㈠ 求助pbb文件解密
其中有兩個部分有「外放文件」,一個是「不小於512」,一個是「不小於256」,但在「不小於256」處後面有「pdf」、「mpg」等明顯代表文件格式的字元串,所以選擇這處點擊跳轉到調試窗口中,大致瀏覽一下這個函數我們可以發現很多有用的函數,比如CreateFile,CopyFile,ReadFile等,可以確定這就是我們要找的函數。找到函數頭部分下一個軟體斷點,重新運行,按F5,在軟體中選擇示例視頻.mp4,點擊外發控制,一直下一步,然後會斷在我們所下斷點處,這部分操作我就不上圖了,只說一下具體操作流程,畢竟我們的主要任務是分析它的加密演算法。
單步運行並分析上文所下斷點的函數,我們可以發現,在ReadFile讀取處,程序讀取了源文件,程序中共有7個WriteFile,在數據窗口中跟隨ReadFile的第二個參數即讀入源文件數據的部分,繼續單步執行,發現第1個WriteFile不會被執行,在執行到第2個WriteFile處時,程序寫入隨機位元組: 0x200000,而數據窗口中跟隨的數據段已經發生改變,在010editor中打開加密後的文件:示例視頻.mp4.pbb,發現其數據與在OD中數據窗口中的數據一致,所以可以確定這段數據就是加密後的數據,而在ReadFile與WriteFile之間只有一個函數:call PycFileO.00E45190(將函數PycFileO.00E45190重命名為核心加密函數,下文用到的部分也以核心加密函數指代),所以可以確定這個函數即使我們所要找的加密函數。先不管加密函數的具體內容,繼續執行其所處函數,當我們執行到第3個WriteFile處時,程序寫入了隨機n個位元組(n=0~16),在第4個WriteFile處,發現程序把上文中數據窗口中跟隨的密文寫入了文件,在第5個WriteFile處,程序將其上面一個隨機產生的0x20大小的內容進行了寫入,第6個WriteFile處,程序將了0x2A8內容進行了簡單填充,第7個WriteFile處,寫入了固定大小 0x10C的內容,經分析與密鑰有關。
經過分析,發現加密只與核心加密函數有關,所以我們的重點放到核心加密函數上來,其它的部分在這里不做討論。為了節省時間,我用了IDA的F5功能查看整個核心加密函數的具體結構,