selong 请进！你需要的 11H 解密算法

cheming · 发表于 2006-4-28 01:26:27

今天将 PDG2.DLL 分析了一下，找到 1xH 解密代码，供你 BE助手 2.0 参考。

Part1

.text:1002CC60 ; 〓〓〓〓〓〓〓〓〓〓〓〓 S U B R O U T I N E 〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
.text:1002CC60
.text:1002CC60
.text:1002CC60 sub_1002CC60 proc near ; CODE XREF: sub_1002B380+192p
.text:1002CC60 ; sub_1002B550+1BEp ...
.text:1002CC60
.text:1002CC60 var_6C = dword ptr -6Ch
.text:1002CC60 var_68 = dword ptr -68h
.text:1002CC60 var_64 = dword ptr -64h
.text:1002CC60 var_60 = dword ptr -60h
.text:1002CC60 var_5C = dword ptr -5Ch
.text:1002CC60 var_58 = dword ptr -58h
.text:1002CC60 var_54 = dword ptr -54h
.text:1002CC60 var_50 = dword ptr -50h
.text:1002CC60 var_4C = dword ptr -4Ch
.text:1002CC60 var_48 = dword ptr -48h
.text:1002CC60 var_44 = dword ptr -44h
.text:1002CC60 var_40 = dword ptr -40h
.text:1002CC60 var_3C = dword ptr -3Ch
.text:1002CC60 var_38 = dword ptr -38h
.text:1002CC60 var_34 = dword ptr -34h
.text:1002CC60 var_30 = dword ptr -30h
.text:1002CC60 var_2C = dword ptr -2Ch
.text:1002CC60 var_28 = dword ptr -28h
.text:1002CC60 var_24 = dword ptr -24h
.text:1002CC60 var_20 = dword ptr -20h
.text:1002CC60 var_1C = dword ptr -1Ch
.text:1002CC60 var_18 = dword ptr -18h
.text:1002CC60 var_14 = dword ptr -14h
.text:1002CC60 var_10 = dword ptr -10h
.text:1002CC60 var_C = dword ptr -0Ch
.text:1002CC60 var_8 = dword ptr -8
.text:1002CC60 var_4 = dword ptr -4
.text:1002CC60 pOh = dword ptr 4 ; Optional_Header
.text:1002CC60 pdgData = dword ptr 8
.text:1002CC60
.text:1002CC60 sub esp, 6Ch
.text:1002CC63 xor eax, eax
.text:1002CC65 push esi
.text:1002CC66 mov esi, [esp+70h+pOh]
.text:1002CC6A mov [esp+70h+var_24], eax
.text:1002CC6E mov [esp+70h+var_48], eax
.text:1002CC72 mov [esp+70h+var_6C], eax
.text:1002CC76 lea eax, [esp+70h+var_24]
.text:1002CC7A lea ecx, [esp+70h+var_48]
.text:1002CC7E push eax ; int
.text:1002CC7F mov ax, [esi+optional_header.keydata.KeyToDecode1xH]
.text:1002CC83 lea edx, [esp+74h+var_6C]
.text:1002CC87 push ecx ; int
.text:1002CC88 mov cx, [esi+optional_header.y_pix] ; 扫描图像的纵向参数
.text:1002CC8C push edx ; int
.text:1002CC8D mov dx, [esi+optional_header.x_pix] ; 扫描图像的横向参数
.text:1002CC91 push eax ; keyToDecode1xH
.text:1002CC92 mov eax, [esi+optional_header.size_PDG_data]
.text:1002CC95 push ecx ; y_pix
.text:1002CC96 push edx ; x_pix
.text:1002CC97 push eax ; size_pdg_data
.text:1002CC98 call sub_10035DA0 ; Decode pdg
.text:1002CC9D xor eax, eax
.text:1002CC9F add esp, 1Ch
.text:1002CCA2 mov al, [esi+optional_header.pdgType] ; 02H, 11H, ...
.text:1002CCA5 add eax, 0FFFFFFEFh ; case (pdgType - 11H) of
.text:1002CCA8 pop esi
.text:1002CCA9 cmp eax, 0Bh ; switch 12 cases
.text:1002CCAC ja @ELSE ; default
.text:1002CCB2 jmp ds:decode_1xH_subs[eax*4] ; switch jump
.text:1002CCB9
.text:1002CCB9 @11H: ; DATA XREF: .text:decode_1xH_subso
.text:1002CCB9 mov ecx, [esp+6Ch+var_64] ; case 0x0
.text:1002CCBD mov edx, [esp+6Ch+var_68]
.text:1002CCC1 mov eax, [esp+6Ch+pdgData]
.text:1002CCC5 push ecx
.text:1002CCC6 push edx
.text:1002CCC7 push eax
.text:1002CCC8 call sub_1002CEC0
.text:1002CCCD add esp, 0Ch
.text:1002CCD0 xor ecx, ecx
.text:1002CCD2 cmp eax, 1
.text:1002CCD5 setz cl
.text:1002CCD8 mov eax, ecx
.text:1002CCDA add esp, 6Ch
.text:1002CCDD retn
.text:1002CCDE ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CCDE
.text:1002CCDE @12H: ; CODE XREF: sub_1002CC60+52j
.text:1002CCDE ; DATA XREF: .text:decode_1xH_subso
.text:1002CCDE mov ecx, [esp+6Ch+var_5C] ; case 0x1
.text:1002CCE2 mov edx, [esp+6Ch+var_60]
.text:1002CCE6 mov eax, [esp+6Ch+pdgData]
.text:1002CCEA push ecx
.text:1002CCEB push edx
.text:1002CCEC push eax
.text:1002CCED call sub_1002CEC0
.text:1002CCF2 add esp, 0Ch
.text:1002CCF5 xor ecx, ecx
.text:1002CCF7 cmp eax, 1
.text:1002CCFA setz cl
.text:1002CCFD mov eax, ecx
.text:1002CCFF add esp, 6Ch
.text:1002CD02 retn
.text:1002CD03 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CD03
.text:1002CD03 @13H: ; CODE XREF: sub_1002CC60+52j
.text:1002CD03 ; DATA XREF: .text:decode_1xH_subso
.text:1002CD03 mov ecx, [esp+6Ch+var_54] ; case 0x2
.text:1002CD07 mov edx, [esp+6Ch+var_58]
.text:1002CD0B mov eax, [esp+6Ch+pdgData]
.text:1002CD0F push ecx
.text:1002CD10 push edx
.text:1002CD11 push eax
.text:1002CD12 call sub_1002CEC0
.text:1002CD17 add esp, 0Ch
.text:1002CD1A xor ecx, ecx
.text:1002CD1C cmp eax, 1
.text:1002CD1F setz cl
.text:1002CD22 mov eax, ecx
.text:1002CD24 add esp, 6Ch
.text:1002CD27 retn
.text:1002CD28 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CD28
.text:1002CD28 @14H: ; CODE XREF: sub_1002CC60+52j
.text:1002CD28 ; DATA XREF: .text:decode_1xH_subso
.text:1002CD28 mov ecx, [esp+6Ch+var_4C] ; case 0x3
.text:1002CD2C mov edx, [esp+6Ch+var_50]
.text:1002CD30 mov eax, [esp+6Ch+pdgData]
.text:1002CD34 push ecx
.text:1002CD35 push edx
.text:1002CD36 push eax
.text:1002CD37 call sub_1002CEC0
.text:1002CD3C add esp, 0Ch
.text:1002CD3F xor ecx, ecx
.text:1002CD41 cmp eax, 1
.text:1002CD44 setz cl
.text:1002CD47 mov eax, ecx
.text:1002CD49 add esp, 6Ch
.text:1002CD4C retn
.text:1002CD4D ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CD4D
.text:1002CD4D @15H: ; CODE XREF: sub_1002CC60+52j
.text:1002CD4D ; DATA XREF: .text:decode_1xH_subso
.text:1002CD4D mov ecx, [esp+6Ch+var_40] ; case 0x4
.text:1002CD51 mov edx, [esp+6Ch+var_44]
.text:1002CD55 mov eax, [esp+6Ch+pdgData]
.text:1002CD59 push ecx
.text:1002CD5A push edx
.text:1002CD5B push eax
.text:1002CD5C call sub_1002CF40
.text:1002CD61 add esp, 0Ch
.text:1002CD64 xor ecx, ecx
.text:1002CD66 cmp eax, 1
.text:1002CD69 setz cl
.text:1002CD6C mov eax, ecx
.text:1002CD6E add esp, 6Ch
.text:1002CD71 retn
.text:1002CD72 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CD72
.text:1002CD72 @16H: ; CODE XREF: sub_1002CC60+52j
.text:1002CD72 ; DATA XREF: .text:decode_1xH_subso
.text:1002CD72 mov ecx, [esp+6Ch+var_38] ; case 0x5
.text:1002CD76 mov edx, [esp+6Ch+var_3C]
.text:1002CD7A mov eax, [esp+6Ch+pdgData]
.text:1002CD7E push ecx
.text:1002CD7F push edx
.text:1002CD80 push eax
.text:1002CD81 call sub_1002CF40
.text:1002CD86 add esp, 0Ch
.text:1002CD89 xor ecx, ecx
.text:1002CD8B cmp eax, 1
.text:1002CD8E setz cl
.text:1002CD91 mov eax, ecx
.text:1002CD93 add esp, 6Ch
.text:1002CD96 retn
.text:1002CD97 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CD97
.text:1002CD97 @17H: ; CODE XREF: sub_1002CC60+52j
.text:1002CD97 ; DATA XREF: .text:decode_1xH_subso
.text:1002CD97 mov ecx, [esp+6Ch+var_30] ; case 0x6
.text:1002CD9B mov edx, [esp+6Ch+var_34]
.text:1002CD9F mov eax, [esp+6Ch+pdgData]
.text:1002CDA3 push ecx
.text:1002CDA4 push edx
.text:1002CDA5 push eax
.text:1002CDA6 call sub_1002CF40
.text:1002CDAB add esp, 0Ch
.text:1002CDAE xor ecx, ecx
.text:1002CDB0 cmp eax, 1
.text:1002CDB3 setz cl
.text:1002CDB6 mov eax, ecx
.text:1002CDB8 add esp, 6Ch
.text:1002CDBB retn
.text:1002CDBC ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CDBC
.text:1002CDBC @18H: ; CODE XREF: sub_1002CC60+52j
.text:1002CDBC ; DATA XREF: .text:decode_1xH_subso
.text:1002CDBC mov ecx, [esp+6Ch+var_28] ; case 0x7
.text:1002CDC0 mov edx, [esp+6Ch+var_2C]
.text:1002CDC4 mov eax, [esp+6Ch+pdgData]
.text:1002CDC8 push ecx
.text:1002CDC9 push edx
.text:1002CDCA push eax
.text:1002CDCB call sub_1002CF40
.text:1002CDD0 add esp, 0Ch
.text:1002CDD3 xor ecx, ecx
.text:1002CDD5 cmp eax, 1
.text:1002CDD8 setz cl
.text:1002CDDB mov eax, ecx
.text:1002CDDD add esp, 6Ch
.text:1002CDE0 retn
.text:1002CDE1 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CDE1
.text:1002CDE1 @19H: ; CODE XREF: sub_1002CC60+52j
.text:1002CDE1 ; DATA XREF: .text:decode_1xH_subso
.text:1002CDE1 mov ecx, [esp+6Ch+var_1C] ; case 0x8
.text:1002CDE5 mov edx, [esp+6Ch+var_20]
.text:1002CDE9 mov eax, [esp+6Ch+pdgData]
.text:1002CDED push ecx
.text:1002CDEE push edx
.text:1002CDEF push eax
.text:1002CDF0 call sub_1002D030
.text:1002CDF5 add esp, 0Ch
.text:1002CDF8 xor ecx, ecx
.text:1002CDFA cmp eax, 1
.text:1002CDFD setz cl
.text:1002CE00 mov eax, ecx
.text:1002CE02 add esp, 6Ch
.text:1002CE05 retn
.text:1002CE06 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CE06
.text:1002CE06 @1AH: ; CODE XREF: sub_1002CC60+52j
.text:1002CE06 ; DATA XREF: .text:decode_1xH_subso
.text:1002CE06 mov ecx, [esp+6Ch+var_14] ; case 0x9
.text:1002CE0A mov edx, [esp+6Ch+var_18]
.text:1002CE0E mov eax, [esp+6Ch+pdgData]
.text:1002CE12 push ecx
.text:1002CE13 push edx
.text:1002CE14 push eax
.text:1002CE15 call sub_1002D030
.text:1002CE1A add esp, 0Ch
.text:1002CE1D xor ecx, ecx
.text:1002CE1F cmp eax, 1
.text:1002CE22 setz cl
.text:1002CE25 mov eax, ecx
.text:1002CE27 add esp, 6Ch
.text:1002CE2A retn
.text:1002CE2B ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CE2B
.text:1002CE2B @1BH: ; CODE XREF: sub_1002CC60+52j
.text:1002CE2B ; DATA XREF: .text:decode_1xH_subso
.text:1002CE2B mov ecx, [esp+6Ch+var_C] ; case 0xA
.text:1002CE2F mov edx, [esp+6Ch+var_10]
.text:1002CE33 mov eax, [esp+6Ch+pdgData]
.text:1002CE37 push ecx
.text:1002CE38 push edx
.text:1002CE39 push eax
.text:1002CE3A call sub_1002D030
.text:1002CE3F add esp, 0Ch
.text:1002CE42 xor ecx, ecx
.text:1002CE44 cmp eax, 1
.text:1002CE47 setz cl
.text:1002CE4A mov eax, ecx
.text:1002CE4C add esp, 6Ch
.text:1002CE4F retn
.text:1002CE50 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CE50
.text:1002CE50 @1CH: ; CODE XREF: sub_1002CC60+52j
.text:1002CE50 ; DATA XREF: .text:decode_1xH_subso
.text:1002CE50 mov ecx, [esp+6Ch+var_4] ; case 0xB
.text:1002CE54 mov edx, [esp+6Ch+var_8]
.text:1002CE58 mov eax, [esp+6Ch+pdgData]
.text:1002CE5C push ecx
.text:1002CE5D push edx
.text:1002CE5E push eax
.text:1002CE5F call sub_1002D030
.text:1002CE64 add esp, 0Ch
.text:1002CE67 xor ecx, ecx
.text:1002CE69 cmp eax, 1
.text:1002CE6C setz cl
.text:1002CE6F mov eax, ecx
.text:1002CE71 add esp, 6Ch
.text:1002CE74 retn
.text:1002CE75 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CE75
.text:1002CE75 @ELSE: ; CODE XREF: sub_1002CC60+4Cj
.text:1002CE75 mov eax, [esp+6Ch+pdgData] ; default
.text:1002CE79 xor ecx, ecx
.text:1002CE7B cmp eax, 1
.text:1002CE7E setz cl
.text:1002CE81 mov eax, ecx
.text:1002CE83 add esp, 6Ch
.text:1002CE86 retn
.text:1002CE86 sub_1002CC60 endp
.text:1002CE86
.text:1002CE86 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CE87 align 4
.text:1002CE88 decode_1xH_subs dd offset @11H ; DATA XREF: sub_1002CC60+52r
.text:1002CE88 dd offset @12H ; jump table for switch statement
.text:1002CE88 dd offset @13H
.text:1002CE88 dd offset @14H
.text:1002CE88 dd offset @15H
.text:1002CE88 dd offset @16H
.text:1002CE88 dd offset @17H
.text:1002CE88 dd offset @18H
.text:1002CE88 dd offset @19H
.text:1002CE88 dd offset @1AH
.text:1002CE88 dd offset @1BH
.text:1002CE88 dd offset @1CH
.text:1002CEB8 align 10h

复制代码

cheming · 发表于 2006-4-28 01:30:53

上述代码的核心是：

; int __cdecl sub_10035DA0(int size_pdg_data,int x_pix,int y_pix,int keyToDecode1xH,int,int,int)

这段代码会计算一系列数值用于后续1xH解码，这些值保存在下面的数组当中

.text:1002CC60 var_6C = dword ptr -6Ch
.text:1002CC60 var_68 = dword ptr -68h
.text:1002CC60 var_64 = dword ptr -64h
.text:1002CC60 var_60 = dword ptr -60h
.text:1002CC60 var_5C = dword ptr -5Ch
.text:1002CC60 var_58 = dword ptr -58h
.text:1002CC60 var_54 = dword ptr -54h
.text:1002CC60 var_50 = dword ptr -50h
.text:1002CC60 var_4C = dword ptr -4Ch
.text:1002CC60 var_48 = dword ptr -48h
.text:1002CC60 var_44 = dword ptr -44h
.text:1002CC60 var_40 = dword ptr -40h
.text:1002CC60 var_3C = dword ptr -3Ch
.text:1002CC60 var_38 = dword ptr -38h
.text:1002CC60 var_34 = dword ptr -34h
.text:1002CC60 var_30 = dword ptr -30h
.text:1002CC60 var_2C = dword ptr -2Ch
.text:1002CC60 var_28 = dword ptr -28h
.text:1002CC60 var_24 = dword ptr -24h
.text:1002CC60 var_20 = dword ptr -20h
.text:1002CC60 var_1C = dword ptr -1Ch
.text:1002CC60 var_18 = dword ptr -18h
.text:1002CC60 var_14 = dword ptr -14h
.text:1002CC60 var_10 = dword ptr -10h
.text:1002CC60 var_C = dword ptr -0Ch
.text:1002CC60 var_8 = dword ptr -8
.text:1002CC60 var_4 = dword ptr -4

复制代码

之后，程序会根据 pdgType，分别调用不同的解码程序，比如 11H 的解码：

.text:1002CCB9 @11H: ; DATA XREF: .text:decode_1xH_subso
.text:1002CCB9 mov ecx, [esp+6Ch+var_64] ; case 0x0
.text:1002CCBD mov edx, [esp+6Ch+var_68]
.text:1002CCC1 mov eax, [esp+6Ch+pdgData]
.text:1002CCC5 push ecx
.text:1002CCC6 push edx
.text:1002CCC7 push eax
.text:1002CCC8 call sub_1002CEC0

复制代码

可以看到，通常只会修改2个字节，由 var_64 和 var_68 两个初始值控制。修改方法比较简单：

.text:1002CEC0 ; 〓〓〓〓〓〓〓〓〓〓〓〓 S U B R O U T I N E 〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
.text:1002CEC0
.text:1002CEC0
.text:1002CEC0 sub_1002CEC0 proc near ; CODE XREF: sub_1002CC60+68p
.text:1002CEC0 ; sub_1002CC60+8Dp ...
.text:1002CEC0
.text:1002CEC0 arg_0 = dword ptr 8
.text:1002CEC0 arg_4 = dword ptr 0Ch
.text:1002CEC0 arg_8 = dword ptr 10h
.text:1002CEC0
.text:1002CEC0 push ebp
.text:1002CEC1 mov ebp, [esp+arg_8]
.text:1002CEC5 push edi
.text:1002CEC6 mov edi, [esp+4+arg_4]
.text:1002CECA cmp edi, ebp
.text:1002CECC mov eax, 11h
.text:1002CED1 jbe short loc_1002CF2B
.text:1002CED3 mov ecx, edi
.text:1002CED5 mov edi, ebp
.text:1002CED7 mov ebp, ecx
.text:1002CED9
.text:1002CED9 loc_1002CED9: ; CODE XREF: sub_1002CEC0:loc_1002CF2Bj
.text:1002CED9 mov ecx, ebp
.text:1002CEDB sub ecx, edi
.text:1002CEDD cmp ecx, 11h
.text:1002CEE0 jnz short loc_1002CEE7
.text:1002CEE2 mov eax, 13h
.text:1002CEE7
.text:1002CEE7 loc_1002CEE7: ; CODE XREF: sub_1002CEC0+20j
.text:1002CEE7 push ebx
.text:1002CEE8 push esi
.text:1002CEE9 mov esi, [esp+0Ch+arg_0]
.text:1002CEED add eax, esi
.text:1002CEEF mov dl, [esi+ebp]
.text:1002CEF2 mov [esp+0Ch+arg_4], eax
.text:1002CEF6 mov al, [eax+ebp]
.text:1002CEF9 mov bl, dl
.text:1002CEFB mov cl, [esi+edi]
.text:1002CEFE not bl
.text:1002CF00 and bl, al
.text:1002CF02 not al
.text:1002CF04 and al, dl
.text:1002CF06 mov edx, [esp+0Ch+arg_4]
.text:1002CF0A or bl, al
.text:1002CF0C mov [esi+edi], bl
.text:1002CF0F mov al, [edx+edi]
.text:1002CF12 mov dl, cl
.text:1002CF14 not dl
.text:1002CF16 and dl, al
.text:1002CF18 not al
.text:1002CF1A and al, cl
.text:1002CF1C or dl, al
.text:1002CF1E mov eax, 1
.text:1002CF23 mov [esi+ebp], dl
.text:1002CF26 pop esi
.text:1002CF27 pop ebx
.text:1002CF28 pop edi
.text:1002CF29 pop ebp
.text:1002CF2A retn
.text:1002CF2B ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:1002CF2B
.text:1002CF2B loc_1002CF2B: ; CODE XREF: sub_1002CEC0+11j
.text:1002CF2B jnz short loc_1002CED9
.text:1002CF2D pop edi
.text:1002CF2E mov eax, 1
.text:1002CF33 pop ebp
.text:1002CF34 retn
.text:1002CF34 sub_1002CEC0 endp
.text:1002CF34

复制代码

cheming · 发表于 2006-4-28 01:32:08

下面我们看看核心代码！

Part2

.text:10035DA0 ; 〓〓〓〓〓〓〓〓〓〓〓〓 S U B R O U T I N E 〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
.text:10035DA0
.text:10035DA0 ; Decode pdg
.text:10035DA0
.text:10035DA0 ; int __cdecl sub_10035DA0(int size_pdg_data,int x_pix,int y_pix,int keyToDecode1xH,int,int,int)
.text:10035DA0 sub_10035DA0 proc near ; CODE XREF: sub_1002CC60+38p
.text:10035DA0
.text:10035DA0 var_20 = dword ptr -20h
.text:10035DA0 var_18 = dword ptr -18h
.text:10035DA0 var_14 = dword ptr -14h
.text:10035DA0 var_C = dword ptr -0Ch
.text:10035DA0 var_4 = dword ptr -4
.text:10035DA0 size_pdg_data = dword ptr 4
.text:10035DA0 x_pix = dword ptr 8
.text:10035DA0 y_pix = dword ptr 0Ch
.text:10035DA0 keyToDecode1xH = dword ptr 10h
.text:10035DA0 arg_10 = dword ptr 14h
.text:10035DA0 arg_14 = dword ptr 18h
.text:10035DA0 arg_1C = dword ptr 1Ch
.text:10035DA0
.text:10035DA0 mov eax, Fibonaci1
.text:10035DA5 sub esp, 24h
.text:10035DA8 test eax, eax
.text:10035DAA jnz short loc_10035DB6
.text:10035DAC call sub_100361F0
.text:10035DB1 call sub_10036220
.text:10035DB6
.text:10035DB6 loc_10035DB6: ; CODE XREF: sub_10035DA0+Aj
.text:10035DB6 mov eax, [esp+24h+x_pix]
.text:10035DBA mov edx, [esp+24h+y_pix]
.text:10035DBE and eax, 0FFFFh
.text:10035DC3 and edx, 0FFFFh
.text:10035DC9 mov ecx, eax
.text:10035DCB push ebx
.text:10035DCC and ecx, 0FFh
.text:10035DD2 push ebp
.text:10035DD3 mov [esp+2Ch+var_20], ecx
.text:10035DD7 mov ecx, eax
.text:10035DD9 sub ecx, edx
.text:10035DDB push esi
.text:10035DDC and ecx, 0FFh
.text:10035DE2 mov esi, edx
.text:10035DE4 mov [esp+30h+var_18], ecx
.text:10035DE8 mov ecx, [esp+30h+size_pdg_data]
.text:10035DEC shr ecx, 8
.text:10035DEF imul esi, eax
.text:10035DF2 mov ebx, ecx
.text:10035DF4 imul ecx, eax
.text:10035DF7 mov ebp, edx
.text:10035DF9 and esi, 0FFh
.text:10035DFF or ebp, eax
.text:10035E01 add eax, edx
.text:10035E03 mov edx, [esp+30h+size_pdg_data]
.text:10035E07 push edi
.text:10035E08 and ebp, 0FFh
.text:10035E0E and ecx, 0FFh
.text:10035E14 mov edi, esi
.text:10035E16 add eax, edx
.text:10035E18 imul edi, [esp+34h+var_20]
.text:10035E1D and ebx, 0FFh
.text:10035E23 mov [esp+34h+var_14], ebp
.text:10035E27 mov [esp+34h+var_C], ecx
.text:10035E2B and eax, 0FFh
.text:10035E30 imul ecx, ebx
.text:10035E33 imul ebp, esi
.text:10035E36 mov [esp+34h+var_4], eax
.text:10035E3A imul eax, [esp+34h+var_18]
.text:10035E3F add edi, [esp+34h+keyToDecode1xH]
.text:10035E43 add ecx, ebp
.text:10035E45 sub ecx, eax
.text:10035E47 imul eax, esi
.text:10035E4A and edi, 0FFh
.text:10035E50 lea edx, [ecx+edi+0FAh]
.text:10035E57 mov ecx, [esp+34h+arg_10]
.text:10035E5B and edx, 1FFh
.text:10035E61 mov [esp+34h+x_pix], edx
.text:10035E65 mov [ecx+4], edx
.text:10035E68 mov edx, edi
.text:10035E6A imul edx, [esp+34h+var_C]
.text:10035E6F sub eax, edx
.text:10035E71 mov edx, [esp+34h+var_14]
.text:10035E75 mov ebp, edx
.text:10035E77 imul ebp, edx
.text:10035E7A xor edx, edx
.text:10035E7C lea eax, [eax+ebp+0FAh]
.text:10035E83 mov ebp, 0D7h
.text:10035E88 and eax, 1FFh
.text:10035E8D mov [ecx+8], eax
.text:10035E90 mov eax, [esp+34h+var_C]
.text:10035E94 imul eax, eax
.text:10035E97 mov [esp+34h+size_pdg_data], eax
.text:10035E9B mov eax, edi
.text:10035E9D div ebp
.text:10035E9F mov ebp, [esp+34h+size_pdg_data]
.text:10035EA3 movsx eax, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10035EAA mov edx, [esp+34h+var_4]
.text:10035EAE add eax, ebp
.text:10035EB0 mov ebp, [esp+34h+var_18]
.text:10035EB4 add eax, edx
.text:10035EB6 mov edx, [esp+34h+var_14]
.text:10035EBA add eax, ebx
.text:10035EBC add eax, edx
.text:10035EBE xor edx, edx
.text:10035EC0 add eax, ebp
.text:10035EC2 mov ebp, [esp+34h+var_20]
.text:10035EC6 add eax, esi
.text:10035EC8 add eax, ebp
.text:10035ECA mov ebp, 0D7h
.text:10035ECF div ebp
.text:10035ED1 movsx ebp, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10035ED8 mov eax, edi
.text:10035EDA xor edx, edx
.text:10035EDC mov edi, 82h
.text:10035EE1 div edi
.text:10035EE3 mov edi, [esp+34h+var_4]
.text:10035EE7 movsx eax, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10035EEE mov edx, [esp+34h+size_pdg_data]
.text:10035EF2 add eax, edx
.text:10035EF4 mov edx, [esp+34h+var_18]
.text:10035EF8 add eax, edi
.text:10035EFA mov edi, [esp+34h+var_14]
.text:10035EFE add eax, ebx
.text:10035F00 add eax, edi
.text:10035F02 mov edi, 82h
.text:10035F07 add eax, edx
.text:10035F09 mov edx, [esp+34h+var_20]
.text:10035F0D add eax, esi
.text:10035F0F add eax, edx
.text:10035F11 xor edx, edx
.text:10035F13 div edi
.text:10035F15 movsx edx, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10035F1C imul ebp, edx
.text:10035F1F and ebp, 800001FFh
.text:10035F25 jns short loc_10035F2F
.text:10035F27 dec ebp
.text:10035F28 or ebp, 0FFFFFE00h
.text:10035F2E inc ebp
.text:10035F2F
.text:10035F2F loc_10035F2F: ; CODE XREF: sub_10035DA0+185j
.text:10035F2F mov eax, [esp+34h+var_18]
.text:10035F33 xor edx, edx
.text:10035F35 imul eax, esi
.text:10035F38 sub eax, ebx
.text:10035F3A mov esi, 0D7h
.text:10035F3F div esi
.text:10035F41 mov eax, [esp+34h+var_20]
.text:10035F45 mov [ecx+0Ch], ebp
.text:10035F48 mov edi, 82h
.text:10035F4D movsx esi, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10035F54 xor edx, edx
.text:10035F56 div edi
.text:10035F58 movsx eax, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10035F5F imul esi, eax
.text:10035F62 and esi, 800001FFh
.text:10035F68 jns short loc_10035F72
.text:10035F6A dec esi
.text:10035F6B or esi, 0FFFFFE00h
.text:10035F71 inc esi
.text:10035F72
.text:10035F72 loc_10035F72: ; CODE XREF: sub_10035DA0+1C8j
.text:10035F72 mov eax, [esp+34h+var_C]
.text:10035F76 and ebx, 1Fh
.text:10035F79 mov [ecx+10h], esi
.text:10035F7C and eax, 3Fh
.text:10035F7F mov edx, Fibonaci1[ebx*4]
.text:10035F86 mov ebx, 0D7h
.text:10035F8B and edx, 1FFh
.text:10035F91 mov [ecx+14h], edx
.text:10035F94 mov esi, Fibonaci2[eax*4]
.text:10035F9B mov edi, edx
.text:10035F9D xor edx, edx
.text:10035F9F mov eax, edi
.text:10035FA1 and esi, 1FFh
.text:10035FA7 div ebx
.text:10035FA9 mov [ecx+18h], esi
.text:10035FAC mov ebx, 82h
.text:10035FB1 movsx eax, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10035FB8 imul eax, edi
.text:10035FBB xor edx, edx
.text:10035FBD div ebx
.text:10035FBF mov al, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10035FC5 imul eax, esi
.text:10035FC8 and eax, 3Fh
.text:10035FCB mov edx, Fibonaci2[eax*4]
.text:10035FD2 mov eax, esi
.text:10035FD4 and edx, 1FFh
.text:10035FDA mov [ecx+1Ch], edx
.text:10035FDD xor edx, edx
.text:10035FDF div ebx
.text:10035FE1 movsx eax, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10035FE8 imul eax, esi
.text:10035FEB xor edx, edx
.text:10035FED mov esi, 0D7h
.text:10035FF2 div esi
.text:10035FF4 mov esi, [esp+34h+arg_14]
.text:10035FF8 mov al, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10035FFE imul eax, edi
.text:10036001 and eax, 1Fh
.text:10036004 mov edx, Fibonaci1[eax*4]
.text:1003600B mov eax, [esp+34h+x_pix]
.text:1003600F and edx, 1FFh
.text:10036015 mov [ecx+20h], edx
.text:10036018 mov [esi+4], eax
.text:1003601B mov edi, [ecx+20h]
.text:1003601E mov ebx, [ecx+1Ch]
.text:10036021 imul edi, [ecx+8]
.text:10036025 imul ebx, [ecx+18h]
.text:10036029 imul edi, [ecx+0Ch]
.text:1003602D mov edx, [ecx+10h]
.text:10036030 sub edi, ebx
.text:10036032 mov ebx, edx
.text:10036034 imul ebx, edx
.text:10036037 lea edx, [edi+ebx+0FAh]
.text:1003603E and edx, 1FFh
.text:10036044 mov [esi+8], edx
.text:10036047 mov edx, [ecx+8]
.text:1003604A imul edx, [ecx+0Ch]
.text:1003604E sub edx, [ecx+4]
.text:10036051 and edx, 1FFh
.text:10036057 mov [esi+0Ch], edx
.text:1003605A mov edi, [ecx+8]
.text:1003605D mov ebx, [ecx+4]
.text:10036060 mov edx, [ecx+14h]
.text:10036063 mov ebp, edi
.text:10036065 imul ebp, edi
.text:10036068 mov edi, ebx
.text:1003606A imul edi, ebx
.text:1003606D mov ebx, edx
.text:1003606F sub edi, ebp
.text:10036071 imul ebx, edx
.text:10036074 add edi, ebx
.text:10036076 and edi, 1FFh
.text:1003607C mov [esi+10h], edi
.text:1003607F mov edx, [ecx+0Ch]
.text:10036082 imul edx, [ecx+4]
.text:10036086 mov edi, [ecx+18h]
.text:10036089 sub edi, edx
.text:1003608B and edi, 1FFh
.text:10036091 mov [esi+14h], edi
.text:10036094 mov edx, [ecx+18h]
.text:10036097 mov edi, [ecx+20h]
.text:1003609A imul edx, [ecx+14h]
.text:1003609E imul edi, [ecx+0Ch]
.text:100360A2 sub edx, edi
.text:100360A4 mov edi, [ecx+8]
.text:100360A7 imul edi, [ecx+10h]
.text:100360AB add edx, edi
.text:100360AD mov edi, [ecx+1Ch]
.text:100360B0 mov ebx, 82h
.text:100360B5 mov ebp, 0D7h
.text:100360BA lea edx, [edx+edi+0FAh]
.text:100360C1 and edx, 1FFh
.text:100360C7 mov [esi+18h], edx
.text:100360CA mov edx, [ecx+8]
.text:100360CD imul edx, [ecx+18h]
.text:100360D1 mov edi, [ecx+1Ch]
.text:100360D4 sub edi, edx
.text:100360D6 and edi, 1FFh
.text:100360DC mov [esi+1Ch], edi
.text:100360DF mov edx, [ecx+20h]
.text:100360E2 imul edx, [ecx+1Ch]
.text:100360E6 and edx, 1FFh
.text:100360EC mov [esi+20h], edx
.text:100360EF mov edi, [ecx+8]
.text:100360F2 add eax, edi
.text:100360F4 mov edi, [esp+34h+arg_1C]
.text:100360F8 and eax, 1FFh
.text:100360FD xor edx, edx
.text:100360FF mov [edi+4], eax
.text:10036102 mov eax, [ecx+8]
.text:10036105 div ebx
.text:10036107 mov eax, [esi+8]
.text:1003610A movsx ebx, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:10036111 xor edx, edx
.text:10036113 div ebp
.text:10036115 movsx eax, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:1003611C add ebx, eax
.text:1003611E and ebx, 800001FFh
.text:10036124 jns short loc_1003612E
.text:10036126 dec ebx
.text:10036127 or ebx, 0FFFFFE00h
.text:1003612D inc ebx
.text:1003612E
.text:1003612E loc_1003612E: ; CODE XREF: sub_10035DA0+384j
.text:1003612E mov [edi+8], ebx
.text:10036131 mov eax, [esi+0Ch]
.text:10036134 mov ebx, [ecx+10h]
.text:10036137 add eax, ebx
.text:10036139 mov ebx, 0D7h
.text:1003613E and eax, 1FFh
.text:10036143 mov [edi+0Ch], eax
.text:10036146 imul eax, [ecx+0Ch]
.text:1003614A and eax, 3Fh
.text:1003614D mov edx, Fibonaci2[eax*4]
.text:10036154 and edx, 1FFh
.text:1003615A mov [edi+10h], edx
.text:1003615D mov eax, [esi+14h]
.text:10036160 mov edx, [ecx+0Ch]
.text:10036163 mov ebp, [esi+18h]
.text:10036166 sub eax, edx
.text:10036168 xor edx, edx
.text:1003616A add eax, ebp
.text:1003616C and eax, 1FFh
.text:10036171 mov [edi+14h], eax
.text:10036174 mov eax, [esi+14h]
.text:10036177 div ebx
.text:10036179 movsx edx, byte ptr Key1[edx] ; "132jksdiau34ukjasdflkj!@#234afdji78#%23"...
.text:10036180 and edx, 8000003Fh
.text:10036186 jns short loc_1003618D
.text:10036188 dec edx
.text:10036189 or edx, 0FFFFFFC0h
.text:1003618C inc edx
.text:1003618D
.text:1003618D loc_1003618D: ; CODE XREF: sub_10035DA0+3E6j
.text:1003618D mov eax, Fibonaci2[edx*4]
.text:10036194 mov edx, [edi+0Ch]
.text:10036197 and eax, 1FFh
.text:1003619C mov [edi+18h], eax
.text:1003619F mov eax, [ecx+20h]
.text:100361A2 mov ebp, [esi+1Ch]
.text:100361A5 sub edx, eax
.text:100361A7 add edx, ebp
.text:100361A9 mov ecx, 82h
.text:100361AE and edx, 1FFh
.text:100361B4 mov [edi+1Ch], edx
.text:100361B7 mov eax, [esi+14h]
.text:100361BA xor edx, edx
.text:100361BC div ecx
.text:100361BE movsx edx, byte ptr Key2[edx] ; "Afgasdkol!@#$564746Lfat0[9i FDLAas09013"...
.text:100361C5 and edx, 8000001Fh
.text:100361CB jns short loc_100361D2
.text:100361CD dec edx
.text:100361CE or edx, 0FFFFFFE0h
.text:100361D1 inc edx
.text:100361D2
.text:100361D2 loc_100361D2: ; CODE XREF: sub_10035DA0+42Bj
.text:100361D2 mov eax, Fibonaci1[edx*4]
.text:100361D9 and eax, 1FFh
.text:100361DE mov [edi+20h], eax
.text:100361E1 pop edi
.text:100361E2 pop esi
.text:100361E3 pop ebp
.text:100361E4 pop ebx
.text:100361E5 add esp, 24h
.text:100361E8 retn
.text:100361E8 sub_10035DA0 endp
.text:100361E8

复制代码

cheming · 发表于 2006-4-28 01:35:38

核心代码的开头部分，会分别计算两个费波纳切数列（Fibonaci）：

.text:10035DA0 mov eax, Fibonaci1
.text:10035DA5 sub esp, 24h
.text:10035DA8 test eax, eax
.text:10035DAA jnz short loc_10035DB6
.text:10035DAC call sub_100361F0
.text:10035DB1 call sub_10036220

复制代码

Fibonaci1:

.text:100361F0 sub_100361F0 proc near ; CODE XREF: sub_10035DA0+Cp
.text:100361F0 mov eax, 1
.text:100361F5 mov Fibonaci1, eax
.text:100361FA mov dword_100F7C70, eax
.text:100361FF mov eax, offset Fibonaci1
.text:10036204
.text:10036204 loc_10036204: ; CODE XREF: sub_100361F0+26j
.text:10036204 mov ecx, [eax]
.text:10036206 mov edx, [eax+4]
.text:10036209 add ecx, edx
.text:1003620B mov [eax+8], ecx
.text:1003620E add eax, 4
.text:10036211 cmp eax, offset unk_100F7CE4
.text:10036216 jl short loc_10036204
.text:10036218 retn
.text:10036218 sub_100361F0 endp

复制代码

Fibonaci2:

.text:10036220 sub_10036220 proc near ; CODE XREF: sub_10035DA0+11p
.text:10036220 mov Fibonaci2, 2
.text:1003622A mov dword_100F7B70, 3
.text:10036234 mov eax, 5
.text:10036239 mov ecx, 1
.text:1003623E mov edx, offset unk_100F7B74
.text:10036243
.text:10036243 loc_10036243: ; CODE XREF: sub_10036220+5Ej
.text:10036243 cmp eax, 19h
.text:10036246 jz short loc_10036265
.text:10036248 cmp eax, 31h
.text:1003624B jz short loc_10036265
.text:1003624D cmp eax, 79h
.text:10036250 jz short loc_10036265
.text:10036252 cmp eax, 0A9h
.text:10036257 jz short loc_10036265
.text:10036259 cmp eax, 121h
.text:1003625E jz short loc_10036265
.text:10036260 mov [edx], eax
.text:10036262 add edx, 4
.text:10036265
.text:10036265 loc_10036265: ; CODE XREF: sub_10036220+26j
.text:10036265 ; sub_10036220+2Bj ...
.text:10036265 inc ecx
.text:10036266 cmp ecx, 3
.text:10036269 jz short loc_10036270
.text:1003626B add eax, 2
.text:1003626E jmp short loc_10036278
.text:10036270 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:10036270
.text:10036270 loc_10036270: ; CODE XREF: sub_10036220+49j
.text:10036270 add eax, 4
.text:10036273 mov ecx, 1
.text:10036278
.text:10036278 loc_10036278: ; CODE XREF: sub_10036220+4Ej
.text:10036278 cmp edx, offset Fibonaci1
.text:1003627E jl short loc_10036243
.text:10036280 retn
.text:10036280 sub_10036220 endp

复制代码

cheming · 发表于 2006-4-28 01:40:26

之后代码虽长，待逻辑不复杂，基本上使用两个Fibonaci数列，加上两个常量加密数组（Key1, Key2），以及pdg文件头的两个字节（KeyToDecode1xH: 0x5E,0x5F两个位置）计算出特定解码字节保存在数组中待用。其中两个常量加密数组分别是：

.data:100EA7C8 Key1 db '132jksdiau34ukjasdflkj!@#234afdji78#%234ADf v'
.data:100EA7C8 ; DATA XREF: sub_10035DA0+103r
.data:100EA7C8 ; sub_10035DA0+131r ...
.data:100EA7F5 db 1Ch
.data:100EA7F6 aSdkj908342AdfW db '=-',7,'sdkj908342<ADF>/#w%4t5o8uwrouyouhj8934038p350|+_SDFad'
.data:100EA7F6 db 'wr!234gasM,.spfdlp[WEey3dfsfgsf4890^:9!@#56&8938497890789054'
.data:100EA7F6 db 'ioerua^3~!2&*(_+*(80w&uidfs9ghidfower239-89taerC(!7a',0
.data:100EA89F db 0
.data:100EA8A0 Key2 db 'Afgasdkol!@#$564746Lfat0[9i FDLAas090132!$@##$2354(*^78~*54s'
.data:100EA8A0 db 'dfakl;ml;lak;j2a#$2342!@#128-reg;o[werqPWEQRioADSF1234&*(690'
.data:100EA8A0 db '8_)55454!',0

复制代码

cheming · 发表于 2006-4-28 01:41:42

至此，全部用于解密 11H 的代码讲解完毕。希望对你有帮助。

selong · 发表于 2006-4-28 09:14:15

再次感谢cheming兄！

虽然汇编不是很明白，但是我会努力搞定的。

easworld2k · 发表于 2006-4-28 09:22:33

谢谢cheming。

slonecn · 发表于 2006-4-28 09:28:29

cheming老师是给我们上解密课程

zzxxin · 发表于 2006-4-28 09:34:23

收藏........

显示全部楼层 · 发表于 2006-4-29 12:53:04

楼主厉害啊！又看到一堆既熟悉又陌生令人发晕的东西

IDA反出来就是不一样

flyfox · 发表于 2006-4-30 09:28:48

能整理为c++代码就更好了，呵呵。

yzlufei · 发表于 2006-4-30 09:45:24

11H解密我动态跟踪了,比较简单,超过你的想象,只有and ,not,add,sub,or,imul等等。写个算法就10行左右。

超星也太..........贴个汇编没有什么用的,要动态跟,看看内存区和堆栈区的值。

yzlufei · 发表于 2006-4-30 09:55:10

引用第13楼coolman于2006-04-30 09:54发表的“”:

10行左右就搞定？不得不服。呵呵

你不相信,我现在就可以发一个11Hkiller.10行是指算法部分,不包括读文件的offset的值。

yzlufei · 发表于 2006-4-30 09:59:02

除了0x5E,0x5F,还和0x10-0x13,0x18-0x1F有关。本人搞医学的,学反汇编不超过10天。以前还没有学过汇编语言。

coolman · 发表于 2006-4-30 10:07:47

引用第15楼yzlufei于2006-04-30 09:59发表的“”:
除了0x5E,0x5F,还和0x10-0x14,0x18-0x1F有关。本人搞医学的,学反汇编不超过10天。以前还没有学过汇编语言。

更服了。

flyfox · 发表于 2006-4-30 10:12:07

引用第15楼yzlufei于2006-04-30 09:59发表的“”:
本人搞医学的,学反汇编不超过10天。以前还没有学过汇编语言。

牛人！不服不行！

yzlufei · 发表于 2006-4-30 10:21:21

本来也没有想解11H的,就是coolman大侠的11Hkill解过后,有coolman到此一游的标志,不太好。

牛人谈不上,才入门,9月就要到南京去上学了。coolman好像是南京的吧。

天人合一 · 发表于 2006-4-30 10:53:34

引用第15楼yzlufei于2006-04-30 09:59发表的“”:
本人搞医学的,学反汇编不超过10天。以前还没有学过汇编语言。

无论如何要佩服一下！！！

zhuce2003 · 发表于 2006-5-1 12:33:17

过路参观一下。也无论如何要佩服一下！！！

		自动登录	找回密码
密码			注册

selong 请进！你需要的 11H 解密算法

浏览过的版块