这个加密有点意思所以拿出来让大家看看。
这个程序是一个网游私服客户端(wanyh)的原来的数据文件为main.cvf加密后文件名为wanyh
内容也加密了。
我,用ESP定律解开后就基本一样,就文件头和IAT不同,别的都一样,很怪,
不过这个文件同样加密了数据文件。
和未加密端的执行代码一样,一点没变。
在readfile下断老跟不到加密算法。本人水平菜呀。
让高手看看是用什么方法加密,说下原理!
数据文件太大了,180M所在截了一点看能不能看出其加密的方法。
文件的前0C个字节原内容为"SFILESYSTEM"后面是 十六进制的 00 00 00 00 2e 00 00 00
其中加密部分的81 00 00 01未加密时应为00 00 00 00
这个壳应该是melobox加的。可是另一个加密数据文件的方法就太绝了。
IAT不同的地方。
0055C108 kernel32.FreeLibrary 永恒登陆.04698480
0055C10C kernel32.GetProcAddress 永恒登陆.04698369
0055C110 kernel32.LoadLibraryA 永恒登陆.04698176
0055C120 kernel32.CreateFileA 永恒登陆.046985A3
0055C140 kernel32.SetFilePointer 永恒登陆.04698753
0055C148 kernel32.ExitProcess 永恒登陆.046973BB
0055C160 kernel32.GetFileSize 永恒登陆.04697CDF
0055C164 kernel32.MapViewOfFile 永恒登陆.0469880F
0055C168 kernel32.CreateFileMappingA 永恒登陆.04698797
0055C16C kernel32.CreateFileW 永恒登陆.046985F1
0055C170 kernel32.UnmapViewOfFile 永恒登陆.0469884E
0055C184 kernel32.ReadFile 永恒登陆.046986EF
0055C24C kernel32.GetPrivateProfileStringA 永恒登陆.04697F59
0055C280 kernel32.CloseHandle 永恒登陆.046986C8
0055C288 kernel32.SetUnhandledExceptionFilter 永恒登陆.04696F47
0055C294 kernel32.GetModuleFileNameA 永恒登陆.04697D17
0055C2A0 kernel32.GetModuleHandleA 永恒登陆.0469827F
0055C2C0 kernel32.FindFirstFileA 永恒登陆.04697627
0055C2C4 kernel32.FindNextFileA 永恒登陆.04697919
0055C2C8 ASCII "j$h" 永恒登陆.046978F2
0055C4A0 ole32.CoCreateInstance 永恒登陆.046967ED
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
