首页
社区
课程
招聘
[分享]HackShiled4.3.0.5 log文件加密算法
发表于: 2007-10-10 10:48 13456

[分享]HackShiled4.3.0.5 log文件加密算法

aki 活跃值
2
2007-10-10 10:48
13456

算法很简单,汇编代码如下

int _declspec(naked) _cdecl HSEncLog(unsigned char *pOutBuf, int nOutlen, unsigned char *pInBuf, int nInlen, int key)
{
    _asm
    {
		mov     edx, dword ptr [esp+4]
		push    ebx
		test    edx, edx
		push    esi
		je L054
		mov     esi, dword ptr [esp+14h]
		test    esi, esi
		je L054
		mov     ecx, dword ptr [esp+10h]
		test    ecx, ecx
		jle L054
		mov     ebx, dword ptr [esp+18h]
		test    ebx, ebx
		jle L054
		push    ebp
		mov     ebp, ecx
		push    edi
		xor     eax, eax
		mov     edi, edx
		shr     ecx, 2
		rep     stos dword ptr es:[edi]
		mov     ecx, ebp
		and     ecx, 3
		test    ebx, ebx
		rep     stos byte ptr es:[edi]
		jle L048
		mov     ecx, dword ptr [esp+24h]
		sub     esi, edx
		mov     edi, ebx
L029:
		mov     al, byte ptr [esi+edx]
		xor     ebx, ebx
		mov     bl, ch
		xor     al, bl
		mov     byte ptr [edx], al
		movzx   ax, al
		add     eax, ecx
		lea     ecx, dword ptr [eax+eax*2]
		shl     ecx, 4
		sub     ecx, eax
		lea     ecx, dword ptr [ecx+ecx*2]
		lea     ecx, dword ptr [ecx+ecx*4]
		lea     ecx, dword ptr [ecx+ecx*8]
		lea     eax, dword ptr [eax+ecx*2]
		mov     ecx, 58BFh
		sub     ecx, eax
		inc     edx
		dec     edi
		jnz L029
L048:
		pop     edi
		pop     ebp
		pop     esi
		xor     eax, eax
		pop     ebx
		retn
L054:
		pop     esi
		or      eax, 0FFFFFFFFh
		pop     ebx
		retn
    }
}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (16)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
很久以前逆过eaglent.sys ehsvc.dll 那时候fs刚内测, 4.8的idb, 差不多都逆完了
后来找不到了
真是
黄鹤一去不复返  白云千载空悠悠
2007-10-10 11:07
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
据说现在的版本跟以前差了很多,只是据说而已。以前的连文件都没有没看过,新版都是themida 的vm处理过了,驱动也被vm了,都是吃人的主
2007-10-10 11:09
0
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
4
HS正在逼你把他的VM还原了。
2007-10-10 12:22
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
杀了我吧,甭商量了
2007-10-10 12:27
0
雪    币: 67
活跃值: (66)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
日志似乎没啥意义了 我这的版本字符串都被替换成{...}样式的字符串...
我这的版本也Themida加壳了, 不过好在官方只开启了它一小部分功能
我也想找老版本研究一下,  不过不知道对老版本的研究有没有意义...
2007-10-10 19:55
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
所以说想找个旧版研究下。vm主要用在了驱动上,dll好像还没vm,但是从日志看不出个啥玩意来,郁闷
2007-10-10 21:46
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
8
解密log文件没有意义的。敏感的字符都是GUID代替了。
天线BB是马甲吧
2007-10-10 22:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
good!!
2007-10-11 10:43
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
10
不知道旧版的有没有被GUID替代
2007-10-11 11:37
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
11
除了beta版或者debug版没有被代替。其他全部都被代替了
2007-10-11 12:48
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
都留个QQ吧,大家好交流。最近也在研究HS,有兴趣的一起啊。
2007-10-19 15:23
0
雪    币: 150
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
very good!
2007-12-6 20:18
0
雪    币: 108
活跃值: (141)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
14
HS最大的问题就在于,SDK太简单了,挖咔咔咔咔咔
2007-12-7 09:33
0
雪    币: 108
活跃值: (141)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
15
楼主不好意思,呵呵。我还是初级会员,回复不了消息
拿个稍早一点的HS游戏看看,SDK的代码基本上很容易就可以还原出来了。接口参数大多数都比较明显。
个人感觉HS和NP比最大的不足就是架构过于简单,更容易从一点入手突破整套系统。NP则相对的逻辑复杂很多,一环扣一环,在不停的更新支持下,确实是很有作用的。
2007-12-8 22:37
0
雪    币: 243
活跃值: (274)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
16
的确免他很容易安魂曲就是一个例子。搞LOG没什么意思。了解整个过程找出保护最弱一环进行分离才是正道。
2007-12-20 13:18
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
很难找了,以前常来的时候的东西都不怎么用,电脑又换硬盘了.555
2007-12-20 16:19
0
游客
登录 | 注册 方可回帖
返回
//