Сейчас на форуме: site-pro, Rio, johnniewalker, vsv1 (+5 невидимых) |
eXeL@B —› Крэки, обсуждения —› Decrypt SWF, подверженный обфускации Amayeta SWF Encrypt |
. 1 . 2 . 3 . 4 . >> |
Посл.ответ | Сообщение |
|
Создано: 08 октября 2008 17:40 · Поправил: root-master · Личное сообщение · #1 Доброго времени суток! Я работаю над проектом, задачей которого является получение live статистики матчей на одном из серверов (http://www.atptennis.com/; флешка по адресу http://www.protennislive.com/frameset.asp?year=2008&wkno=39&lang=en&ta bno=1&eventid=M015&ref=www.atptennis.com) по определенным запросам. Проблема заключается в том, что данные с каких-то пор начали шифроваться (раньше они приходили в открытых xml-файлах). Этот вопрос поднимался на cracklab.ru http://www.exelab.ru/f/action=vthread&forum=5&topic=10317 Однако достучаться до человека, который вроде бы нашел алго, не получилось (его ник TamTam). Флешка есть в наличии, но не знаю, как к ней подступиться, чтобы хоть начать копать в нужном направлении на разрешение данного витка вопроса. Проблемы сл характера: SWF подвержен обфускации однозначно. Предположительно Amayeta SWF Encrypt. Попытка решения данного вопроса : - Пробовал пропускать флешку через SWF Protect Remover, но не помогло, только размер вырос. - В сети нашлось пару тем по защитам ActionScript в swf. http://www.woodmann.com/forum/showthread.php?t=11720 http://www.w oodmann.com/forum/showthread.php?t=10300 Однако те методы, которые использовались для снятия защиты уже порядком устарели, либо используется какая-то доп защита. Как следствие, Action Script-ы абсолютно нечитабельны. Среди констант нашлось что-то наподобие используемого словаря для шифрования входящего сообщения. Это было замечено ещё TamTam-ом. 1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$% ^&*()_+-=:;~{}<> Пробовал ксорить : alph := '1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$ % ^&*()_+-=:;~{}<>'; function GetIndSymb(ch: char): integer; var i: integer; begin for i:=1 to length(alph) do if alph[i] = ch then begin Result := i; Exit; end; end; function XorAlg(s: string): string; var CurIndEl: integer; begin for CurIndEl:=1 to length(s) do begin s[CurIndEl]:=chr(ord(s[CurIndEl]) xor byte(GetIndSymb(s[CurIndEl]))); end; Result := s; end; Однако тоже ничего не вышло. Все попытки вычислений позиций в словаре, побитовые умножения, сложения - ничего толком не дали. Вообще ничего. Запустить каким-либо образом виртуальную машину, чтобы перед тем, как, по идее, выполнялся бы байт-код по распаковки полученных шифр. данных от сервера, тоже понятия не имею Как. Сегодня на утро пришла несовсем здравая мысль конвертировать .swf в .exe - и пропустить через дебагер, однако как и предполагалось раньше, конвертер, судя по всему, создает лишь оболочку для запуска флешки, ни больше, ни меньше. Флешка в приложении (компрессор снял). Может как вариант закачивать эту статистику с др серверов, правда, опять же, насколько я знаю, бесплатным и быстрым, как этот сервер по получению статистики теннисных матчей, нету. Ещё раз напоследок хочу выделить возможные варианты решения проблемы: 1. Попробывать снять обфускацию с флешки 2. Найти подход к запуску виртуальной машины и начать исследовать 3. Пробовать известные алгоритмы шифрации информации и применять их к данной задаче, с учетом того, что предположительные данные, которые можно получить в результате, имеются в наличии. -- AQH18 :+M72JDN"eYV"Ybfp6682_DC8h<uI< 18.>Ou{l"aiy," H%288;5>46"z/xb" P@~LAFCk"p." +JqT"," F6l"hiUhvux" NGKg"Hqws.?Ttse,cqnvhos" ;O1V"tfczJnnhqeUathq.tY"Iv Предположительно начало файла расшифровывается в последовательность: <?xml version="1.0"?><MatchList_Live eventId=" -- Прошу, если кто может помочь в данном вопросе, или хотя бы наставить на истинный путь был бы оч признателен. Я писал модерам данного форума, но, видимо, сообщения не были доставлены до них в силу ранга моего аккаунта. Прошу, если есть возможность связаться с человеком TamTam, отписать в личку. 1024_08.10.2008_CRACKLAB.rU.tgz - de.swf |
|
Создано: 09 октября 2008 07:45 · Личное сообщение · #2 root-master пишет: Среди констант нашлось что-то наподобие используемого словаря для шифрования входящего сообщения. Это было замечено ещё TamTam-ом. 1234567890ABCDEFGHIJKLMNOPQRTSUVWXYZabcdefghijklmnopqrstuvwxyz.,/?!@$% ^&*()_+-=:;~{}<> Навскидку, это не шифрование, а конверсия 'a la BASE85' (смена основания) - плотная упаковка двоичных данных в чисто текстовый формат. |
|
Создано: 07 января 2009 08:35 · Личное сообщение · #3 |
|
Создано: 07 января 2009 09:56 · Личное сообщение · #4 |
|
Создано: 07 апреля 2009 18:10 · Личное сообщение · #5 |
|
Создано: 08 апреля 2009 14:27 · Личное сообщение · #6 Если это еще кому-то интересно... Попробовал поиграться с полной версией Amayeta SWF Encrypt 5.0.2, результаты следующие: в защищенной флешке создается несколько дополнительных секций, Sothink SWF Decompiler обзывает их Misc Tags (Как они называются во флеше - не знаю, у меня его попросту нет), первый из них равен 3 байтам, это я так понимаю что-то вроде перехода на процедуру декриптовки, все остальные выглядят следующим образом: какая-то сигнатура (3 байта, бывает 3F 0E 0F или 3F 0E 09), затем нули (3 байта), далее судя по всему адрес или длина (3 байта) и в итоге текстовая метка или название процедуры обычным некриптованным текстом. Возникает ощущение, что это не крипт, а скорее коверкание кодов виртуальной машины, навроде армадилловских наномитов, но на 100% я не уверен. К сожалению, я не флешер и у меня совсем туго с форматом SWF и CWS, если бы нашлись люди разбирающиеся в теме то можно было бы вместе покапать поглубже... |
|
Создано: 29 мая 2009 11:55 · Личное сообщение · #7 |
|
Создано: 02 июня 2009 17:03 · Личное сообщение · #8 Сама флешка лежит |
|
Создано: 03 июня 2009 14:59 · Личное сообщение · #9 |
|
Создано: 04 июня 2009 15:41 · Личное сообщение · #10 |
|
Создано: 04 июня 2009 19:37 · Поправил: Nowar · Личное сообщение · #11 Оки, опишу алгоритм "для чайников". Просьба ногами не бить, т.к. сам чайник в SWF и не написал ни одной строчки ActionScript. 1) Структура SWF. Размер заголовка SWF-файла считается с помощью функции, описанной в той самой C-шной деобфускатине: DWORD getSWFHeaderSize(BYTE *swfMem) { BYTE rectBits = *(swfMem+8); rectBits >>= 3; if(rectBits & 1) rectBits++; return 9 + (rectBits >> 1) + 4; } Поскольку на СИ я не пишу, на Delphi оно: function getHeaderSize(var st: TFileStream):cardinal; var rectBits: byte; begin st.Seek(8,soFromBeginning); st.Read(rectBits,1); rectBits:=rectBits shr 3; if (rectBits and 1)=1 then rectBits:=rectBits+1; result:=9+(rectBits shr 1) + 4; end; 2) Сама SWF-ина может быть запакованной или нет. Упаковка тушки обычная, gzip'овская, в инете лежит тулза swfc11, с помощью неё можно распаковать либо запаковать. У запакованой SWF-ины заголовок CWS, у незапакованной - FWS. Далее речь пойдёт о деобфускации НЕЗАПАКОВАННЫХ swf-ок. Запакованная сводится к незапакованной с помощью вышеописанной утилиты или gzip'овской библиотеки. 3) Структура SWF. Тушка SWF (сразу после заголовка) состоит из тэгов, имеющих общую структуру. Номер тэга и короткий размер тэга упаковываются в двухбайтовое число. Если размер тэга больше либо равен 63 байтам, то короткий размер берётся равным 63-м байтам, а реальный размер тушки тэга записывается в слежующем 4-х байтовом числе. Двухбайтовое число считается так: (номер_тэга << 6) + короткий размер или так: (номер_тэга shl 6) + короткий размер короткий_размер не превышает 63. Т.е. получается 2-х байтовый или 6-х байтовый заголовок тэга, в зависимости от длины тушки. При этом тэг с короткой тушкой может быть записан и с 6-ти байтовым заголовком, т.е. короткий размер берётся равным 63, а в ч-х байтовом числе записывается значение меньше 63-х. Это корректно с точки зрения SWF-плеера. Тэги идут друг за другом до нулевого тэга, т.е. тэга с номером 0. Существует один составной тэг с номером 39 (десятич.), он содержит в себе подтэги, последним из которых также является тэг с номером 0. Не знаю, может ли тэг 39 содержать подтег 39. Структурно может, фактически ни разу не видел, так что не будем о грустном. 4) Структура тэгов с ActionScript кодом. Есть несколько тэгов со скомпилированным AS-кодом, всех номеров я не знаю, но это и не важно. Это обычный тэг, только тушкой в нём выступает скомпиленный AS-код. Те же push-ы, pop-ы, jmp (branch) и т.д. Отличие от обычного кода в том, что где-то близко к началу кода, перед работой с переменными должны задаваться имена этих самых переменных. перечень этих имён обычно называется константами, код инструкции задания перечня - 0x88. Формат инструкции: 0x88 size count constants_string где 0x88 - 1 байт size - 2 байта, неотрицательное целое, размер всего, что идёт после size в байтах. Т.е. оно не может быть больше 65535 байт. count - количество констант constants_string - сами константы. Слова, содержащие любые символы. Между собой слова разделены символом с кодом 0x00. После последнего слова один символ 0x00, который входит в число символов, указанное в size. Далее в push-ах используются индексы констант в этой строке. Слова (константы) индексируются с нуля. Более-менее понять структуру можно изучив flasm16src (исходники flasm), или подизассемблировав SWF с помощью flasm-а. Скомпилированный AS-код адресонезависим, т.е. все переходы (branches) используют смещение. 5) Что обычно делает Амаета ЭсВэЭф энкрипт. а) добавляет тэг с номером 255, который, вроде бы, ничего ценного в себе не содержит и может быть безболезненно ампутирован. б) все (не все) тэги с ActionScript преобразует по следующему сценарию (на примере тэга DoAction с дес. кодом 12): Код тэга 12 заменяется на код 253 (десятич.), из тэга выкусываются все инструкции (если таковые имеются) до констант и сами константы. Инструкции до констант назовём краденными байтами. В начало тэга дописывается бред (в нашем случае FC 00 00 00). Оставшийся код дополняется в конце двумя branch-ами. После свежеиспечённого тэга 253 создаётся тэг с номером, который был до этого, в нашем случае тэг с номером 12. В начале тэга записываются краденные байты, затем идёт какая-то сигнатура, по которой можно распознать начало обфускатора, в нашем случае это 9B 07 00 04 05. Т.е. всё, что после заголовка тэга, но перед этой сигнатурой - краденные байты Это может быть запуск проигрывания какого-нибудь фрейма, например. Сразу после краденных байт идёт запутанный код, цель которого в итоге загрузить список констант (0x88) и после этого прыгнуть в предыдущий тэг (253). 6) Как проигрывается запаковынный файл: Все неизвестные тэги пропускаются. Тэг с кодом выполняет операцию, записанную в украденных байтах, если они есть. Это скорее всего проигрывание чего-то до выполнения AS-кода. Далее в этом тэге запутанный код приводит к инструкции 0x88, которая загружает нужные константы, после чего происходит передача управления в предыдущий тэг, сразу после бреда в начале. Данный бредовый код не подлежит AS-декомпиляции, т.к. написан на ассемблере виртуальной AS-машины. Т.е., если есть желание, можно написать трассировщик. 7) Алгоритм восстановления этого безобразия: 1) распаковываем swf 2) Удаляем нафиг тэг 255 3) для каждого тэга 253: - заменяем номер 253 на номер следующего тэга - если есть, удаляем бред в начале (в нашем случае FC 00 00 00). - добавляем в начало украденные байты и список констант - корректируем размер полученного тэга - корректируем размер тэга с кодом 39, если изменённый тэг входит в тэг с кодом 39 - удаляем следующий тэг - он больше не нужен 4) корректируем размер полученной swf-ины в заголовке 5) при желании запаковываем swf-ину Поскольку не все swf-ины запускаются, я чего-то не учёл, но т.к. весь ActionScript можно в итоге выдернуть, задачу считаю выполненной. P.S.: вся информация получана путём исследования, поэтому пост содержит много моего личного бреда и глупой терминологии. Тому, кто хочет понять структуру SWF - идти на сайт Adobe, там она расписана подробно. Цель данного поста - пояснить ситуацию с конкретным обфускатором. |
|
Создано: 08 июня 2009 20:08 · Личное сообщение · #12 |
|
Создано: 12 июля 2009 18:04 · Личное сообщение · #13 |
|
Создано: 21 июля 2009 12:15 · Поправил: Smilless · Личное сообщение · #14 Nowar А чем обфусифицирован этот И как определить "точку входа", с какого кода она стартует? Вот интересная толза - Сайт автора - Но в данной флешке приходится разбираться на уровне p кодов, а у ASV какие-то свои названия тегов, не въеду пока. |
|
Создано: 22 июля 2009 18:43 · Личное сообщение · #15 |
|
Создано: 22 июля 2009 19:53 · Личное сообщение · #16 Smilless пишет: Вот интересная толза - asv 6 pre 5 Сайт автора - ASV Action Script Viewer Там поддержка только младших версий флэш-плеера и до 8.Сейчас уже 10 версия. Но можно посмотреть в заголовке файла под какую версию заточена флэшка. Деобфускатор уже есть давно. Но иногда необходимо править исходники после sothnika чтобы получить рабочий вариант. На сегодня он справляется лучше с любыми версиями в т.ч. и с 10. Но как показывает практика - релиз декомпилера имеет значение.Ибо по сети гуляют криво-патченные последних версий. Теперь о грустном - если я захочу.Могу защитить флэшку и без обфускатора, и никто не сможет ее взломать. Эта тема уже обсасывалась на форумах адобе, но касается только 10 версий. Ибо часть кода, придется восстанавливать из p-кода виртуальной машины С - кросс-компилятора. |
|
Создано: 22 июля 2009 20:07 · Личное сообщение · #17 root-master пишет: Я работаю над проектом, задачей которого является получение live статистики матчей на одном из серверов (http://www.atptennis.com/; флешка по адресу http://www.protennislive.com/frameset.asp?year=2008&wkno=39&lang=en&ta bno=1&eventid=M015&ref=www.atptennis.com) по определенным запросам. Проблема заключается в том, что данные с каких-то пор начали шифроваться (раньше они приходили в открытых xml-файлах). Этот вопрос поднимался на cracklab.ru http://www.exelab.ru/f/action=vthread&forum=5&topic=10317 Однако достучаться до человека, который вроде бы нашел алго, не получилось (его ник TamTam). Там все просто - всеравно используется XML файл.Но его надо грамотно сдернуть с сервака.Для этого луче всего воспользоваться браузером Safari, и весь формат полностью будет доступен. Чего там -TamTam нашел еще что бы так гордо молчать? Не знаю.Но это уже вопрос этики. |
|
Создано: 23 июля 2009 12:18 · Личное сообщение · #18 Указанная Smilles флэшка не обфусцирована "Amayeta SWF Encrypt", непонятно, что она делает (у меня она "ничего не делает"). Соответственно, не совсем понятно, что взламывать Тему root-master создал давно, боюсь, проблема для него уже не актуальна. Просто не было смысла новую создавать для деобфускации Amayeta SWF Encrypt, раз одна уже есть. Через поиск потом фиг чего найдёшь, если тем наплодить. P.S.: если Dr_Di0NiS не напишет обещанный деобфускатор, я напишу... Но криво и на Делфи, как умею... |
|
Создано: 27 июля 2009 17:31 · Поправил: Smilless · Личное сообщение · #19 Nowar Хех так в том-то и дело, что вроде ничего не делает. Это лоадер для mybrute.com. Я так понимаю она грузит контент(сами флешки или их данные) при этом толи запакованные, толи закриптованные. И запускает их. Вообщем на странице видим только упоминание этой флешки. При этом грузитя эта флешка с помощью SWFobject - А после загрузки страницы еще парочку в кеше браузера. При этом формат у них совсем не флешовский. Расширение - swf. Вообщем надо разобрать эту гадюку, мне просто очень интересно стало ее расковырять. Подскажите плиз где описание ассемблера для AS3 можно надыбать? (_as3_getlocal, _as3_pushscope и вся эта прочая братия) Бляха под Айсом риверсировать проще было, документации навалом, а тут как в пизDе - темно и сыро..... Nowar Подскажи плиз как вычислить адрес, откуда код стартует? |
|
Создано: 27 июля 2009 17:36 · Поправил: Smilless · Личное сообщение · #20 yuB Теперь о грустном - если я захочу.Могу защитить флэшку и без обфускатора, и никто не сможет ее взломать. Эта тема уже обсасывалась на форумах адобе, но касается только 10 версий. Ибо часть кода, придется восстанавливать из p-кода виртуальной машины С - кросс-компилятора. Ну я так понимаю алгоритм анализируя p-code тем же SWF-Decompiler-ом вычислить можно. Декомпильнуть неполучится наверное. Кстати как это делается? Вот в той флешке что я выложил один из методов - вставленны куски не "декомпилируемого" кода который никогда не исполняется. как один из методов, там еще интересные приемы есть. ЗЫ: Парни помогите найти доку по p-кодам? |
|
Создано: 27 июля 2009 17:49 · Личное сообщение · #21 |
|
Создано: 27 июля 2009 20:10 · Поправил: Smilless · Личное сообщение · #22 Nowar Ссылочка - Как не стартует? Должен ведь Ничего тогда не понимаю. Мне казалось, что он запускается в этом фрагменте Code:
в _eOk173 Названия классов покорежены(что мне и показалось обфускацией), это то, что показывает SWF Decompiler. ЗЫ: ежели нужен последний SWFDeompiler с лекарством от FFF(в папке drug) лежит тута - |
|
Создано: 27 июля 2009 20:35 · Личное сообщение · #23 Smilless пишет: Ну я так понимаю алгоритм анализируя p-code тем же SWF-Decompiler-ом вычислить можно. Декомпильнуть неполучится наверное. Кстати как это делается? Это делается с помощью LLVM компилятора под AVM2 начиная с 10 версии флэшки.Хотя версию можно и руками перебить.т.е. часть флэша пишется на С\С++ для оптимизации фишка.SWF-Decompiler - здесь отдыхает.Нужно еще писать LLVM декомпиль.А это все равно что С-декомпилятор. То что ты выложил это 2 проходная - обфускация -имен классов,объектов,переменных и пакетов,после компиляции - пропущена через SWF Encrypt. Так что проект надо только пересобирать.Никакой Алхимии(LLVM) там пока нет.Если это только лоадер - можно не париться, есть спец класс для этого и несложно подгрузить контент во флэш.Надо смотреть контент.Что там?Флэш?хтмл?...и.т.д Да флэшка пустая.И не видел там ссылку на crassdomain.xml.Это файл политик. Он может разрешать избранно грузить контент, и лежит обычно на серваке.Сейчас посмотрим ссылку что там. Если хочешь - расскажи что надо то?...в конце |
|
Создано: 27 июля 2009 20:53 · Личное сообщение · #24 Code:
|
|
Создано: 27 июля 2009 21:53 · Личное сообщение · #25 |
|
Создано: 04 августа 2009 12:53 · Поправил: Smilless · Личное сообщение · #26 yuB Да я вроде немного подразобрался. Мне вот только доку по p-cod-ам(bytecode) для flasha не удается найти. Помогите с этой докой плиз. Погибаю. Нашел что-то www.adobe.com/devnet/actionscript/articles/avm2overview.pdf. Вот еще тут есть отрывки - www.nowrap.de/flasm.html. Но этого мало. Но имхо не совсем то, так как коды комманд не совпадают. |
|
Создано: 04 августа 2009 12:53 · Личное сообщение · #27 |
|
Создано: 04 августа 2009 20:19 · Личное сообщение · #28 |
|
Создано: 01 сентября 2009 13:00 · Личное сообщение · #29 тоже проблематичный файл ifolder.ru/13799249 swf получилось раскодировать при помощи asv. но после раскодирования флешка перестает реагировать на нажатия крысой. По сорцам, которые получилось вытащить - видно что onRelease у всех кнопок присутствует, но трейсинг ни к чему не привел. Никто не сталкивался со схожими проблемами? |
|
Создано: 01 сентября 2009 20:49 · Поправил: yuB · Личное сообщение · #30 |
. 1 . 2 . 3 . 4 . >> |
eXeL@B —› Крэки, обсуждения —› Decrypt SWF, подверженный обфускации Amayeta SWF Encrypt |