注意:本篇文章僅作技術交流和學習
本次測試的是一種後綴爲EV4的加密視頻。分析下如何過防錄像檢測!
該軟件播放視頻時,會檢測是否有錄像工具在運行。經過分析,發現有個文件記錄中,有已經的錄像和遠程工具進程名(暫稱它爲黑名單)。該文件記錄的信息很詳細,目錄地址:qq:1462109921
C:\Users\Administrator\AppData\Local\EVPlayer\EVPlayer.ini
該軟件播放視頻時,會檢測是否有錄像工具在運行。經過分析,發現有個文件記錄中,有已經的錄像和遠程工具進程名(暫稱它爲黑名單)。該文件記錄的信息很詳細,目錄地址:qq:1462109921
C:\Users\Administrator\AppData\Local\EVPlayer\EVPlayer.ini
就是說,在這個黑名單中出現的軟件都會被KILL掉。因此只要打開錄像工具就會給關掉。在這裏聰明的你是否是想到如何過掉它?
下面來看看播放器中的流程。qq:1462109921
OD載入EV播放器,經過分析跟蹤和查找字符,都沒有發現有用的東西。
下面來看看播放器中的流程。qq:1462109921
OD載入EV播放器,經過分析跟蹤和查找字符,都沒有發現有用的東西。
繼續分析,發現主播放器在播放視頻時,也啓動了另一個進程【EVProtect.exe】。
此時DETACH掉主進程,或另外開一OD附加EVProtect.exe,該進程中咱們發現了些有用的東西。
此時DETACH掉主進程,或另外開一OD附加EVProtect.exe,該進程中咱們發現了些有用的東西。
接下來,就開擼吧。打開錄像工具就關閉,那就確定有個線程來循環檢測。是找窗口?找進程?對比?條條大道通羅馬。都是基礎的東西,就不廢話了。你們幹吧。
這裏寫了個小工具,直接過掉它:
VIP福利--EV加密過防錄像工具
http://it0365.com/thread-77-1-1.html
(出處: it資源社區(IT0365.COM))
這裏寫了個小工具,直接過掉它:
VIP福利--EV加密過防錄像工具
http://it0365.com/thread-77-1-1.html
(出處: it資源社區(IT0365.COM))