在进程的内存转储中查找视频文件

Question

我有一个播放加密视频文件的播放器，它的工作方式如下：

1. 我用它打开一个加密的视频文件
2. 它解密视频文件并将其写入内存。
3. 然后播放内存中的文件。

我想从内存中复制解密后的视频文件，然后用像VLC这样的普通视频播放器播放，所以我尝试用任务管理器创建它的内存转储，并希望在那里找到视频文件。遗憾的是，我不知道如何从内存中找到大量的视频文件。我试着在一个十六进制编辑器中找到mp4模式，并完成了我在网上找到的所有解决方案，但是没有什么对我有效，所以我希望这里的人可能有一个想法，并愿意帮助我如何完成它。

我上传它的内存转储这里 (在打开一个简短的加密视频之后)

Answer 1

最有可能的是，该软件不会一次解码整个视频文件，而是以流式方式解码。这样就不可能捕捉到解码后的视频数据在内存转储中可用的时刻。

如果播放机软件是开源的，请用调试符号编译它，并在调试器下运行它。否则，就求助于逆向工程。

Answer 2

我认为问题不在于主题上 for StackOverflow，包括但不限于具体地逆转用于数字版权管理的软件解决方案。然而，我仍然会留下一个答案。

首先，正如评论所指出的那样，所讨论的主题是逆转商业提供者提供的具体解决方案。从内存转储中恢复媒体文件的能力在很大程度上取决于此解决方案的实现和提供程序用于使反转复杂化的方法。它只是最简单和直接的解决方案是很容易逆转的，而越多的开发人员投入到跟踪中，就越难--指数级地--逆转。

即使有很小的机会(通过内存转储分析)在内存中找到原始文件，也不太可能对任何媒体播放应用程序进行任何解密。媒体播放通常是流式的:数据是从磁盘、存储、网络等加载的，这是播放所必需的，而不是作为一个完整的下载。解密需要立即应用于某些需要的数据，然后一个支持DRM的应用程序一旦不再需要，就会立即删除那些短暂的清晰数据。也就是说，内存转储--充其量--将包含数量少得可笑的媒体数据。

要捕获/恢复原始媒体文件，通常需要将自己作为中间人放置到一些与媒体流相关的进程中，并且能够在数据正在连续播放时复制数据。静态内存转储在这里帮助不大。