前一篇,我们使用ASV2011的插件swf Revealer来将一个AS3加壳的SWF文件去壳。但不是所有情况都能搞定,例如一个加密的EXE电子杂志文件,看得到Flash在播放,却抓不到,或是一个网页中进行域名锁定的小游戏,虽然能下载下来,却由于域名锁定的关系,源文件真身没有被释放出来,这个时候该怎么办呢?SWF Seeker 2011内存提取工具就是来帮助我们抓取SWF真身的软件,所见即所得,只要看得见Flash在运行,那么就能抓得到!
废话不多说,直接动手实验。我们就以本地的电子杂志为例。
首先,开启ASV2011,将一个加密过的电子杂志文件拖入,弹出了“SWF文件智能检测”窗口,ASV需要进行扫描找到嵌入其中的SWF文件,点击开始,等待扫描过程。
扫描结束后,找到了4个文件,挨个选中,并预览后,很遗憾,没有我们需要的文件。
接下来,轮到SWF Seeker 2011上场了,先看看运行界面。
界面很简洁,点开了目标下拉列表,就明白其用途了,列表中是现在正在运行的所有进程,那么只要保证电子杂志的进程正在运行中,然后选中,点下扫描按钮,等待一会即可。
稍等片刻后,抓取的内容列表更新了。我们看到004号文件,大小容量41.1MB,帧数367。(部分信息显示未全,是试用版的原因)那么它就是我们要的文件了,选中004,用文件菜单中的保存,或点击右键保存即可。
我们把这个文件拖入ASV2011看看,所有的素材一目了然。
最后,SWF Seeker 2011还提供了一个功能,用于检测一个SWF中是否还有隐藏并嵌入的SWF真身,操作很简单,只需要把SWF文件拖入其窗口即可,检测完毕后会自动弹出一个提示窗口。利用收藏夹功能也可方便选中常用的目标进程。