注意:本篇文章仅做技术交流和学习
本次测试的是一种后缀为EV4的加密视频。分析下如何过防录像检测!
该软件播放视频时,会检测是否有录像工具在运行。通过分析,发现有个文件记录中,有已经的录像和远程工具进程名(暂称它为黑名单)。该文件记录的信息很详细,目录地址:qq:1462109921
C:\Users\Administrator\AppData\Local\EVPlayer\EVPlayer.ini
就是说,在这个黑名单中出现的软件都会被KILL掉。所以只要打开录像工具就会给关掉。在这里聪明的你是不是想到如何过掉它?
下面来看看播放器中的流程。qq:1462109921
OD载入EV播放器,通过分析跟踪和查找字符,都没有发现有用的东西。
继续分析,发现主播放器在播放视频时,也启动了另外一个进程【EVProtect.exe】。
此时DETACH掉主进程,或另外开一OD附加EVProtect.exe,该进程中我们发现了些有用的东西。
接下来,就开撸吧。打开录像工具就关闭,那就肯定有个线程来循环检测。是找窗口?找进程?对比?条条大道通罗马。都是基础的东西,就不废话了。大家干吧。
这里写了个小工具,直接过掉它:
VIP福利--EV加密过防录像工具
http://it0365.com/thread-77-1-1.html
(出处: it资源社区(IT0365.COM))
原文地址:https://www.cnblogs.com/simont/p/11143412.html
时间: 2024-11-08 22:37:52