将H.264采集卡的输出格式，转换为标准H.264

市面上有很多种H.264硬压采集, 海康/大华/等等等等
找了半天发现所有的卡接口及其相似，在开发包中都是使用 RegisterStreamDirectReadCallback 注册回调函数来获取压缩后的数据流。
 
在它的回调函数中输出的码流不知道是啥子格式,而我需要标准的H.264码流，保存成flv并同时使用RTMP发布。如果解码后重新编码加重了CPU的负担，不符合要求。难道这就是传说中的海康码? 
 
找啊找啊找啊找，在几乎绝望的情况下发现大华的工具里面居然有一个将 采集卡的录像文件 转换成 标准AVI 的小工具 StreamToAVI.exe。
马上一试，输出的AVI能够被MediaInfo识别，且显示AVI容器的 codec 是 AVC, Main profile. 哟西，看来还是标准的H.264码流啊。
只要能够反向这个工具就能够解析出可爱的NALU了。
 
打开IDA，首先盯上的就是ReadFile API调用

.text:00401CD1                 push    10000h
.text:00401CD6                 push    ecx
.text:00401CD7                 push    ebp
.text:00401CD8                 call    ds:ReadFile
.text:00401CDE                 test    eax, eax
.text:00401CE0                 jz      short loc_401D0F
.text:00401CE2                 mov     eax, [esp+10h]
.text:00401CE6                 cmp     eax, 10000h
.text:00401CEB                 jnb     short loc_401CF5
.text:00401CED                 mov     dword ptr [esp+14h], 1
.text:00401CF5                 mov     edx, [esi+60h]
.text:00401CF8                 push    eax
.text:00401CF9                 push    edx
.text:00401CFA                 mov     ecx, esi
.text:00401CFC                 call    sub_401E30

 

每次读取长度为0x10000 的文件块到内存，然后就call sub_401E30进行处理， 看来 401E30这个函数就是要反向的目标

这个函数是某个类的成员函数，成员变量是由ebp寄存器(this指针)加上偏移量进行操作，看起来真头疼啊

理清类的内存布局以及推测其中某些变量含义，花了3天时间, 虽然人是笨了点，不过好在有耐心。再结合调试跟踪，又花了一个周末的时间摸清了基本的来龙去脉。终于搞出点东西来了!

 

.text:00402231                 mov     eax, [ebp+64h]
.text:00402234                 cmp     eax, 1FDh
.text:00402239                 jz      short loc_40227D
.text:0040223B                 cmp     eax, 1FCh
.text:00402240                 jz      short loc_40227D
.text:00402242                 cmp     eax, 1FBh
.text:00402247                 jz      short loc_40227D
.text:00402249                 cmp     eax, 1FAh
.text:0040224E                 jz      short loc_40227D
.text:00402250                 cmp     eax, 1F0h
.text:00402255                 jz      short loc_40227D
.text:00402257                 cmp     eax, 1F1h
.text:0040225C                 jz      short loc_40227D

 

这个1FD 1FC 1FB 1FA 1F0 应该是类型字段，标明当前的数据类型

 

1F0 是音频编码,略过， 不感兴趣

1FD 和 1FC 是 H.264编码 , 1FD应该是 I帧

1FB 和 1FA 不知道是什么，调试中发现, 我的录像文件从不进入这个分支执行，它应该是另一种编码类型(0x3447504D?)，可能是为其它某种型号的硬件准备的。这个就略过了，反正没用。

 

在0x403030处发现一个重要函数

.text:00403030                 mov     ecx, [esp+arg_8]
.text:00403034                 mov     eax, [esp+arg_C]
.text:00403038                 push    ebp
.text:00403039                 mov     ebp, [esp+4+arg_0]
.text:0040303D                 push    esi
.text:0040303E                 push    edi
.text:0040303F                 lea     edi, [ecx+eax]
.text:00403042                 lea     eax, [ebp+1]
.text:00403045                 mov     byte ptr [ebp+0], 0
.text:00403049                 xor     esi, esi
.text:0040304B                 mov     byte ptr [eax], 0
.text:0040304E                 inc     eax
.text:0040304F                 mov     byte ptr [eax], 0
.text:00403052                 inc     eax
.text:00403053                 mov     byte ptr [eax], 1
.text:00403056                 mov     dl, [ecx]
.text:00403058                 inc     eax
.text:00403059                 mov     [eax], dl
.text:0040305B                 inc     eax
.text:0040305C                 inc     ecx
.text:0040305D                 cmp     ecx, edi
.text:0040305F                 jnb     short loc_403084
.text:00403061                 cmp     esi, 2
.text:00403064                 jnz     short loc_403071
.text:00403066                 cmp     byte ptr [ecx], 3
.text:00403069                 ja      short loc_403071
.text:0040306B                 mov     byte ptr [eax], 3
.text:0040306E                 inc     eax
.text:0040306F                 xor     esi, esi
.text:00403071                 mov     dl, [ecx]
.text:00403073                 test    dl, dl
.text:00403075                 jnz     short loc_40307A
.text:00403077                 inc     esi
.text:00403078                 jmp     short loc_40307C
.text:0040307A                 xor     esi, esi
.text:0040307C                 mov     [eax], dl
.text:0040307E                 inc     eax
.text:0040307F                 inc     ecx
.text:00403080                 cmp     ecx, edi
.text:00403082                 jb      short loc_403061
.text:00403084                 mov     ecx, [esp+0Ch+arg_4]
.text:00403088                 sub     eax, ebp
.text:0040308A                 pop     edi
.text:0040308B                 pop     esi
.text:0040308C                 mov     [ecx], eax
.text:0040308E                 pop     ebp
.text:0040308F                 retn    10h

 

这个函数的特征太明显了，连续设置0x00 0x00 0x00 0x01 以及 连续2个零后小于3做处理。

一眼就认出0x40303这个函数肯定是转换成H.264 Annex B format输出

 

围绕这个函数分析，发现卡输出的H.264分2种， 一种就是H.264 Annex B, 还一种就是普通的NALU

 

试着自己写了个解析程序，成功地转换了录像文件。

 

明天继续，离球门不远了 ：）