前文
私は、作者がずっといなくなったプログラムを逆アセンブルしてリバースエンジニアリングしようとしています。このプログラムは、私が他の場所ではまだ見つけていないいくつかのユニークな機能を提供します...私はプログラムをリバースエンジニアリングすることに興味があり、興味をそそられます。別のプログラムを探すのを手伝ってくれるだけなら...気にしないでください。
問題
IDA Pro w / Hex-Rays Decompilerを使用して、リバースエンジニアリングを高速化するために、中途半端な疑似コードを取得しています。私が物事をスピードアップするのに役立つと思う1つの大きなことは、文字列が何を意味するかを理解することです。これまでのところ、これは4文字を超える文字列について私が見つけたものです。
dword_131894E = 54264588;
dword_131894A = 51381002;
dword_1318946 = 51380998;
dword_1318942 = 52429571;
dword_131893E = 52298503;
runtimeVersion[0] = 836;
szIndex = 0;
do
{
runtimeVersion[szIndex] = (runtimeVersion[szIndex] - 1) ^ (szIndex + 882) ^ 0x47;
++szIndex;
}
while ( szIndex < 11 );
3文字の文字列の同様の擬似コードを調べ、型情報にHex-Raysホバーオーバーを使用することから、これを理解する方法は次のとおりです。
- runtimeVersionはconstwcharです
- これは、Unicode文字(UTF-16)を持っていることを意味します
- 文字列はメモリに埋め込まれていますが、この場合、弱く暗号化されています(XOR?)
上記の擬似コードは、定数「882」が文字列ごとに異なることを除いて、すべての大きな文字列で同じです。これは、文字列を1つずつ検索し、それらを一意に「暗号化」する、ある種のコンパイル時の暗号化またはマクロであると想定しています。ただし、問題は、擬似コードを複製しても適切な文字列を取得できないように見えることです。これが私がC#で持っているものです:
ushort[] newCharArray = new ushort[rawCharacters.Length];
// Go through and decode all of the characters.
ushort i = 0;
do {
newCharArray[i] = (ushort)((i + 882) ^ (rawCharacters[i] - 1) ^ 0x47);
++i;
}
while (i < 11);
'rawCharacters'はushort配列です。私はそれらのdwordエントリのそれぞれを半分に分割し、それぞれをushortとして扱います。それらを下から上に向かって配列に配置します...したがって、runtimeVersion [0]に割り当てられた値が最初に配列に追加され、次にdword_131893Eからの値、次にdword_1318942などに追加されます。
ここで何が欠けているのかわかりません。これは非常に単純なため、文字列を逆にして回復するのは簡単なようですが、擬似コードから実際のコードへの変換に困惑しています。
考え?