Расчехляйте свои визоры!

f13nd, нифига себе ты быстро, я только открыл в Ида семпл. А чем ты пользуешься, сугубо гидрой или в отладчике смотришь?

Rel, прикол в том , что семпл палится виндефом как какое-то семейство малвари. Это на тему адекватности аверов.

 

Я вообще-то еще и работал когда он запостил Как руки дошли. Нет, тупо оллидебаггер, я ж не крякер вообще.

 

мы вон с поцонами в баню сходили в честь праздничка. а тут уже всё да? ну, вот моё участие - в этом сообщении

 

f13nd, стряхиваю три слоя абстрактно-виртуализированной пыли с чорной шапки-петушка и передаю её Вам!

 

Через карты не решается, если каждое условное ветвление инвертировать(^1), это ничего не даёт

Код (Text):

1. ; Jcc  41
2. ; Ip/FlowIp
3.  
4. $      4082F8
5. $+4    4082FA
6. $+8    408445
7. $+C    40843B
8. $+10   408440
9. $+14   408442
10. $+18   408445
11. $+1C   408447
12. $+20   4084AC
13. $+24   4084AE
14. $+28   407ACC
15. $+2C   407AD2
16. $+30   407AD9
17. $+34   407ADF
18. $+38   407AF0
19. $+3C   407B5B
20. $+40   407B65
21. $+44   407B67
22. $+48   407B70
23. $+4C   407B94
24. $+50   407ACC
25. $+54   407BDF
26. $+58   4084BC
27. $+5C   4084BE
28. $+60   401C02
29. $+64   401C04
30. $+68   408706
31. $+6C   408708
32. $+70   40870C
33. $+74   408713
34. $+78   408729
35. $+7C   40872B
36. $+80   4077B1
37. $+84   4077B3
38. $+88   4077CD
39. $+8C   4077CF
40. $+90   407293
41. $+94   4072A4
42. $+98   4072A9
43. $+9C   4072AF
44. $+A0   4072A9
45. $+A4   4072AB
46. $+A8   40720B
47. $+AC   40720D
48. $+B0   407659
49. $+B4   40765B
50. $+B8   4076F1
51. $+BC   4076F3
52. $+C0   407E97
53. $+C4   407E99
54. $+C8   4016C1
55. $+CC   4016C3
56. $+D0   409969
57. $+D4   409936
58. $+D8   401BC8
59. $+DC   401BD0
60. $+E0   401BDA
61. $+E4   401BDC
62. $+E8   401BC8
63. $+EC   401BCA
64. $+F0   401BCC
65. $+F4   401BE8
66. $+F8   401BEC
67. $+FC   401BEE
68. $+100  40995F
69. $+104  4099BF
70. $+108  4099CA
71. $+10C  4099A3
72. $+110  40242A
73. $+114  402451
74. $+118  4099AE
75. $+11C  4099BE
76. $+120  4099CA
77. $+124  4099CC
78. $+128  4099CE
79. $+12C  4099D0
80. $+130  4099D4
81. $+134  4099D6
82. $+138  4099E5
83. $+13C  409A28
84. $+140  4013A3
85. $+144  40149B

Врядле как то автоматикой можно решить, без разбора логики. Аналогично как классический км - вычисление хэш функции от строки, затем его проверка на валидность и ветвление на адрес функции от хэша. Такое было у TrashGen, надо было угадать куда должно передаваться управление..

 

Это типа cfg или как оно там, тупо последовательность адресов куда передавалось управление. Что ты в этой филькиной грамоте хотел увидеть? Чисто технически можно было бы по многократным примерно равномерным повторениям одних и тех же конкретных иструкций на конкретном месте догадаться, что там хеш считается. Но это как бы слегка мазохизм и действие ради действия.

 

f13nd,

> Это типа cfg или как оно там

Последовательность условий не выполненных до ввода. Может не быть условного ветвления, а быть условная выборка - cmov, но такой нет ни одной.

Если нет вычисления хэша, то такое работает на большинстве семплов.

 

А зачем тебе условия выполненные/не выполненные до ввода? Там ведь что с хешем что без самое интересное после ввода происходить должно.

ЗЫ: я-то думал, нафига там вся эта свистопляска вокруг z-бита несчастного:

Код (Text):

1. $74F1 CMP EDX,EAX
2. $74F3 SETE DL
3. ...
4. $1A19 MOV EBX,EDX
5. ...
6. $1A32 CMP BL,1
7. ...
8. $1A3D SBB EDI,EDI
9. ...
10. $1A47 AND EDI,00000035
11. ...
12. $1A59 SUB EDI,1B
13. ...
14. ;eax=просто_адова_помойка
15. ...
16. $1A6A LEA EBX,[EAX+1]
17. $1A6D XOR EDI,EBX
18. ...

А оно оказывается метод противодействия визорам, в который я не уперся ни разу.

 

f13nd,

> не выполненные до ввода?

Выделяются после ввода, до ввода лог не ведётся. Вот например у тебя 4074F3 setc, если закартировать setc, то после ввода в логе будет одна 407712, тк 4074F3 вызывается до ввода.

> метод противодействия визорам

Причём тут визоры, трешевая лента. Функция вообще обратима ?

 

Откуда мне знать? Смысл в том, чтобы знать как можно меньше, выясняется только нужная для решения инфа. Мне в процессе показалось, что это md5, ибо 128 бит там крутятся, но вообще было пофигу.

 

f13nd,

Посмотрел несколько семплов отсюда. Большинство где нет хэширования быстро решается картами, не все подряд, но большая часть. Вот на рандомной выборке взял свежие.

Ultimatum CrackMe
- выбрал по названию, типо сложный должен быть.. Листаю карту с конца и ищу ветвления, которые идут после сравнения значений, отличных от 0/1.

Код (Text):

1. $+248 0040214F <---
2. $+24C 00402161
3. $+250 004023A0
4. $+254 004023A2
5. $+258 004023C6
6. $+25C 004023CC
7. $+260 004023D3
8. $+264 004023DD
9. $+268 004023E3
10. $+26C 004023E9
11. $+270 004023E9
12. $+274 004023EB
13. $+278 004023ED
14. $+27C 004023F3
15. $+280 00402407
16. $+284 00402409
17. $+288 00402410
18. $+28C 00402412
19. $+290 0040242C
20. $+294 00402433
21. $+298 004023E3
22. $+29C 00402479
23. $+2A0 004024BE
24. $+2A4 004024C0
25. $+2A8 00402410
26. $+2AC 00402424
27. $+2B0 004048EA
28. $+2B4 004048EC
29. $+2B8 00000000

- на этой инструкции в стеке пасс:

Код (Text):

1. 0012FF44 00429968 ASCII "Password: "
2. 0012FF48 00155B10
3. 0012FF4C 00155C38 ASCII "VGhpcyBpcyB0aGUgY29ycmVjdCBwYXNza2V5LCB3ZWxsIGRvbmUh"

Creeper215's Easy CrackMe
- аналогично, 3-е ветвление в карте с конца это проверка функции от пасса(нужно поменять условие):

Код (Text):

1. $+250 00407FE5
2. $+254 00407FE7
3. $+258 00407FFF
4. $+25C 00408014
5. $+260 00405575
6. $+264 00405584
7. $+268 00401029 <---
8. $+26C 0040102B
9. $+270 0040320E
10. $+274 00403222
11. $+278 00410B54
12. $+27C 00410B56
13. $+280 00000000

Код (Text):

1. 00401022    cmp dword ptr ss:[ebp-4],1111F3F
2. 00401029    je short 0040103A

На что они надеются собирая такие easy", которые за десяток секунд решаются..

Mojtaba's Crackme!
- на VB. В карте 6 условных ветвлений:

Код (Text):

1. $    004020CE app.004020CE
2. $+4  004020E2 app.004020E2
3. $+8  0040212F app.0040212F <---
4. $+C  004021F4 app.004021F4
5. $+10 004021F6 app.004021F6
6. $+14 00402208 app.00402208
7. $+18 010F532F
8. $+1C 010F5331
9. $+20 0040221D app.0040221D
10. $+24 0040222E app.0040222E
11. $+28 00402253 app.00402253
12. $+2C 00402264 app.00402264
13. $+30 00000000

Проверка на 2-м:

Код (Text):

1. 0040212C    cmp di,bx
2. 0040212F    je 004021F4

Можно дальше пойти и найти пасс. Для этого посмотреть карту процедурных ветвлений.

Код (Text):

1. $+40 004020F6 app.004020F6
2. $+44 004022D0 Entry address
3. $+48 734E6D92 MSVBVM60.734E6D92
4. $+4C 0040231A app.0040231A <---
5. $+50 0040231F app.0040231F

- просто пролистав лог:

Код (Text):

1. 00402306    mov dword ptr ss:[ebp-28],00401E68     ; UNICODE "8YL4-H4LL-HLAH-WH6R-1K6C"
2. 0040230D    mov dword ptr ss:[ebp-30],8
3. 00402314    call dword ptr ds:[<&MSVBVM60.__vbaVarCopy ]
4. 0040231A    push 0040232C

Это всё просто тк хэш функций нет. А как с ними быть я хз. "crk" пасс.

 

Я так и не понял чем тебе хеширование не угодило. Найденные тобой ветвления во всех трех примерах находятся самым очевидным детским search for -> referenced strings. У бонифация условное ветвление, которое ты бы нашел, так выглядит (при zf=0 после сравнения хешей получается 0x13^0x09):

Код (Text):

1. $7563 MOV AL,BYTE PTR SS:[EBP-14]
2. $7566 XOR AL,BYTE PTR SS:[EBP-13]
3. $7569 CMP AL,1A
4. $756B JNE SHORT $7570

Но оно как бы обслуживает далеко не только это сравнение, это вроде бы должно быть очевидно, если применяется виртуализация.

 

f13nd,

> во всех трех примерах находятся самым очевидным

Можно jit посмотреть, что бы было не очевидно.

OffsetJud's Crackme

Код (Text):

1. $    033E0B63
2. $+4  033E0B6A
3. $+8  033E0B9B <---
4. $+C  033E0BCB
5. $+10 033E0BDB
6. $+14 033E0BF4
7. $+18 00D5B6C7
8. $+1C 00D5B6DB
9. $+20 00CB280A
10. $+24 00CB2810
11. $+28 00CB281E
12. $+2C 00CB2824
13. $+30 00CB2849
14. $+34 00CB284B
15. $+38 00CB2876
16. $+3C 00CB2878
17. $+40 00CB2880
18. $+44 00CB2882
19. $+48 00000000

- то же самое, разве что сборка в буферах нужно искать сигнатурно, тк хз где в исходном образе соответствие. Но если глянуть среду на найденном бранче, то данные для ввода хардкод:



- как это решать без декомпилера ?

> не только это сравнение

Так ведь в принципе условных ветвлений может небыть вообще, проверка валидности хэша, а затем переход к Ip = f(hash). Например Ip = md5(str) + C. Вот и как такое решать, хотя бы сформулировать метод обнаружения хэш-функции.

 

Если вдруг кому интересно, то во второй крекмише (как и в первой) простая стековая ВМ, без добавления мусора псевдо-код второй крекмиши выглядит так (я еще себе дизасм запилил, чтобы смотреть, как это все компилится и проще было ошибки искать, если накосячу, добавил пару комментов, чтобы было понятнее):

Код (Text):

1.  
2. # Проверка на патч JMPF
3. # (сравниваются два рандомных неравных числа)
4. 0000 PUSHI 2907363183 (0xAD4AD76F)
5. 0010 PUSHI 75249493 (0x047C3755)
6. 0020 EQ  
7. 0022 JMPF  0147
8. 0032 PUSHS "Please don't patch my opcode handlers, bro!"
9. 0082 ECHO
10. 0084 PUSHS "This is so rude of you, please don't, bro!"
11. 0133 ECHO
12. 0135 HALT # Инструкция завершает ВМ
13. 0137 JMP   9999 # На всякий случай, если бы мне еще и HALT решили запатчить
14. # Основная логика
15. 0147 PUSHS "Enter password, bro: "
16. 0175 ECHO
17. 0177 INPUT
18. 0179 STORE index:0
19. # Начинаем хеш считать
20. 0183 PUSHI 1630981612 (0x6136CDEC)
21. 0193 STORE index:1
22. 0197 LOAD  index:0
23. 0201 SLEN
24. 0203 STORE index:2
25. 0207 PUSHI 0 (0x00000000)
26. 0217 STORE index:3
27. 0221 LOAD  index:3
28. 0225 LOAD  index:2
29. 0229 LT  
30. 0231 JMPF  0345
31. 0241 LOAD  index:1
32. 0245 PUSHI 2870014623 (0xAB10F29F)
33. 0255 MUL  
34. 0257 STORE index:4
35. 0261 LOAD  index:0
36. 0265 LOAD  index:3
37. 0269 ORD  
38. 0271 STORE index:5
39. 0275 LOAD  index:4
40. 0279 LOAD  index:5
41. 0283 ADD  
42. 0285 PUSHI 16777215 (0x00FFFFFF)
43. 0295 AND  
44. 0297 STORE index:6
45. 0301 LOAD  index:1
46. 0305 LOAD  index:6
47. 0309 ADD  
48. 0311 STORE index:1
49. 0315 LOAD  index:3
50. 0319 PUSHI 1 (0x00000001)
51. 0329 ADD  
52. 0331 STORE index:3
53. 0335 JMP   0221
54. # Сравнение хеша с заранее просчитанным
55. 0345 LOAD  index:1
56. 0349 PUSHI 1747247142 (0x6824E026)
57. 0359 EQ  
58. 0361 JMPF  0448 # Изначально предполагал патч здесь
59. 0371 PUSHS "Password is valid, bro!"
60. 0401 ECHO
61. 0403 PUSHS "You are real cracker, bro!"
62. 0436 ECHO
63. 0438 JMP   0518
64. 0448 PUSHS "Password is invalid, bro!"
65. 0480 ECHO
66. 0482 PUSHS "Better luck next time, bro!"
67. 0516 ECHO
68. 0518 HALT
69.  

Компилится псевдо-код из такого кода с помощью моего макроса virtualize, который обходит ast-дерево, компилит дерево в байткод и заменяет его вызовом ВМ (специально сделал исходный кодец без каких-то высокоуровневых конструкций, чтобы проще было компилить, hash_seed - псевдослучайный при каждой сборке, cp_hash_string - тот же хеш, но вычисляется макросом при компиляции еще до виртуализации, компиляция без каких-то оптимизаций байт-кода):

Код (Text):

1.  
2. proc lowered_function() {. virtualize .} =
3.     echo("Enter password, bro: ")
4.     var password = read_line(stdin)
5.    
6.     var xhash = hash_seed
7.     var slen = len(password)
8.     var i = 0
9.  
10.     while i < slen:
11.         let v1 = xhash * 0xab10f29f'u32
12.         let v2 = ord(password[i]).uint32
13.         let v3 = (v1 + v2) and 0xffffff'u32
14.         xhash = xhash + v3
15.         i = i + 1
16.  
17.     if xhash == cp_hash_string("TestDatVmStuff"):
18.         echo("Password is valid, bro!")
19.         echo("You are real cracker, bro!")
20.     else:
21.         echo("Password is invalid, bro!")
22.         echo("Better luck next time, bro!")
23.  

 

Большая часть криптографии не имеет математического смысла. Если есть сдвиги (особенно циклические) больше чем на 3 бита, если есть конъюнкции/дизъюнкции/строгие дизъюнкции с длинными битовыми полями, то как бы очевидно, что это криптография.

Код (Text):

1. private void button1_Click(object sender, EventArgs e)
2. {
3.     bool flag = this.textBox1.Text == "kekstra" && this.textBox2.Text == "topkek";
4.     if (flag)
5.     {
6.         MessageBox.Show("Congratz negro!", "Get some bitches on yo dick");
7.     }
8.     else
9.     {
10.         MessageBox.Show("You are a dumb ass and you'll never learn reverse engineering :'(", "What a failure!");
11.     }
12. }

Хз. Наверное очень грустно дотнет без декомпилера решать. Хотя секундочку:

Код (Text):

1. seg000:0081 ldarg.0
2. seg000:0082 ldfld    class [System.Windows.Forms]System.Windows.Forms.TextBox crackmeTVLPA.Form1::textBox1
3. seg000:0087 callvirt instance string [System.Windows.Forms]System.Windows.Forms.Control::get_Text()
4. seg000:008C ldstr    aKekstra       // "kekstra"
5. seg000:0091 call     bool [mscorlib]System.String::op_Equality(string, string)
6. seg000:0096 brfalse.s loc_AF
7. seg000:0098 ldarg.0
8. seg000:0099 ldfld    class [System.Windows.Forms]System.Windows.Forms.TextBox crackmeTVLPA.Form1::textBox2
9. seg000:009E callvirt instance string [System.Windows.Forms]System.Windows.Forms.Control::get_Text()
10. seg000:00A3 ldstr    aTopkek        // "topkek"
11. seg000:00A8 call     bool [mscorlib]System.String::op_Equality(string, string)
12. seg000:00AD br.s     loc_B0
13. seg000:00AF
14. seg000:00AF                         // CODE XREF: crackmeTVLPA.Form1__button1_Click+16↑j
15. seg000:00AF ldc.i4.0
16. seg000:00B0
17. seg000:00B0                         // CODE XREF: crackmeTVLPA.Form1__button1_Click+2D↑j
18. seg000:00B0 stloc.0
19. seg000:00B1 ldloc.0
20. seg000:00B2 brfalse.s loc_C8
21. seg000:00B4 nop
22. seg000:00B5 ldstr    aCongratzNegro // "Congratz negro!"
23. seg000:00BA ldstr    aGetSomeBitches // "Get some bitches on yo dick"
24. seg000:00BF call     valuetype [System.Windows.Forms]System.Windows.Forms.DialogResult [System.Windows.Forms]System.Windows.Forms.MessageBox::Show(string, string)
25. seg000:00C4 pop
26. seg000:00C5 nop
27. seg000:00C6 br.s     loc_DA
28. seg000:00C8
29. seg000:00C8                         // CODE XREF: crackmeTVLPA.Form1__button1_Click+32↑j
30. seg000:00C8 nop
31. seg000:00C9 ldstr    aYouAreADumbAss // "You are a dumb ass and you'll never lea"...
32. seg000:00CE ldstr    aWhatAFailure  // "What a failure!"
33. seg000:00D3 call     valuetype [System.Windows.Forms]System.Windows.Forms.DialogResult [System.Windows.Forms]System.Windows.Forms.MessageBox::Show(string, string)
34. seg000:00D8 pop
35. seg000:00D9 nop
36. seg000:00DA
37. seg000:00DA                         // CODE XREF: crackmeTVLPA.Form1__button1_Click+46↑j
38. seg000:00DA ret

Тоже можно.

 

Для крипты и вирты автоматика бесполезна. Если тем же инструментом прогнать Rel, семпл, вот что получается:

Код (Text):

1. $     kernel32.7C872ADA
2. $+4   app.004082F3
3. $+8   app.00408305
4. $+C   app.00408443
5. $+10  app.00408447
6. $+14  app.0040849C
7. $+18  app.004084B0
8. $+1C  Entry address
9. $+20  app.00401CF0
10. $+24  app.00407ABA
11. $+28  app.00407AA4
12. $+2C  app.00407B9C
13. $+30  app.00407BEC
14. $+34  app.004084B5
15. $+38  app.004018C4
16. $+3C  app.004084C6
17. $+40  app.004084CF
18. $+44  Entry address
19. $+48  msvcrt.77C1C2E3
20. $+4C  app.00401C12
21. $+50  app.00401C13
22. $+54  app.004084D4
23. $+58  app.004084D7
24. $+5C  app.004086FF
25. $+60  app.0040705D
26. $+64  app.00408741
27. $+68  app.00407188
28. $+6C  app.00408759
29. $+70  app.004019BB
30. $+74  app.00408763
31. $+78  app.004018C4
32. $+7C  app.0040876B
33. $+80  app.00409998 <---
34. $+84  app.00407786
35. $+88  app.0040162A
36. $+8C  app.004077A0
37. $+90  app.004073F8
38. $+94  app.004077AA
39. $+98  app.004016AE
40. $+9C  app.004077BD
41. $+A0  app.00402652
42. $+A4  app.004072CB
43. $+A8  app.004072D9
44. $+AC  app.004077DD
45. $+B0  app.004070F1
46. $+B4  app.004077FA
47. $+B8  app.004019BB
48. $+BC  app.00407805
49. $+C0  app.00409998 <---
50. $+C4  app.004071E5
51. $+C8  app.0040162A
52. $+CC  app.004071FD
53. $+D0  app.004016AE
54. $+D4  app.00407204
55. $+D8  app.0040162A
56. $+DC  app.0040721E
57. $+E0  app.004070F1
58. $+E4  app.00407244
59. $+E8  app.00407188
60. $+EC  app.0040726E
61. $+F0  app.004019BB
62. $+F4  app.00407279
63. $+F8  app.00409998 <---
64. $+FC  app.00407618
65. $+100 app.0040162A
66. $+104 app.00407633
67. $+108 app.0040162A
68. $+10C app.0040763B
69. $+110 app.0040162A
70. $+114 app.00407642
71. $+118 app.004073F8
72. $+11C app.00407652
73. $+120 app.004073F8
74. $+124 app.0040766A
75. $+128 app.00401AFF
76. $+12C app.0040767F
77. $+130 app.00407188
78. $+134 app.0040768E
79. $+138 app.00401B0D
80. $+13C app.00407698
81. $+140 app.00401B0D
82. $+144 app.004076A0
83. $+148 app.00401B0D
84. $+14C app.004076A8
85. $+150 app.00409998 <---
86. $+154 app.004076B0
87. $+158 app.0040162A
88. $+15C app.004076CB
89. $+160 app.0040162A
90. $+164 app.004076D3
91. $+168 app.0040162A
92. $+16C app.004076DA
93. $+170 app.004073F8
94. $+174 app.004076EA
95. $+178 app.004073F8
96. $+17C app.00407702
97. $+180 app.00401A9C
98. $+184 app.0040771D
99. $+188 app.00407188
100. $+18C app.0040772C
101. $+190 app.00401B0D
102. $+194 app.00407736
103. $+198 app.00401B0D
104. $+19C app.0040773E
105. $+1A0 app.00401B0D
106. $+1A4 app.00407746
107. $+1A8 app.00409998 <---
108. $+1AC app.00407E4A
109. $+1B0 app.0040162A
110. $+1B4 app.00407E62
111. $+1B8 app.0040162A
112. $+1BC app.00407E78
113. $+1C0 app.0040162A
114. $+1C4 app.00407E80
115. $+1C8 app.004073F8
116. $+1CC app.00407E90
117. $+1D0 app.004073F8
118. $+1D4 app.00407EAF
119. $+1D8 app.00407DB2
120. $+1DC app.00407EBE
121. $+1E0 app.00401AFF
122. $+1E4 app.00407ED9
123. $+1E8 app.00407188
124. $+1EC app.00407EE8
125. $+1F0 app.00401B0D
126. $+1F4 app.00407EF3
127. $+1F8 app.004019BB
128. $+1FC app.00407EFB
129. $+200 app.004018C4
130. $+204 app.00407F03
131. $+208 app.00401B0D
132. $+20C app.00407F0B
133. $+210 app.00409998 <--- ORD
134. $+214 app.004016AF
135. $+218 app.0040167A
136. $+21C app.004016BA
137. $+220 app.00409998 <---
138. $+224 app.004015FB
139. $+228 app.004019BB
140. $+22C app.00409940
141. $+230 app.00409943
142. $+234 Entry address
143. $+238 app.004019BB
144. $+23C app.00401BE5
145. $+240 msvcrt.77C1C2E3
146. $+244 app.00401BF6
147. $+248 app.00401BFC
148. $+24C app.00409948
149. $+250 app.00401BFC
150. $+254 app.00409950
151. $+258 app.004019BB
152. $+25C app.00409958
153. $+260 app.004099A7
154. $+264 Entry address
155. $+268 app.00402456
156. $+26C app.004099AC
157. $+270 msvcrt.77C1C2E3
158. $+274 app.004099DE
159. $+278 app.00409A32
160. $+27C app.00410AF3
161. $+280 app.00410AFE
162. $+284 app.00401396
163. $+288 app.0040149E
164. $+28C Entry address
165. $+290

- выделяется цикл вирты и стабы их 7. Карта строится после ввода, то стабы при инит. скипаются.

PUSHI
EQ
JMPF
PUSHS
ECHO
INPUT

Должно остаться 9:

STORE
LOAD
SLEN
LT
MUL
ORD
ADD
AND
JMP

- два куда то потерялись, значит вызываются ранее. Можно весь код покрыть при запуске апп запустить карт., но это всё бесполезно и ничего не даёт. Вирту решать можно исключительно разбирая вручную, аналогично как и с хэшами.

 

Ну короче ты изобрел велосипед с квадратными колесами, я понял.

 

f13nd,

Там где вирты нет норм работает, в вирте не исполнение, а чтение кодовой последовательности которое может быть совершенно произвольным; такое наверно в принципе нельзя как то автоматикой решать. Вручную ковырять семплы это время тратить впустую имхо.

 

Ну вот все 4 семпла, которые ты показал, вообще никаких визоров не требовали, разобраться в них буквально за минуту можно. Кто впустую потратил время?

 

f13nd,

Так сложность значение имеет лишь для ручного разбора. Два более сложных - net/vb ты ведь отладчиком не решил, для первого использовал декомп. Для вб тоже декомп нужен ?

Я глянул псевдокод #134, очень калк спекки напоминает - стек, индексные регистры..

Код (Text):

1.     i0 = S$
2.     i1 = 0x6136CDEC
3.     i2 = LEN(i0)
4.     i3 = 0
5. #221:
6.     LT(i2, i3) -> #345
7.     i4 = 0xAB10F29F * i1
8.     i5 = i0 | i3
9.     i6 = (i4 + i5) & 0x00FFFFFF
10.     i1 = i1 + i6
11.     i3 = i3 + 1
12.     > #221

Если упростить, получается:

Код (Text):

1.     i1 = 0x6136CDEC
2.     !i3
3. #221:
4.     LT(LEN(S$), i3) -> #345
5.     i1 + ((0xAB10F29F * i1 + (S$ | i3)) & 0x00FFFFFF)
6.     i3 ++
7.     > #221

- функция необратима. На что рел надеялся, те как строку искать, вечным брутом ?