[分享]HackShiled4.3.0.5 log文件加密算法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]HackShiled4.3.0.5 log文件加密算法

发表于: 2007-10-10 10:48 13447

[分享]HackShiled4.3.0.5 log文件加密算法

aki

2007-10-10 10:48

13447

算法很简单，汇编代码如下

int _declspec(naked) _cdecl HSEncLog(unsigned char *pOutBuf, int nOutlen, unsigned char *pInBuf, int nInlen, int key)
{
    _asm
    {
		mov     edx, dword ptr [esp+4]
		push    ebx
		test    edx, edx
		push    esi
		je L054
		mov     esi, dword ptr [esp+14h]
		test    esi, esi
		je L054
		mov     ecx, dword ptr [esp+10h]
		test    ecx, ecx
		jle L054
		mov     ebx, dword ptr [esp+18h]
		test    ebx, ebx
		jle L054
		push    ebp
		mov     ebp, ecx
		push    edi
		xor     eax, eax
		mov     edi, edx
		shr     ecx, 2
		rep     stos dword ptr es:[edi]
		mov     ecx, ebp
		and     ecx, 3
		test    ebx, ebx
		rep     stos byte ptr es:[edi]
		jle L048
		mov     ecx, dword ptr [esp+24h]
		sub     esi, edx
		mov     edi, ebx
L029:
		mov     al, byte ptr [esi+edx]
		xor     ebx, ebx
		mov     bl, ch
		xor     al, bl
		mov     byte ptr [edx], al
		movzx   ax, al
		add     eax, ecx
		lea     ecx, dword ptr [eax+eax*2]
		shl     ecx, 4
		sub     ecx, eax
		lea     ecx, dword ptr [ecx+ecx*2]
		lea     ecx, dword ptr [ecx+ecx*4]
		lea     ecx, dword ptr [ecx+ecx*8]
		lea     eax, dword ptr [eax+ecx*2]
		mov     ecx, 58BFh
		sub     ecx, eax
		inc     edx
		dec     edi
		jnz L029
L048:
		pop     edi
		pop     ebp
		pop     esi
		xor     eax, eax
		pop     ebx
		retn
L054:
		pop     esi
		or      eax, 0FFFFFFFFh
		pop     ebx
		retn
    }
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#加密算法

收藏・3

免费・7

支持

最新回复 (16)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 2 楼很久以前逆过eaglent.sys ehsvc.dll 那时候fs刚内测, 4.8的idb, 差不多都逆完了后来找不到了真是黄鹤一去不复返白云千载空悠悠 2007-10-10 11:07 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼据说现在的版本跟以前差了很多，只是据说而已。以前的连文件都没有没看过，新版都是themida 的vm处理过了，驱动也被vm了，都是吃人的主 2007-10-10 11:09 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼 HS正在逼你把他的VM还原了。 2007-10-10 12:22 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼杀了我吧，甭商量了 2007-10-10 12:27 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼日志似乎没啥意义了我这的版本字符串都被替换成{...}样式的字符串... 我这的版本也Themida加壳了, 不过好在官方只开启了它一小部分功能我也想找老版本研究一下, 不过不知道对老版本的研究有没有意义... 2007-10-10 19:55 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼所以说想找个旧版研究下。vm主要用在了驱动上，dll好像还没vm，但是从日志看不出个啥玩意来，郁闷 2007-10-10 21:46 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼解密log文件没有意义的。敏感的字符都是GUID代替了。天线BB是马甲吧 2007-10-10 22:51 0
bahasa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	bahasa 9 楼 good!! 2007-10-11 10:43 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼不知道旧版的有没有被GUID替代 2007-10-11 11:37 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 11 楼除了beta版或者debug版没有被代替。其他全部都被代替了 2007-10-11 12:48 0
darkshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	darkshow 12 楼都留个QQ吧，大家好交流。最近也在研究HS，有兴趣的一起啊。 2007-10-19 15:23 0
CAPKI 雪币： 150 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	CAPKI 13 楼 very good! 2007-12-6 20:18 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 14 楼 HS最大的问题就在于，SDK太简单了，挖咔咔咔咔咔 2007-12-7 09:33 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 15 楼楼主不好意思，呵呵。我还是初级会员，回复不了消息拿个稍早一点的HS游戏看看，SDK的代码基本上很容易就可以还原出来了。接口参数大多数都比较明显。个人感觉HS和NP比最大的不足就是架构过于简单，更容易从一点入手突破整套系统。NP则相对的逻辑复杂很多，一环扣一环，在不停的更新支持下，确实是很有作用的。 2007-12-8 22:37 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 16 楼的确免他很容易安魂曲就是一个例子。搞LOG没什么意思。了解整个过程找出保护最弱一环进行分离才是正道。 2007-12-20 13:18 0
lionkinglk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	lionkinglk 17 楼很难找了,以前常来的时候的东西都不怎么用,电脑又换硬盘了.555 2007-12-20 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aki

发帖

592

回帖

RANK

关注

私信

他的文章

[原创]Visual Assist v10.4.1624 5828
[分享]Visual Assist x v10.4.1616.0 9339
[分享]ollydbg Version 2.0 - Pre-alpha code (updated) 4060
[分享]HackShiled4.3.0.5 log文件加密算法 13448
一段好用的**代码 20102

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 2 楼很久以前逆过eaglent.sys ehsvc.dll 那时候fs刚内测, 4.8的idb, 差不多都逆完了后来找不到了真是黄鹤一去不复返白云千载空悠悠 2007-10-10 11:07 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼据说现在的版本跟以前差了很多，只是据说而已。以前的连文件都没有没看过，新版都是themida 的vm处理过了，驱动也被vm了，都是吃人的主 2007-10-10 11:09 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼 HS正在逼你把他的VM还原了。 2007-10-10 12:22 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼杀了我吧，甭商量了 2007-10-10 12:27 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼日志似乎没啥意义了我这的版本字符串都被替换成{...}样式的字符串... 我这的版本也Themida加壳了, 不过好在官方只开启了它一小部分功能我也想找老版本研究一下, 不过不知道对老版本的研究有没有意义... 2007-10-10 19:55 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼所以说想找个旧版研究下。vm主要用在了驱动上，dll好像还没vm，但是从日志看不出个啥玩意来，郁闷 2007-10-10 21:46 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼解密log文件没有意义的。敏感的字符都是GUID代替了。天线BB是马甲吧 2007-10-10 22:51 0
bahasa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	bahasa 9 楼 good!! 2007-10-11 10:43 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼不知道旧版的有没有被GUID替代 2007-10-11 11:37 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 11 楼除了beta版或者debug版没有被代替。其他全部都被代替了 2007-10-11 12:48 0
darkshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	darkshow 12 楼都留个QQ吧，大家好交流。最近也在研究HS，有兴趣的一起啊。 2007-10-19 15:23 0
CAPKI 雪币： 150 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	CAPKI 13 楼 very good! 2007-12-6 20:18 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 14 楼 HS最大的问题就在于，SDK太简单了，挖咔咔咔咔咔 2007-12-7 09:33 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 15 楼楼主不好意思，呵呵。我还是初级会员，回复不了消息拿个稍早一点的HS游戏看看，SDK的代码基本上很容易就可以还原出来了。接口参数大多数都比较明显。个人感觉HS和NP比最大的不足就是架构过于简单，更容易从一点入手突破整套系统。NP则相对的逻辑复杂很多，一环扣一环，在不停的更新支持下，确实是很有作用的。 2007-12-8 22:37 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 16 楼的确免他很容易安魂曲就是一个例子。搞LOG没什么意思。了解整个过程找出保护最弱一环进行分离才是正道。 2007-12-20 13:18 0
lionkinglk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	lionkinglk 17 楼很难找了,以前常来的时候的东西都不怎么用,电脑又换硬盘了.555 2007-12-20 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复