Приветствую

Я являюсь новичком в ассемлере и при анализе программы застрял на таком моменте:

Трассирую программу, берется символ D=44
MOV DL,BYTE PTR DS:[ECX+EDI] D=44 в EDX
XOR EDX,EAX - хорим FFFFFFFF и 44
AND EDX,0FFh плюсуем 0FF
MOV EBX,DWORD PTR DS:[EDX*4+050AFE0h] - На этой строке вижу:

DS:[0050B2CC]=5CB36A04
EBX=00000000

И далее используется 5CB36A04 - вопрос как из 0050B2CC - получается 5CB36A04 ?
Чето как не пытался понять никак не догоню, есть вариант что это преобразование в DWORD ?
Если можно пример на каком-нибудь ЯВУ ?
Извиняюсь если вопрос нубский - я только учусь

| Сообщение посчитали полезным:

слишком сложный вопрос

| Сообщение посчитали полезным:

Ответ на ваш вопрос 42. А если серьёзно, то стоит почитать какое-нибудь введение в ассемблер x86.
По вашему примеру: значение 5CB36A04 попадает в EBX из таблицы DWORDов, которая начинается по адресу 050AFE0. Инвертированный DL служит индексом в этой таблице. Размер таблицы - 256 DWORDов.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным: SergeyIvan

это похоже на какую-то таблицу двордов. собственно 050AFE0h - начало таблицы EDX*4 - индекс элемента
теперь допустим EDX = 1, то MOV EBX,DWORD PTR DS:[EDX*4+050AFE0h] преобразуется в
MOV EBX,DWORD PTR DS:[1*4+050AFE0h] -> MOV EBX,DWORD PTR DS:[050AFE4h]

з.ы. опередили меня)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным: SergeyIvan

Ну точно, спасибо за подсказки



Получается для кейгена мне нужно добавить таблицу dword-ов и тянуть от туда значения

neomant

Откуда известно, что таблица содержит 256 элементов ?

| Сообщение посчитали полезным:

SergeyIvan вот эта команда AND EDX,0FFh накладывает маску будет взят только младший байт, а это 00..FF

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

что-то похожее на CRC ?

const crcTable: array [0..255] of DWORD = (.... 256 двордов)

var s:string;
i:byte;
EAX,EDX:DWORD;
...
цикл... к примеру for i:=1 to length(s) do
EAX:=EAX xor ord(s[i]);
EDX:=EDX and $0FF;
EBX:=crcTable[EDX];
...

SergeyIvan
--> Delphi source CRC32<--

Hellspawn
Да, наверное, просто столько разных модификаций за последнее время попадало, что я даже не смотрю что это конкретно за CRC, сразу рипаю табличку DataRipper'ом ну и соответственно и саму функу подсчета црц

-----
ds

| Сообщение посчитали полезным: SergeyIvan

DimitarSerg по константе 5CB36A04 походу CRC32

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Все понял - извиняюсь за невнимательность, а я решил код писать в лоб - а похоже действительно CRC32

CryptoAnalizer выдал:

BLOWFISH [sbox] :: 000EE7D0 :: 004EE7D0
CRC32 [poly] :: 00105608 :: 00505608
PI fraction (NIMBUS / BLOWFISH) :: 000EE788 :: 004EE788

Upd
Вообщем все получилось, всем спасибо

| Сообщение посчитали полезным: