我试图反编译的程序使用了几个支持文件:
- 一些声音.mp3
- 一些图片.jpg
- 等等..
这些文件都位于文件系统中,而不是嵌入到 exe 中。这些文件在运行时用于游戏图像和声音。
如果我尝试直接打开 mp3 或 jpg 之一,Windows 会给我一个错误,这些文件显然是打包/加密/混淆/压缩的。
如何确定文件的混淆类型?
我已经确定每个文件中的前 4 个字节是相同的, 43 46 31 30 (CF10 in ASCII)。也许这些信息会有用。
如何查找文件压缩或混淆类型
逆向工程
开箱
去混淆
解密
2021-06-21 10:26:46
2个回答
你可以试试binwalk。该工具可以通过-BE选项对所使用的加密/压缩例程进行疯狂猜测。
(在终于能够检查 2 个例子之后)
它们是常规文件,使用简单的 XOR 编码进行混淆。有关详细说明,请参阅https://stackoverflow.com/questions/26442162/decryption-of-png-and-jpg-files。
文件扩展名可能是也可能不是原始的。