Ver donde acaba archivo contenido en otro archivo

Iniciado por lucaslopez0000, 1 Febrero 2013, 18:38 PM

0 Miembros y 1 Visitante están viendo este tema.

lucaslopez0000

Hola a todos , estoy iniciandome con la ingenieria inversa la cual me parece muy interesante , y ahora os explico mi objetivo. Tengo un archivo que abro con winhex
que se que contiene archivos swf en su interior ( 20 o 30 ). Ya se cual es la cabecera de un archivo swf version 8 ( 0x435753 ) , pero no se donde termina ese archivo.
Observando algunos .swf con el winhex he observado que aunque todos tienen una cabecera comun no todos terminan igual , y de ahi que no sepa donde acaba el archivo

Me gustaria que alguien que tenga mas experiencia que yo me explicase como puedo localizar donde empieza un archivo y donde termina el siguiente

Muchas gracias ;)
La manera mas simple de solucionar los problemas de windows , los virus , el spyware , la basura de microsoft en general

USA LINUX

apuromafo CLS

http://www.exeinfo.antserve.com/  esta aplicacion tiene un ripper para swf embebidos (que esten ahi..)
luego seguiria herrmientas como estas
http://www.buraks.com/swifty/

y en el ultimo caso ya es terminar analizando analizar tienes ya cosas mas estilo sothing: (casi siempre son packed con armadillo y tienen secured section y hay que retornar algunos parches extras)

http://www.sothink.com/product/swf-editor/

pero en realidad igual son en parte funcionales

esop

por otro lado puedes buscar informacion en macromedia..o adobe..respecto a la cabezera o estructura del flash
http://ricardonarvaja.info/WEB/buscador.php  busca
"swf";"fla";"flash";"adobe";"macromedia"


yo recuerdo que una vez venci a un programa que emmbebia o protegia  flash:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1370-mProjector%204%20-FLASH-by%20Apuromafo.7z


PeterPunk77

Los archivos swf, comienzan con una cabecera FWS, CWS o ZWS (la primera letra hace referencia al tipo de compresión), seguido de un byte que indica la versión y luego un dword con la longitud del archivo, así que por ejemplo si encuentras algo así:
0x46,0x57,0x53,0x05,0xBB,0x67,0x25,0x00
se trataría de un archivo flash sin compresión, de la versión 5 y con un tamaño de 0x2567BB (2.451.387 bytes, 2'33 MB).

Saludos.

PD: Mientras escribía se me ha adelantado apuromafo, pero como ya lo tenía escrito lo publico igual.

apuromafo CLS

PeterPunk77  igual hay casos especiales  ese mProyector me hizo pasar dolores de cabeza..inclusive vi stub que ni macromedia habia implementado, ese programa bisound tenia hasta checkeo online..y lo mas divertido es que en el tiempo que estuvo de requesting nadie logro tankearlo
yo creo que todo va en los animos y exploracion del autor..gran parte de los embebidos se pueden guardar..los otros ya son casos apartes


^^
saludos Apuromafo