你搜索下论坛有高人写的swf反编译入门的文章，相信对你有帮助。
你提供一个文件我试一下。

断点断在CreateFileA应该可以看到点东西

谢谢大家的意见，我放了一本杂志上来大家帮忙看看，下载地址是：d57K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6A6N6$3W2D9L8q4)9J5k6h3&6W2N6q4)9J5c8X3u0T1M7#2)9J5c8X3q4H3K9g2)9J5c8Y4A6U0L8$3#2Q4x3X3g2J5j5i4t1`.

如果是flashplayer将swf打包的exe文件,可以试试脱壳机

上传的附件：

• swfunpacker.rar （163.68kb，106次下载）

断在CreateFileA什么都看到了

哇靠．全是些牛逼的人．谢谢了。主要是我真的什么都不懂．如果再有问题在来问你们．

最初由 WiNrOOt 发布
断在CreateFileA什么都看到了

能给我说说大体过程吗？我只知道用什么工具，但基本上不会用，我也是帮忙给别人弄．时间急．非常感谢．你就给我说说具体步骤就行，比如下断点后怎么提取资源这些．

在临时文件夹里：
C:\Documents and Settings\Administrator\Local Settings\Temp\{F7B555EB-BC32-486A-8484-B6BEC8318E87}\_extra

不过，里面的Flash似乎打不开。

我是初学者，感觉这个地方的人挺热情的．上次发了个帖关于提取exe中的swf文件，很多朋友给了帮助，特别是 WiNrOOt 的提示，详细内容是：http://bbs.pediy.com/showthread.php?s=&threadid=35609，但我的基础实在很严重，大家能给我说说具体步骤吗？从下断到拦截到得到文件，见笑了，我真的很需要这个东西．

WiNrOOt 的CreateFileA是个很好的方法，这个文件中的资源被压缩过了，直接使用查找swf标志“FWS”或“CWS”的方法行不通

我知道是好方法吖．但我不知道怎么弄．我现在只知道用OllyDBG.EXE载入．然后在CreateFileA断点．其他的我就不会了．能给我说说具体步骤吗．非常感谢．

知道断点之后就好办多了，F9运行程序，生成电子书时候就会断下来，之后就一步一步分析了，分析的时候最好懂一点汇编，要不很痛苦。

现在最郁闷的是我用的是Pocomaker作电子书的，我想提取制作的模版DIY一下，
因为作好的电子书总是访问网络，如何去除网络访问功能，断点是什么？

这个不是电子书制作文件啊，它本身就是一本杂志．poco的电子书好象直接用winhex搜索里面的地址，改成空格就不会访问网络了．

zcom ｌｍ软件的， 应该  解剖！！

估计是ｆｗｓ　　　FWS表示未压缩

他解压出来的ｓｗｆ　没有压缩　但是　明显　没有文件都标志等等信息。。　我修改了前８个字节后，　右键菜单　出现　

还有一个蓝色背景出现。。　　　估计程序还用了些算法处理这些ｓｑｆ　　我的汇编基础差　我看不出来　有什么招在里面。

支持一下

　　我想我找到原因了！！　

大家请看373K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4%4k6X3E0A6N6q4)9J5k6h3y4G2L8g2!0q4x3#2)9^5x3q4)9^5x3q4!0q4x3#2)9^5x3q4)9^5x3q4!0q4x3#2)9^5x3q4)9^5x3l9`.`.
他的功能是：
convert swf to exe, make flash application, flash to exe, make flash screensaver, swf to exe, swf to mp3

“This executable file was created by an UNREGISTERED copy of SWFKit!
Registered version will not show this message”

怨怨相报　　何时了


想办法反过来　即可！

曾经有个帖子里面说到的，用Lordpe将SWF那部分提取出来，我想应该行的通吧，但是我有个技术上的疑问，我不知道怎么用“dump region脱壳部分区域”将那个段落的内存提取出来，有谁用图片形式作个教程就好了。

原文：
工具：OD  Lordpe 16进制编辑器
程序：多彩的夏天.exe
目的：从EXE文件中导出SWF，之后可以进行反编及修改操作
说明：为了研究需要而处理的。不敬之处请您谅解。

1、OD导入程序。
  停在这里
004B556B > $ 6A 60           PUSH 60
004B556D   . 68 30805300     PUSH 多彩夏天.00538030
004B5572   . E8 E9EBFFFF     CALL 多彩夏天.004B4160
004B5577   . BF 94000000     MOV EDI,94
004B557C   . 8BC7            MOV EAX,EDI
004B557E   . E8 CD95FFFF     CALL 多彩夏天.004AEB50

2、执行程序，之后可以看到程序运行的界面。以及播放的FLASH动画。
注意：此程序不是用Flash播放器生成的EXE文件，所以不能用网上的一些去头的方法进行处理。
到OD中。

ALT+M显示内存列表。

选一些比较大的内存块，鼠标右键，在CPU中进行转存，这样在数据区时可以看到内存块的内容了，
进行 二进制的搜索Flash文件的头 FWS 字符，如果你找到了，可以看一下，这一块内容离块的头并不远，
实际上不用找也能看到的。

01DF0000  50 00 5F 01 50 00 5F 01 00 00 00 00 00 00 00 00  P._ P._ ........
01DF0010  00 60 27 00 00 60 27 00 11 08 00 00 00 0B 00 00  .`'..`'.  .....
01DF0020  46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70  FWS 钭'.x.?. p
01DF0030  00 00 0C 17 00 43 02 FF FF FF 44 0B 06 00 00 00  ... .C ?D ...
01DF0040  3F 03 02 00 00 00 07 00 BF 05 76 2D 00 00 01 00  ?  ....?v-.. .

大约在块头的20H开始，简单说一下Flash头的格式:
01DF0020  46 57 53 06 EE 57 27 00 78 00 07 D0 00 00 17 70  FWS 钭'.x.?. p
           ====== -- =========
           标示   版本  长度
长度内容一会要用的。当前文件的长度是2757EEH字节长，1DF0020+2757EE=1E6580E 说明我们的Flash到此位置

3、上lordpe，在path中选中程序的名称列表。
  鼠标右键  dump region  汉语是  脱壳部分区域。
在列表中选中我们刚才的内存块了。
右键 dump，保存文件AA.SWF。
4、用16进制编辑器打开生成的文件AA.SWF,去掉头20H字节， 之后到2757EEH处，删除后面的字节。
之后SWF文件就可以看到了，用播放器可以看。用AVS可以反编。

5、总结
现在网上的Flash的文件加密方法很多，但常是能被反编译，之后改文件，改底稿，改图片，为了保护作者的权力，可谓保护起来不遗余力了。
这种保护方法是用VC编程，之后在程序中调用播放Flash的控件，再调用Flash文件进行播放。因为数据是被压缩的，不能直接dump出来的。

多年不写东西，都快不会打字了。
    Nig  2005.06.13

网速慢，比楼上晚了一步，帖子没发上去.....
一个exe播放swf文件时，内存里应该有完整得swf文件内容的，用winhex将它提取出来....

最初由 backuper 发布
　　我想我找到原因了！！　

大家请看7dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4%4k6X3E0A6N6q4)9J5k6h3y4G2L8g2!0q4x3#2)9^5x3q4)9^5x3q4!0q4x3#2)9^5x3q4)9^5x3q4!0q4x3#2)9^5x3q4)9^5x3l9`.`.
他的功能是：
convert swf to exe, make flash application, flash to exe, make flash screensaver, swf to exe, swf to mp3
........

哎．这个我也知道啊，我用资源工具查看的时候就有一个结构是swfkit，现在关键是解决办法，还有zcom不是所有的杂志都是这样的结构的，但大多数都是内部有一个动画框架．如果能够提取，将是一个非常大的媒体资源．

不管怎么样很感谢这么多热心的朋友．

强烈建议高手出个详细的教程！！可以根据我在前几楼中贴出的那个文字教程进行讲解。