Сетевой протокол с xor-ключом и сжатием - помогите расколоть

Прошу прощения, что создаю вторую тему

нетерпится видимо



http://www.wasm.ru/forum/index.php?action=vthread&forum=23&topic=12817





пока копаюсь в ехе-шнике.

ничем не запакован, но отладке не поддается.

ошибка вылетает в самом начале загрузки.



PS: игрулина находится на mpog.ru

 

Я в асме к сожалению еще новичок

но вроде что то интересное мне кажется нарыл

подскажите, что примерно делает этот вот кусок:

Код (Text):

1.  
2. :004FE8CC 53                      push ebx
3. :004FE8CD 8BDD                    mov ebx, ebp
4. :004FE8CF 035804                  add ebx, dword ptr [eax+04]
5. :004FE8D2 894308                  mov dword ptr [ebx+08], eax
6. :004FE8D5 8D442408                lea eax, dword ptr [esp+08]
7. :004FE8D9 89430C                  mov dword ptr [ebx+0C], eax
8. :004FE8DC C7430413E94F00          mov [ebx+04], 004FE913
9. :004FE8E3 66C743100000            mov [ebx+10], 0000
10. :004FE8E9 66C743120000            mov [ebx+12], 0000
11. :004FE8EF C7431C00000000          mov [ebx+1C], 00000000
12. :004FE8F6 6467A10000              mov eax, dword ptr fs:[0000]
13. :004FE8FB 8903                    mov dword ptr [ebx], eax
14. :004FE8FD 6467891E0000            mov fs:[0000], ebx
15. :004FE903 5B                      pop ebx
16. :004FE904 C3                      ret
17.  

он вызывается просто из огромного количества точек

 

но есть оказывается еще более часто используемый кусок

который вызывает верхний

Код (Text):

1.  
2. :0050D8A8 55                      push ebp
3. :0050D8A9 8BEC                    mov ebp, esp
4. :0050D8AB 83C4D8                  add esp, FFFFFFD8
5. :0050D8AE 53                      push ebx
6. :0050D8AF 8945FC                  mov dword ptr [ebp-04], eax
7. :0050D8B2 B850395300              mov eax, 00533950
8. :0050D8B7 E81010FFFF              call 004FE8CC                 ; вызов верхнего куска
9. :0050D8BC 66C745E80800            mov [ebp-18], 0008
10. :0050D8C2 33C9                    xor ecx, ecx
11. :0050D8C4 8B45FC                  mov eax, dword ptr [ebp-04]
12. :0050D8C7 8908                    mov dword ptr [eax], ecx
13. :0050D8C9 E84ADBFEFF              call 004FB418
14. :0050D8CE 8B55D8                  mov edx, dword ptr [ebp-28]
15. :0050D8D1 646789160000            mov fs:[0000], edx
16. :0050D8D7 8B45FC                  mov eax, dword ptr [ebp-04]
17. :0050D8DA 5B                      pop ebx
18. :0050D8DB 8BE5                    mov esp, ebp
19. :0050D8DD 5D                      pop ebp
20. :0050D8DE C3                      ret
21.  

 

Если память не изменяет, переход на другой адрес - если ты честно начнешь дебужить такие куски, то увидишь, что неожиданно перейдешь на другой адрес. Я с похожими встречался, даже позаковыристее, вообще, глядя на код, даже не поймешь, куда будет переход и будет ли исполняться следующая команда. Поэтому мой совет - грузи в дебуггер и исполняй по шагам. Может встретиться инструкция int 3 - тут надо внимательнее, может испортиться содержимое некоторых регистров, которые потом могут, например, использоваться при расшифровке очередной порции кода.

 

SEH!!!!

читай про это дело на васме - структурная обработка исключений