С новым 2012 годом уважаемые форумчане !

Столкнулся с проблемой -требуется перевести ассемблерный код в Делфи\паскаль



С ассемблером не дружу - вроде разобрал всю процедуру генерации серийника, но нарвался на непонятный код (выделен символом ?)

| Сообщение посчитали полезным:

не можешь перевести, рипай код

-----
[nice coder and reverser]

| Сообщение посчитали полезным: BAHEK

004623D5 . 81E3 FF000080 AND EBX,800000FF <<Прибавляем 800000FF

в этой строке не прибавление, а обнуление некоторых бит. aNd вместо aDd

Открой это место в ида про и нажми ф5 - получишь свой сишный код

004623DD . 4B DEC EBX ?
004623DE . 81CB 00FFFFFF OR EBX,FFFFFF00 ?
004623E4 . 43 INC EBX

вот это похоже на работу со знаком. Может перевод int8 в int32? Вобщем, посмотри хексрейс, там все увидишь

| Сообщение посчитали полезным:

это не функция рандомизации. Судя по всему, получает нужный совершенно определенный байт. Может введенное имя?



esi - счетчик. Тут он "выравнивается", чтобы быть индексом в таблице.



это та самая таблица. Судя по всему, имеет размер 0х20 байт. Т.е. берется индекс текущего байта, если он больше 20, то грубо говоря он обнуляется, потом из этой таблицы берется байт с этим индексом.



Вот тут число, которое получено в функции "рандомизации" (как ты ее назвал), умножается на тот самый байт из таблицы, приьавляется число 0Е, обнуляются все байты, кроме 8000000ФФ. Судя по всему, просто проверяется, не стал ли символ отрицательным. Если нет, тогда идет прыжок



Если байт стал отрицательным, скорее всего он расширяется до дворда. Мусорный код компилятора скорее всего.



тут полученный байт сохраняется в локальную переменную, потом сравнивается с другой таблицей. Если не равен, идет прыжок

| Сообщение посчитали полезным:

dword counter = 1;
dword X = call 00402BC4

X = ((471C0B[counter mod 0x20] * X) + 0E) & 0xFF
if (X == 471C1F[counter])
{
004623F1 . C645 FF FF MOV BYTE PTR SS:[EBP-1],0FF <<!!!Требуется попасть сюда
004623F5 . EB 06 JMP SHORT More.004623FD
}

Вот примерно так это выглядит на чем-то, что отдаленно напоминает си и паскать одновременно
П.С.: перепроверь, я могу ошибаться

| Сообщение посчитали полезным:

MSoft

Да действительно по поводу Call - моя ошибка там формируется значение 4A

Пробежался еще раз под отладчиком, получил



Твой код сейчас проверю

| Сообщение посчитали полезным:

dimka_new, а в idapro с hexrays, нелегче засунуть и получить код на С, и разбирать его, я думаю так было бы по легче.

| Сообщение посчитали полезным:

Блин, проглядел - ниже ESI сравнивается с 64 и идет оператор jl - на 004623B2
То есть как я понимаю с таблицы берутся разные значения - 0x64 раз и если все правильно - зарег
Не догоню только вот это
004623E5 > 885C35 9A MOV BYTE PTR SS:[EBP+ESI-66],BL
004623E9 . 3A9E 1F1C4700 CMP BL,BYTE PTR DS:[ESI+471C1F]
и дальше я думаю, все попрет...

| Сообщение посчитали полезным:

это сохранение в локальную переменную. Видимо, где-то дальше используется полученная строка

это сравнение с шаблонной строкой. ESI в обоих случаях выступает как счетчик байт (индекс байта в строке)

П.С.: байт 4А - это символ J. Уверен, это прочитанный логин или че ты там куда вводишь

| Сообщение посчитали полезным:

MSoft

Не автор хитер - пункта регистрации нет - проверяется наличие файла в каталоге проги,
0046239B . E8 9407FAFF CALL More.00402B34 - здесь строка, причем код первого символа = 06, нашел прогу отображающую непечатные символы - все вкатило
После этой строки добавил 1 - после расчета сдесь
004623E9 . 3A9E 1F1C4700 CMP BL,BYTE PTR DS:[ESI+471C1F]
8 сравнивается с нулем (скажем так с константой 4A)
5B сравнивается с нулем (скажем так с константой DD) ну и т.д.

Код который ты разместил чет не могу вкурить...
На всякий случай (да простят меня модераторы) - вот ссыль ~500Kb http://rghost.ru/35699079
ЗЫ сама прога не важна - главное опыт

| Сообщение посчитали полезным:

Ну и толку от этой проги? Я ж те по шагам описал, что делает этот ассемблерный код. Это раз. Во-вторых, ты в хексрейсе этот код смотрел?

| Сообщение посчитали полезным:

Как бы подумал, что вот:

MSoft пишет:

П.С.: перепроверь, я могу ошибаться

MSoft пишет:
ты в хексрейсе этот код смотрел?
Нет

| Сообщение посчитали полезным:

dimka_new, код, что ты дал, - обертка. Возможно, там вообще только стандартные функции Дельфи. Грузишь все это в ИДУ, применяешь сигнатуры нормальные и уже начинаешь анализировать. Через минут двадцать начнешь привыкать к логике компилятора. А если потом еще и в HexRays, то вообще красота может получиться.

| Сообщение посчитали полезным:

вазъми idr

| Сообщение посчитали полезным:

Johnny Mnemonic

А интересно код из шапки откуда ? Или вопрос не ко мне ?

doctor_flasher

HexRays никогда не пробовал - показалось, что пара строчек на ассемблере не проблема...
Буду пробовать

Johnny Mnemonic
Сорри запутался, точно с Олли

| Сообщение посчитали полезным:

dimka_new из ольки же

| Сообщение посчитали полезным: dimka_new

Вообщем допер как генерируется ключег - сначала формируется строка _SVGame (первый символ непечатаемый - 06), затем любой символ - этот символ умножается на i-значение из таблицы и добавляется E, удаляются два знака спереди - и сравниваются с 30+i символом файла key.reg
И так 0x64 раз
Сейчас пробую все это заавтоматизировать
Прога нафиг не нужна - поспорил с одним товарищем на пузырь коньяка, который выпью с наглой мордой на рождество
Всем спасибо за помощь

| Сообщение посчитали полезным: