Доброго времени суток!

Я работаю над проектом, задачей которого является получение live статистики матчей на одном из серверов (http://www.atptennis.com/; флешка по адресу http://www.protennislive.com/frameset.asp?year=2008&wkno=39&lang=en&ta bno=1&eventid=M015&ref=www.atptennis.com) по определенным запросам. Проблема заключается в том, что данные с каких-то пор начали шифроваться (раньше они приходили в открытых xml-файлах).
Этот вопрос поднимался на cracklab.ru
http://www.exelab.ru/f/action=vthread&forum=5&topic=10317
Однако достучаться до человека, который вроде бы нашел алго, не получилось (его ник TamTam).

Флешка есть в наличии, но не знаю, как к ней подступиться, чтобы хоть начать копать в нужном направлении на разрешение данного витка вопроса.

Проблемы сл характера:
SWF подвержен обфускации однозначно. Предположительно Amayeta SWF Encrypt.

Попытка решения данного вопроса :

- Пробовал пропускать флешку через SWF Protect Remover, но не помогло, только размер вырос.

- В сети нашлось пару тем по защитам ActionScript в swf.
http://www.woodmann.com/forum/showthread.php?t=11720
http://www.w oodmann.com/forum/showthread.php?t=10300
Однако те методы, которые использовались для снятия защиты уже порядком устарели, либо используется какая-то доп защита.

Как следствие, Action Script-ы абсолютно нечитабельны.
Среди констант нашлось что-то наподобие используемого словаря для шифрования входящего сообщения.
Это было замечено ещё TamTam-ом.
1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$% ^&*()_+-=:;~{}<>

Пробовал ксорить :

alph := '1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$ % ^&*()_+-=:;~{}<>';

function GetIndSymb(ch: char): integer;
var
i: integer;
begin
for i:=1 to length(alph) do
if alph[i] = ch then
begin
Result := i;
Exit;
end;
end;

function XorAlg(s: string): string;
var
CurIndEl: integer;
begin
for CurIndEl:=1 to length(s) do
begin
s[CurIndEl]:=chr(ord(s[CurIndEl]) xor byte(GetIndSymb(s[CurIndEl])));
end;
Result := s;
end;

Однако тоже ничего не вышло. Все попытки вычислений позиций в словаре, побитовые умножения, сложения - ничего толком не дали. Вообще ничего.

Запустить каким-либо образом виртуальную машину, чтобы перед тем, как, по идее, выполнялся бы байт-код по распаковки полученных шифр. данных от сервера, тоже понятия не имею Как.

Сегодня на утро пришла несовсем здравая мысль конвертировать .swf в .exe - и пропустить через дебагер, однако как и предполагалось раньше, конвертер, судя по всему, создает лишь оболочку для запуска флешки, ни больше, ни меньше.

Флешка в приложении (компрессор снял).

Может как вариант закачивать эту статистику с др серверов, правда, опять же, насколько я знаю, бесплатным и быстрым, как этот сервер по получению статистики теннисных матчей, нету.

Ещё раз напоследок хочу выделить возможные варианты решения проблемы:
1. Попробывать снять обфускацию с флешки
2. Найти подход к запуску виртуальной машины и начать исследовать
3. Пробовать известные алгоритмы шифрации информации и применять их к данной задаче, с учетом того, что предположительные данные, которые можно получить в результате, имеются в наличии.
--
AQH18 :+M72JDN"eYV"Ybfp6682_DC8h<uI< 18.>Ou{l"aiy," H%288;5>46"z/xb" P@~LAFCk"p." +JqT"," F6l"hiUhvux" NGKg"Hqws.?Ttse,cqnvhos" ;O1V"tfczJnnhqeUathq.tY"Iv
Предположительно начало файла расшифровывается в последовательность:
<?xml version="1.0"?><MatchList_Live eventId="
--

Прошу, если кто может помочь в данном вопросе, или хотя бы наставить на истинный путь был бы оч признателен. Я писал модерам данного форума, но, видимо, сообщения не были доставлены до них в силу ранга моего аккаунта. Прошу, если есть возможность связаться с человеком TamTam, отписать в личку.




1024_08.10.2008_CRACKLAB.rU.tgz - de.swf

| Сообщение посчитали полезным:

root-master пишет:
Среди констант нашлось что-то наподобие используемого словаря для шифрования входящего сообщения.
Это было замечено ещё TamTam-ом.
1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$% ^&*()_+-=:;~{}<>
Навскидку, это не шифрование, а конверсия 'a la BASE85' (смена основания) - плотная упаковка двоичных данных в чисто текстовый формат.

| Сообщение посчитали полезным:

root-master
Т.е. как я понял проблема в том что не получается декомпилировать и добраться до actionscript? если так, то попробуй --> Sothink SWF Decompiler <-- http://www.sothink.com/ у меня он твой аттач отлично разобрал

| Сообщение посчитали полезным:

Не уверен, что через 3 месяца автору это нужно ещё. Топик пока не закрою, но лучше больше так всё же не делать.

| Сообщение посчитали полезным:

У меня та же проблема, нарвался на флеху криптованную этой дрянью, если у кого-то есть наработки или информация по теме, отзовитесь плиз!

| Сообщение посчитали полезным:

Если это еще кому-то интересно... Попробовал поиграться с полной версией Amayeta SWF Encrypt 5.0.2, результаты следующие: в защищенной флешке создается несколько дополнительных секций, Sothink SWF Decompiler обзывает их Misc Tags (Как они называются во флеше - не знаю, у меня его попросту нет), первый из них равен 3 байтам, это я так понимаю что-то вроде перехода на процедуру декриптовки, все остальные выглядят следующим образом: какая-то сигнатура (3 байта, бывает 3F 0E 0F или 3F 0E 09), затем нули (3 байта), далее судя по всему адрес или длина (3 байта) и в итоге текстовая метка или название процедуры обычным некриптованным текстом. Возникает ощущение, что это не крипт, а скорее коверкание кодов виртуальной машины, навроде армадилловских наномитов, но на 100% я не уверен. К сожалению, я не флешер и у меня совсем туго с форматом SWF и CWS, если бы нашлись люди разбирающиеся в теме то можно было бы вместе покапать поглубже...

| Сообщение посчитали полезным:

Dr_Di0NiS пишет:
У меня та же проблема, нарвался на флеху криптованную этой дрянью, если у кого-то есть наработки или информация по теме, отзовитесь плиз!

А где сама SWF-ка?

| Сообщение посчитали полезным:

Сама флешка лежит --> тут <-- Покриптована версией старше 4.0.1, потому как декриптор гуляющий по Сети в виде C++ сорцев с подробным обьяснением алгоритма ее не взял, упал сразу после распаковки, как я понял суть алгоритма не изменилась, поменяли только опкоды виртуальной машины, но я честно сказать в этом "не ума" так что если сможешь расшифровать буду очень благодарен

| Сообщение посчитали полезным:

Поменьше, конечно, нельзя использовать было, для исследований 7-меговая упакованная флэшка - самое то
Тем не менее, поковырял, вот поковыренная: webfile.ru/3671926
Она, похоже, не работает после моих ковыряний, однако Sothink SWF Decompiler теперь позволяет прочитать AS-код.

| Сообщение посчитали полезным:

Nowar Сорри за размер, думал наоборот будет лучше из-за большого размера, если не в лом поделись каким образом декриптовал ActionScript, если делал это руками, но возьмешься объяснить мне суть, то я смогу сваять по-быстрому автоматический декриптор, получиться взаимовыгодное сотрудничество

| Сообщение посчитали полезным:

Оки, опишу алгоритм "для чайников". Просьба ногами не бить, т.к. сам чайник в SWF и не написал ни одной строчки ActionScript.

1) Структура SWF. Размер заголовка SWF-файла считается с помощью функции, описанной в той самой C-шной деобфускатине:

DWORD getSWFHeaderSize(BYTE *swfMem) {
BYTE rectBits = *(swfMem+8);
rectBits >>= 3;
if(rectBits & 1)
rectBits++;
return 9 + (rectBits >> 1) + 4;
}

Поскольку на СИ я не пишу, на Delphi оно:

function getHeaderSize(var st: TFileStream):cardinal;
var
rectBits: byte;
begin
st.Seek(8,soFromBeginning);
st.Read(rectBits,1);
rectBits:=rectBits shr 3;
if (rectBits and 1)=1 then rectBits:=rectBits+1;
result:=9+(rectBits shr 1) + 4;
end;

2) Сама SWF-ина может быть запакованной или нет. Упаковка тушки обычная, gzip'овская, в инете лежит тулза swfc11, с помощью неё можно распаковать либо запаковать.
У запакованой SWF-ины заголовок CWS, у незапакованной - FWS.
Далее речь пойдёт о деобфускации НЕЗАПАКОВАННЫХ swf-ок. Запакованная сводится к незапакованной с помощью вышеописанной утилиты или gzip'овской библиотеки.

3) Структура SWF.
Тушка SWF (сразу после заголовка) состоит из тэгов, имеющих общую структуру. Номер тэга и короткий размер тэга упаковываются в двухбайтовое число. Если размер тэга больше либо равен 63 байтам, то короткий размер берётся равным 63-м байтам, а реальный размер тушки тэга записывается в слежующем 4-х байтовом числе.
Двухбайтовое число считается так:
(номер_тэга << 6) + короткий размер
или так:
(номер_тэга shl 6) + короткий размер
короткий_размер не превышает 63.

Т.е. получается 2-х байтовый или 6-х байтовый заголовок тэга, в зависимости от длины тушки.
При этом тэг с короткой тушкой может быть записан и с 6-ти байтовым заголовком, т.е. короткий размер берётся равным 63, а в ч-х байтовом числе записывается значение меньше 63-х. Это корректно с точки зрения SWF-плеера.

Тэги идут друг за другом до нулевого тэга, т.е. тэга с номером 0.
Существует один составной тэг с номером 39 (десятич.), он содержит в себе подтэги, последним из которых также является тэг с номером 0.

Не знаю, может ли тэг 39 содержать подтег 39. Структурно может, фактически ни разу не видел, так что не будем о грустном.

4) Структура тэгов с ActionScript кодом.
Есть несколько тэгов со скомпилированным AS-кодом, всех номеров я не знаю, но это и не важно.
Это обычный тэг, только тушкой в нём выступает скомпиленный AS-код. Те же push-ы, pop-ы, jmp (branch) и т.д. Отличие от обычного кода в том, что где-то близко к началу кода, перед работой с переменными должны задаваться имена этих самых переменных. перечень этих имён обычно называется константами, код инструкции задания перечня - 0x88.
Формат инструкции:
0x88 size count constants_string
где
0x88 - 1 байт
size - 2 байта, неотрицательное целое, размер всего, что идёт после size в байтах. Т.е. оно не может быть больше 65535 байт.
count - количество констант
constants_string - сами константы. Слова, содержащие любые символы. Между собой слова разделены символом с кодом 0x00. После последнего слова один символ 0x00, который входит в число символов, указанное в size.

Далее в push-ах используются индексы констант в этой строке. Слова (константы) индексируются с нуля.
Более-менее понять структуру можно изучив flasm16src (исходники flasm), или подизассемблировав SWF с помощью flasm-а.

Скомпилированный AS-код адресонезависим, т.е. все переходы (branches) используют смещение.


5) Что обычно делает Амаета ЭсВэЭф энкрипт.

а) добавляет тэг с номером 255, который, вроде бы, ничего ценного в себе не содержит и может быть безболезненно ампутирован.
б) все (не все) тэги с ActionScript преобразует по следующему сценарию (на примере тэга DoAction с дес. кодом 12):
Код тэга 12 заменяется на код 253 (десятич.), из тэга выкусываются все инструкции (если таковые имеются) до констант и сами константы. Инструкции до констант назовём краденными байтами. В начало тэга дописывается бред (в нашем случае FC 00 00 00).
Оставшийся код дополняется в конце двумя branch-ами.
После свежеиспечённого тэга 253 создаётся тэг с номером, который был до этого, в нашем случае тэг с номером 12. В начале тэга записываются краденные байты, затем идёт какая-то сигнатура, по которой можно распознать начало обфускатора, в нашем случае это 9B 07 00 04 05. Т.е. всё, что после заголовка тэга, но перед этой сигнатурой - краденные байты Это может быть запуск проигрывания какого-нибудь фрейма, например.
Сразу после краденных байт идёт запутанный код, цель которого в итоге загрузить список констант (0x88) и после этого прыгнуть в предыдущий тэг (253).


6) Как проигрывается запаковынный файл:
Все неизвестные тэги пропускаются.
Тэг с кодом выполняет операцию, записанную в украденных байтах, если они есть. Это скорее всего проигрывание чего-то до выполнения AS-кода. Далее в этом тэге запутанный код приводит к инструкции 0x88, которая загружает нужные константы, после чего происходит передача управления в предыдущий тэг, сразу после бреда в начале.
Данный бредовый код не подлежит AS-декомпиляции, т.к. написан на ассемблере виртуальной AS-машины. Т.е., если есть желание, можно написать трассировщик.

7) Алгоритм восстановления этого безобразия:
1) распаковываем swf
2) Удаляем нафиг тэг 255
3) для каждого тэга 253:
- заменяем номер 253 на номер следующего тэга
- если есть, удаляем бред в начале (в нашем случае FC 00 00 00).
- добавляем в начало украденные байты и список констант
- корректируем размер полученного тэга
- корректируем размер тэга с кодом 39, если изменённый тэг входит в тэг с кодом 39
- удаляем следующий тэг - он больше не нужен
4) корректируем размер полученной swf-ины в заголовке
5) при желании запаковываем swf-ину

Поскольку не все swf-ины запускаются, я чего-то не учёл, но т.к. весь ActionScript можно в итоге выдернуть, задачу считаю выполненной.

P.S.: вся информация получана путём исследования, поэтому пост содержит много моего личного бреда и глупой терминологии. Тому, кто хочет понять структуру SWF - идти на сайт Adobe, там она расписана подробно. Цель данного поста - пояснить ситуацию с конкретным обфускатором.

| Сообщение посчитали полезным:

Ну как, выходит каменный цветочек aka деобфускатор by Dr_Di0NiS?
Если есть какие вопросы по "деобфускации", можешь задавать здесь. Хочется поскорее увидеть продукт размышлений

P.S.: я надеюсь, он у будет не на ассемблере написан...

| Сообщение посчитали полезным:

эх.. будет ли этот деобфускатор? а то столкнулся с такой же штукой на флешдене. А вещь нужная.

| Сообщение посчитали полезным:

Nowar
А чем обфусифицирован этот http://ifolder.ru/13193901 файл?

И как определить "точку входа", с какого кода она стартует?

Вот интересная толза -
asv 6 pre 5
Сайт автора - ASV Action Script Viewer

Но в данной флешке приходится разбираться на уровне p кодов, а у ASV какие-то свои названия тегов, не въеду пока.

| Сообщение посчитали полезным:

Ну фиг его знает... У меня он вообще ничего не показал - белый экран. Может, он ничем не обфусцирован и ничего не делает?

| Сообщение посчитали полезным:

Smilless пишет:
Вот интересная толза -
asv 6 pre 5
Сайт автора - ASV Action Script Viewer

Там поддержка только младших версий флэш-плеера и до 8.Сейчас уже 10 версия.
Но можно посмотреть в заголовке файла под какую версию заточена флэшка.
Деобфускатор уже есть давно.
Но иногда необходимо править исходники после sothnika чтобы получить рабочий вариант.
На сегодня он справляется лучше с любыми версиями в т.ч. и с 10.
Но как показывает практика - релиз декомпилера имеет значение.Ибо по сети гуляют криво-патченные последних версий.
Теперь о грустном - если я захочу.Могу защитить флэшку и без обфускатора, и никто не сможет ее взломать.
Эта тема уже обсасывалась на форумах адобе, но касается только 10 версий.
Ибо часть кода, придется восстанавливать из p-кода виртуальной машины С - кросс-компилятора.

| Сообщение посчитали полезным:

root-master пишет:
Я работаю над проектом, задачей которого является получение live статистики матчей на одном из серверов (http://www.atptennis.com/; флешка по адресу http://www.protennislive.com/frameset.asp?year=2008&wkno=39&lang=en&ta bno=1&eventid=M015&ref=www.atptennis.com) по определенным запросам. Проблема заключается в том, что данные с каких-то пор начали шифроваться (раньше они приходили в открытых xml-файлах).
Этот вопрос поднимался на cracklab.ru
http://www.exelab.ru/f/action=vthread&forum=5&topic=10317
Однако достучаться до человека, который вроде бы нашел алго, не получилось (его ник TamTam).
Там все просто - всеравно используется XML файл.Но его надо грамотно сдернуть с сервака.Для этого луче всего воспользоваться браузером Safari, и весь формат полностью будет доступен.
Чего там -TamTam нашел еще что бы так гордо молчать? Не знаю.Но это уже вопрос этики.

| Сообщение посчитали полезным:

Указанная Smilles флэшка не обфусцирована "Amayeta SWF Encrypt", непонятно, что она делает (у меня она "ничего не делает"). Соответственно, не совсем понятно, что взламывать
Тему root-master создал давно, боюсь, проблема для него уже не актуальна. Просто не было смысла новую создавать для деобфускации Amayeta SWF Encrypt, раз одна уже есть. Через поиск потом фиг чего найдёшь, если тем наплодить.
P.S.: если Dr_Di0NiS не напишет обещанный деобфускатор, я напишу... Но криво и на Делфи, как умею...

| Сообщение посчитали полезным:

Nowar
Хех так в том-то и дело, что вроде ничего не делает. Это лоадер для mybrute.com.
Я так понимаю она грузит контент(сами флешки или их данные) при этом толи запакованные, толи закриптованные.
И запускает их. Вообщем на странице видим только упоминание этой флешки.
При этом грузитя эта флешка с помощью SWFobject - http://code.google.com/p/swfobject/.
А после загрузки страницы еще парочку в кеше браузера. При этом формат у них совсем не флешовский.
Расширение - swf.
Вообщем надо разобрать эту гадюку, мне просто очень интересно стало ее расковырять.

Подскажите плиз где описание ассемблера для AS3 можно надыбать?
(_as3_getlocal, _as3_pushscope и вся эта прочая братия)
Бляха под Айсом риверсировать проще было, документации навалом, а тут как в пизDе - темно и сыро.....

Nowar
Подскажи плиз как вычислить адрес, откуда код стартует?

| Сообщение посчитали полезным:

yuB
Теперь о грустном - если я захочу.Могу защитить флэшку и без обфускатора, и никто не сможет ее взломать.
Эта тема уже обсасывалась на форумах адобе, но касается только 10 версий.
Ибо часть кода, придется восстанавливать из p-кода виртуальной машины С - кросс-компилятора.
Ну я так понимаю алгоритм анализируя p-code тем же SWF-Decompiler-ом вычислить можно. Декомпильнуть неполучится наверное.
Кстати как это делается?
Вот в той флешке что я выложил один из методов - вставленны куски не "декомпилируемого" кода который никогда не исполняется. как один из методов, там еще интересные приемы есть.


ЗЫ: Парни помогите найти доку по p-кодам?

| Сообщение посчитали полезным:

А код не стартует . Можно курить доки от адоба - на их сайте есть пдф с описанием подробным, там всё описано, в т.ч. ActionScript.
А к лоадеру ссылочку бы, откуда он запускается так, чтобы он что-то делал. Иначе смысла нет его ковырять.

| Сообщение посчитали полезным:

Nowar
Ссылочка - http://mybrute.com/

Как не стартует? Должен ведь
Ничего тогда не понимаю.
Мне казалось, что он запускается в этом фрагменте


в _eOk173
Названия классов покорежены(что мне и показалось обфускацией), это то, что показывает SWF Decompiler.
ЗЫ: ежели нужен последний SWFDeompiler с лекарством от FFF(в папке drug) лежит тута - ftp://rscd.dyndns.org/Software/web/sothink/

| Сообщение посчитали полезным:

Smilless пишет:
Ну я так понимаю алгоритм анализируя p-code тем же SWF-Decompiler-ом вычислить можно. Декомпильнуть неполучится наверное.
Кстати как это делается?
Это делается с помощью LLVM компилятора под AVM2 начиная с 10 версии флэшки.Хотя версию можно и руками перебить.т.е. часть флэша пишется на С\С++ для оптимизации фишка.SWF-Decompiler - здесь отдыхает.Нужно еще писать LLVM декомпиль.А это все равно что С-декомпилятор.
То что ты выложил это 2 проходная - обфускация -имен классов,объектов,переменных и пакетов,после компиляции - пропущена через SWF Encrypt.
Так что проект надо только пересобирать.Никакой Алхимии(LLVM) там пока нет.Если это только лоадер - можно
не париться, есть спец класс для этого и несложно подгрузить контент во флэш.Надо смотреть контент.Что там?Флэш?хтмл?...и.т.д
Да флэшка пустая.И не видел там ссылку на crassdomain.xml.Это файл политик.
Он может разрешать избранно грузить контент, и лежит обычно на серваке.Сейчас посмотрим ссылку что там.
Если хочешь - расскажи что надо то?...в конце

| Сообщение посчитали полезным:

Понятно в общем все генерится на этой технологии - haxe.org/doc/features
Вам сюда.Там флешки без заголовков.Явно на серваке собираются и подтягиваются haxe АПИ.
Я в нем не разбирался.

| Сообщение посчитали полезным:

yuB
Да я вроде немного подразобрался.
Мне вот только доку по p-cod-ам(bytecode) для flasha не удается найти.
Помогите с этой докой плиз. Погибаю.
Нашел что-то www.adobe.com/devnet/actionscript/articles/avm2overview.pdf.
Вот еще тут есть отрывки - www.nowrap.de/flasm.html. Но этого мало.
Но имхо не совсем то, так как коды комманд не совпадают.

| Сообщение посчитали полезным:

yuB

Если хочешь - расскажи что надо то?...в конце

Утолить интерес...

| Сообщение посчитали полезным:

www.swftools.org/ - здесь в исходниках есть почти все.
Еще есть опенсорсный декомпиль.SwfDec
утоляй

| Сообщение посчитали полезным:

тоже проблематичный файл
ifolder.ru/13799249

swf получилось раскодировать при помощи asv. но после раскодирования флешка перестает реагировать на нажатия крысой. По сорцам, которые получилось вытащить - видно что onRelease у всех кнопок присутствует, но трейсинг ни к чему не привел. Никто не сталкивался со схожими проблемами?

| Сообщение посчитали полезным:

Delphir пишет:
тоже проблематичный файл
Как раз нет.
http://stream.ifolder.ru/13806159
CS4

| Сообщение посчитали полезным: