CharacterId 1197 after CharacterId 37
в плане командной строки я тоже не знаю, как это организовать достаточно понятно.
а гуй туповат везде.

JohnyDoe пишет:
Обычно Flash Decompiller ругается на несоответствие стандарту.
Ладно бы он ругался - фиг на него. Вот когда флэшплеер ругается, это беда.
как-то вроде "Сlassname is out of main timeline" - это когда к ресурсу обращаешься, а он аж в самом конце в последнем фрейме объявлен.


4kusNick пишет:
Судя по всему, в данном случае речь про AS2
чаще всего, именно AS3.

4kusNick пишет:
Чтобы тэги туда-сюда подвигать, можно SWFReader например заюзать, если SWiX ломает файлик.
Видел там менюшку Tags, но так и не понял что конкретно тот диалог делает...
Никакого эффекта от манипуляций не было. Руки наверн не оттуда...

4kusNick пишет:
Ещё возможно может TagParser плагин для SWF iD
Экспортировать может, а больше ничего не видел. Ни загрузки сохранённого, ни перемещения имеющегося.

Из всех утилит - больше всего SWF Editor подошёл - достаточно удобно отображает, откуда куда и сколько байт переместить, а дальше уже дело за хексредактором.

Добавлено
Вопрос решился
Огромная благодарность JohnyDoe за созданную утилиту для перемещения тегов.

| Сообщение посчитали полезным:

Залил файлик со сроком хранения минимум 90 дней, если вдруг кому-то еще понадобится перемещать тэги внутри флэшки.

http://rgho.st/6cnrkPVJs

| Сообщение посчитали полезным: -=AkaBOSS=-, 4kusNick

JPEXS Free Flash Decompiler (FFDec) 10.0.0 --> Link <--



| Сообщение посчитали полезным: -=AkaBOSS=-

4kusNick
Или кто не будь подскажите пжл как снять обфускацию с этого swf https://cloud.mail.ru/public/GmtM/eJGKNrQph

Swf iDentifier вот что показал https://cloud.mail.ru/public/H6bx/A46ZbmpFW

Или как дамп сделать подскажите пжл.

| Сообщение посчитали полезным:

fff66 пишет:
как снять обфускацию
Обфускация необратимо затирает все имена - "снять" не выйдет.
rabcdasm mod от JohnyDoe - может привести имена к более-менее узнаваемому виду, и поубирать мусор из кода.
Результат будет примерно такой

| Сообщение посчитали полезным:

-=AkaBOSS=-
Понятно спасибо

А не подскажите можно ли как то дамп сделать этой swf на андроид телефоне? Те программы что в шапке для дампа они только для компа предназначены.

И вот еще что нашел в гугле https://www.free-decompiler.com/flash/issues/418-ffdec-can-t-deobfuscate-some-tricks-used-in-secureswf-4-5 это не то? Посмотрите вы пожалуйста.

| Сообщение посчитали полезным:

У кого не будь есть этот обфускатор? https://github.com/carthageLover/sob Не могу найти собраную версию

| Сообщение посчитали полезным:

sss123 пишет:
У кого не будь есть этот обфускатор?
у кого есть - оставьте себе, пжлст
и без того хватает - и обфускаторов, и нубов, которые даже скомпилить не могут, но уже лезут навешивать


вопрос прям беспалевно дополняет пост #16 в поиске специалистов.

| Сообщение посчитали полезным: sefkrd, VOLKOFF, VodoleY

Всем привет

Может кто помочь снять обфускацию? https://cloud.mail.ru/public/5MAq/YT2n5MiS8

Скрин https://cloud.mail.ru/public/PKyQ/1NGR6cuKY

https://exelab.ru/f/action=vthread&forum=3&topic=22375&page=0#9 это не помогает зависает после ввода команды swfdump.exe -m "file_0p.swf"

| Сообщение посчитали полезным:

подтверждаю, присутствует переполнение буфера на этапе разбивки строки на имена в "Start checking Exports/Assets - Subname to check"

в проге предполагается, что имена между разделителями будут не длиннее 128 символов (используется локальный буфер соответствующей длины)

Добавлено спустя 20 минут
sss123, насколько я могу судить, для данной конкретной флэшки swfdump не нужен - имена ресурсов не были обфусцировны, а стало быть, и переименовывать там нечего.

вот примерно так

| Сообщение посчитали полезным: sss123

JPEXS Free Flash Decompiler (FFDec) 11.0.0
Список изменений: https://github.com/jindrapetrik/jpexs-decompiler/blob/master/CHANGELOG.md
Скачать: https://github.com/jindrapetrik/jpexs-decompiler/releases

| Сообщение посчитали полезным:

Всем привет

Как из дампа выдрать все swf файлы? Может есть скрипт или прога для этого?

В дампе встречается штук 30 заголовков FWS В ручную сложновато вырезать.

| Сообщение посчитали полезным:

что то по типу hyper ripper как в Dragon UnPACKer
(к нему у китайцев было много плагинов) жаль я не китаец...

| Сообщение посчитали полезным:

sss123
Если на размер полученных swf фиолетово, то напишите простую утиль на любом языке программирования - тупо от заголовка до след заголовка режьте и прокатит.
Лишний мусор в конце файла проигрывателю (и нормальным декомпиляторам) не мешает.

А так ASV умеет доставать из любых в т.ч. пожатых файлов SWFки.

FFDec - не уверен, но проверьте мб там тоже такой функционал есть - просто киньте в FFDec дамп может он схавает его и найдет там флэшки.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
А вот и нет

ASV https://cloud.mail.ru/public/CMfu/APs6fqGZL

FFDec https://cloud.mail.ru/public/2JGr/Hdps2J1CY достает только 3 swf Но это не то что нужно.

Хотя если открыть дамп через хекс то там встречается штук 20 заголовков FWS

Вот дамп https://cloud.mail.ru/public/9rNb/N5hua4iNG

Может посмотрите пожалуйста? Если есть время.

| Сообщение посчитали полезным:

sss123 пишет:
ASV https://cloud.mail.ru/public/CMfu/APs6fqGZL
Эта версия безнадёжно устарела. Каких она лет, из 90х наверное?)
В сети попадались более свежие ломанные версии.

sss123 пишет:
штук 20 заголовков FWS
Где вы там 20 увидели?
Там 5 сырых вхождений, похожих на валидные FWS заголовки если поверхностно в HEX редакторе пробежаться.

А вообще ASV последних версий находит там 3375 возможных swf \ abc =D
Из них есть несколько любопытных. как раз те 5 что я выше обозначил.

Вот они:
https://mega.nz/#!dVVQxKrT!YRw73HkijuNwH9tzqwrwVRjb4v0kC1tAtuJ98lnHdhQ

Не имея на руках полной картины (откуда дамп и проч) - ничего интересного в том дампе больше нет.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
Спасибо вам.

Вы доставали через новую версию ASV ? Можете скинуть пожалуйста. В гуле есть но то ссылка не рабочая. То нету файла.

| Сообщение посчитали полезным:

sss123 пишет:
Вы доставали через новую версию ASV ?
Нет, вручную, по описанному выше методу - любой HEX редактор и дел на 3 минуты.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
А у вас есть ASV новый? можете выложить?

| Сообщение посчитали полезным:

sss123
Есть, выложить не могу.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Hex-Rays IDA Pro Plug-In Contest 2018
ActionScript3 IDA Pro
Author: Boris Larin
This repository contains the SWF Loader, ActionScript3 processor module, and a debugger assist plugin named KLFDB.
https://github.com/KasperskyLab/ActionScript3

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: 4kusNick, -=AkaBOSS=-, HandMill

подскажите как распаковать файл упакованный алгоритмом zLib

ну или может кто-то может помочь распаковать.

7a57_21.04.2020_EXELAB.rU.tgz - protected_wolf_goat_cabbage.swf

| Сообщение посчитали полезным: