[分享]HackShiled4.3.0.5 log文件加密算法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]HackShiled4.3.0.5 log文件加密算法

2007-10-10 10:48 12908

[分享]HackShiled4.3.0.5 log文件加密算法

aki

2007-10-10 10:48

12908

算法很简单，汇编代码如下

int _declspec(naked) _cdecl HSEncLog(unsigned char *pOutBuf, int nOutlen, unsigned char *pInBuf, int nInlen, int key)
{
    _asm
    {
		mov     edx, dword ptr [esp+4]
		push    ebx
		test    edx, edx
		push    esi
		je L054
		mov     esi, dword ptr [esp+14h]
		test    esi, esi
		je L054
		mov     ecx, dword ptr [esp+10h]
		test    ecx, ecx
		jle L054
		mov     ebx, dword ptr [esp+18h]
		test    ebx, ebx
		jle L054
		push    ebp
		mov     ebp, ecx
		push    edi
		xor     eax, eax
		mov     edi, edx
		shr     ecx, 2
		rep     stos dword ptr es:[edi]
		mov     ecx, ebp
		and     ecx, 3
		test    ebx, ebx
		rep     stos byte ptr es:[edi]
		jle L048
		mov     ecx, dword ptr [esp+24h]
		sub     esi, edx
		mov     edi, ebx
L029:
		mov     al, byte ptr [esi+edx]
		xor     ebx, ebx
		mov     bl, ch
		xor     al, bl
		mov     byte ptr [edx], al
		movzx   ax, al
		add     eax, ecx
		lea     ecx, dword ptr [eax+eax*2]
		shl     ecx, 4
		sub     ecx, eax
		lea     ecx, dword ptr [ecx+ecx*2]
		lea     ecx, dword ptr [ecx+ecx*4]
		lea     ecx, dword ptr [ecx+ecx*8]
		lea     eax, dword ptr [eax+ecx*2]
		mov     ecx, 58BFh
		sub     ecx, eax
		inc     edx
		dec     edi
		jnz L029
L048:
		pop     edi
		pop     ebp
		pop     esi
		xor     eax, eax
		pop     ebx
		retn
L054:
		pop     esi
		or      eax, 0FFFFFFFFh
		pop     ebx
		retn
    }
}

逆成c代码

int HSEncLog(unsigned char * pOutBuf, DWORD nOutLen, unsigned char * pInBuf, DWORD nInLen, WORD key)
{
	if (pInBuf == NULL || nOutLen == 0 || pInBuf == NULL || nInLen == 0 || key == 0)
	{
		return -1;
	}

	ZeroMemory(pOutBuf, nInLen);
	
	for (DWORD i = 0; i < nInLen; i ++)
	{
		pOutBuf[i] = pInBuf[i] ^ (key >> 8) & 0xFF;
		key = 0x58BF - (pOutBuf[i] + key) * 0x3193;
	}
	return 0;
}

解密代码稍微改动下就ok了。
有研究HackShiled的共同交流下，手头版本都是加了Themida的，有些代码被vm过了，哪位手头有稍旧点版本的能否发我一份？
另外有哪位保存了娃娃发过的那一小段代码的也pm一份吧

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#加密算法

收藏・3

点赞・7

打赏

最新回复 (16)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 147 粉丝 0 关注私信	天线宝宝 2007-10-10 11:07 2 楼 0 很久以前逆过eaglent.sys ehsvc.dll 那时候fs刚内测, 4.8的idb, 差不多都逆完了后来找不到了真是黄鹤一去不复返白云千载空悠悠
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 11:09 3 楼 0 据说现在的版本跟以前差了很多，只是据说而已。以前的连文件都没有没看过，新版都是themida 的vm处理过了，驱动也被vm了，都是吃人的主
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2007-10-10 12:22 4 楼 0 HS正在逼你把他的VM还原了。
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 12:27 5 楼 0 杀了我吧，甭商量了
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 2007-10-10 19:55 6 楼 0 日志似乎没啥意义了我这的版本字符串都被替换成{...}样式的字符串... 我这的版本也Themida加壳了, 不过好在官方只开启了它一小部分功能我也想找老版本研究一下, 不过不知道对老版本的研究有没有意义...
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 21:46 7 楼 0 所以说想找个旧版研究下。vm主要用在了驱动上，dll好像还没vm，但是从日志看不出个啥玩意来，郁闷
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-10-10 22:51 8 楼 0 解密log文件没有意义的。敏感的字符都是GUID代替了。天线BB是马甲吧
bahasa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	bahasa 2007-10-11 10:43 9 楼 0 good!!
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-11 11:37 10 楼 0 不知道旧版的有没有被GUID替代
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-10-11 12:48 11 楼 0 除了beta版或者debug版没有被代替。其他全部都被代替了
darkshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	darkshow 2007-10-19 15:23 12 楼 0 都留个QQ吧，大家好交流。最近也在研究HS，有兴趣的一起啊。
CAPKI 雪币： 150 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	CAPKI 2007-12-6 20:18 13 楼 0 very good!
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-7 09:33 14 楼 0 HS最大的问题就在于，SDK太简单了，挖咔咔咔咔咔
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-8 22:37 15 楼 0 楼主不好意思，呵呵。我还是初级会员，回复不了消息拿个稍早一点的HS游戏看看，SDK的代码基本上很容易就可以还原出来了。接口参数大多数都比较明显。个人感觉HS和NP比最大的不足就是架构过于简单，更容易从一点入手突破整套系统。NP则相对的逻辑复杂很多，一环扣一环，在不停的更新支持下，确实是很有作用的。
steak 雪币： 243 活跃值： (259) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 114 粉丝 14 关注私信	steak 2 2007-12-20 13:18 16 楼 0 的确免他很容易安魂曲就是一个例子。搞LOG没什么意思。了解整个过程找出保护最弱一环进行分离才是正道。
lionkinglk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	lionkinglk 2007-12-20 16:19 17 楼 0 很难找了,以前常来的时候的东西都不怎么用,电脑又换硬盘了.555
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

aki

发帖

583

回帖

RANK

关注

私信

他的文章

[原创]Visual Assist v10.4.1624

[分享]Visual Assist x v10.4.1616.0

[分享]ollydbg Version 2.0 - Pre-alpha code (updated)

[分享]HackShiled4.3.0.5 log文件加密算法

一段好用的**代码

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 147 粉丝 0 关注私信	天线宝宝 2007-10-10 11:07 2 楼 0 很久以前逆过eaglent.sys ehsvc.dll 那时候fs刚内测, 4.8的idb, 差不多都逆完了后来找不到了真是黄鹤一去不复返白云千载空悠悠
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 11:09 3 楼 0 据说现在的版本跟以前差了很多，只是据说而已。以前的连文件都没有没看过，新版都是themida 的vm处理过了，驱动也被vm了，都是吃人的主
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2007-10-10 12:22 4 楼 0 HS正在逼你把他的VM还原了。
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 12:27 5 楼 0 杀了我吧，甭商量了
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 2007-10-10 19:55 6 楼 0 日志似乎没啥意义了我这的版本字符串都被替换成{...}样式的字符串... 我这的版本也Themida加壳了, 不过好在官方只开启了它一小部分功能我也想找老版本研究一下, 不过不知道对老版本的研究有没有意义...
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-10 21:46 7 楼 0 所以说想找个旧版研究下。vm主要用在了驱动上，dll好像还没vm，但是从日志看不出个啥玩意来，郁闷
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-10-10 22:51 8 楼 0 解密log文件没有意义的。敏感的字符都是GUID代替了。天线BB是马甲吧
bahasa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	bahasa 2007-10-11 10:43 9 楼 0 good!!
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-10-11 11:37 10 楼 0 不知道旧版的有没有被GUID替代
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-10-11 12:48 11 楼 0 除了beta版或者debug版没有被代替。其他全部都被代替了
darkshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	darkshow 2007-10-19 15:23 12 楼 0 都留个QQ吧，大家好交流。最近也在研究HS，有兴趣的一起啊。
CAPKI 雪币： 150 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	CAPKI 2007-12-6 20:18 13 楼 0 very good!
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-7 09:33 14 楼 0 HS最大的问题就在于，SDK太简单了，挖咔咔咔咔咔
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-8 22:37 15 楼 0 楼主不好意思，呵呵。我还是初级会员，回复不了消息拿个稍早一点的HS游戏看看，SDK的代码基本上很容易就可以还原出来了。接口参数大多数都比较明显。个人感觉HS和NP比最大的不足就是架构过于简单，更容易从一点入手突破整套系统。NP则相对的逻辑复杂很多，一环扣一环，在不停的更新支持下，确实是很有作用的。
steak 雪币： 243 活跃值： (259) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 114 粉丝 14 关注私信	steak 2 2007-12-20 13:18 16 楼 0 的确免他很容易安魂曲就是一个例子。搞LOG没什么意思。了解整个过程找出保护最弱一环进行分离才是正道。
lionkinglk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	lionkinglk 2007-12-20 16:19 17 楼 0 很难找了,以前常来的时候的东西都不怎么用,电脑又换硬盘了.555
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复