分析-去除天狼星视频加密系统及各种限制.doc

大家好，最近看到去除天狼星加密系统的各种限制炒得比较火爆，那个混蛋论坛居然还要公开对外出售。觉得好奇，于是就拿来分析了一下，还算收获不少，把分析过程贴出来，希望高手别见笑。^言归正传，限制主要有智能防翻录（抓屏）、防止屏幕录像软件翻录，用户名（水印）、3389检测、断网限制。那就下面就逐一来分析一下吧。 加密视频破解天狼星讨论群加密视频破解天狼星讨论群一、智能防翻录（抓屏）这个就是用一些冷门的翻录软件、或者截屏时，虽然不被发现，但是录出来却是黑屏的。原理是：软件调用了Direct3D加速，普通的录像软件自然黑屏了。解决方法：自然是不让他启用Direct3D加速了。用OD载入我们的录像文件，在字符串里找到DirectDrawCreate，然后双击，跳转到相应的汇编代码处。如下：00413B358B85FCFEFFFFmoveax,dwordptr[ebp-0x104]00413B3BF6802706000002testbyteptr[eax+0x627],0x200413B427410jeshort00413B5400413B448B15E8844B00movedx,dwordptr[0x4B84E8]00413B4AC7826C0200000200movdwordptr[edx+0x26C],0x200413B548B0DE8844B00movecx,dwordptr[0x4B84E8]00413B5A83B96mpdwordptr[ecx+0x26C],0x000413B610F8ECC040000jl00413B676843964B00push004B9643;ddraw.dll00413B6CE89D2E0A00calljmp.KERNEL32.LoadLibraryA//加载ddraw.dll00413B718B15E8844B00movedx,dwordptr[0x4B84E8]00413B778982EC010000movdwordptr[edx+0x1EC],eax00413B7DA1E8844B00moveax,dwordptr[0x4B84E8]00413B8283B8Empdwordptr[eax+0x1EC],0x000413B897505jnzshort00413B9000413B8B83C9FForecx,-0x100413B8EEB78jmpshort00413C0800413B90684D964B00push004B964D;directdrawcreate00413B95A1E8844B00moveax,dwordptr[0x4B84E8]00413B9A8B90EC010000movedx,dwordptr[eax+0x1EC]00413BA052pushedx00413BA1E8A22D0A00calljmp.KERNEL32.GetProcAddress//初始化directdraw00413BA68985B4FEFFFFmovdwordptr[ebp-0x14C],eax00413BAC83BDB4FEFFFF00cmpdwordptr[ebp-0x14C],0x000413BB37507jnzshort00413BBC00413BB5B9FEFFFFFFmovecx,-0x2 我们的目的是直接不让程序加载Direct，那么可以看出 00413B610F8ECC040000jl可以完全跳过direct加载，那就改成jmp了。这样改了之后，就不黑屏了。但是会弹出一个错误框，提示)directx错误2,请关闭后重新运行试试。错误代码找到相应的代码： 0041C490/7567jnzshort0041C4F90041C492|66:C78558FFFFFFEmovwordptr[ebp-0xA8],0xE00041C49B|8D45B0leaeax,dwordptr[ebp-0x50]0041C49E|8B950CFFFFFFmovedx,dwordptr[ebp-0xF4]0041C4A4|E8DF5A0800call004A1F880041C4A9|FF8564FFFFFFincdwordptr[ebp-0x9C]0041C4AF|8BD0movedx,eax0041C4B1|33C0xoreax,eax0041C4B3|8D4DACleaecx,dwordptr[ebp-0x54]0041C4B6|8945ACmovdwordptr[ebp-0x54],eax0041C4B9|B8489A4B00m