3

さて、私は Delphi でいくつかのインライン アセンブリを勉強しています。アセンブリ暗号化ルーチンは、ShortString を Textbox に解析しようとするまで、すべて順調に進んでいます。

私が得る違反は次のとおりです。 エラー

完全なコードは次のとおりです。

procedure TForm2.Button1Click(Sender: TObject);

var
len,keylen:integer;
name, key:ShortString;

begin

name :=  ShortString(Edit1.Text);
key := '_r <()<1-Z2[l5,^';
len := Length(name);
keylen := Length(key);

nameLen := len;
serialLen := keyLen;

asm

  XOR EAX,EAX
  XOR ESI,ESI
 XOR EDX,EDX
 XOR ECX,ECX


  @loopBegin:

        MOV EAX,ESI
        PUSH $019
        CDQ
        IDIV DWORD PTR DS:[serialLen]
        MOV EAX,ESI
        POP EBX
        LEA ECX,DWORD PTR DS:[key+EDX]
        CDQ
        IDIV DWORD PTR DS:[nameLen]
        LEA EAX,DWORD PTR DS:[name]
        MOVZX EAX,BYTE PTR DS:[name+EDX]
        MOVZX EDX,BYTE PTR DS:[ECX]
        XOR EAX,EDX
        CDQ
        IDIV EBX
        ADD DL,$041
        INC ESI
        CMP ESI,DWORD PTR DS:[serialLen]
        MOV BYTE PTR DS:[ECX],DL

        JL @loopBegin


end;

edit2.Text:= TCaption(key);


end;

「edit2.Text:= TCaption(key);」という行にブレークポイントを配置すると、ShortString の「キー」が実際に適切に暗号化されていることがわかりますが、その背後にも多くの奇妙な文字が含まれています。

最初の 16 文字が実際の暗号化です。

暗号化 http://img831.imageshack.us/img831/365/29944312.png

bigger version: http://img831.imageshack.us/img831/365/29944312.png

ありがとう!

4

4 に答える 4

12

コードの機能

アセンブラを話せない人のために説明すると、これはおそらくコードが Pascal で行うことになっていることです。オリジナルにはいくつかのバグが含まれているため、「おそらく」:

procedure TForm14.Button1Click(Sender: TObject);
var KeyLen:Integer;
    Name, Key:ShortString;
    i:Integer;
    CurrentKeyByte:Byte;
    CurrentNameByte:Byte;
begin
  Name := ShortString(Edit1.Text);
  Key := '_r <()<1-Z2[l5,^';
  keyLen := Length(key);

  asm int 3 end; // This is here so I can inspect the assembler output in the IDE
                 // for the "Optimised" version of the code

  for i:=1 to Length(Name) do
  begin
    CurrentKeyByte := Byte(Key[i mod KeyLen]);
    CurrentNameByte := Byte(Name[i]);
    CurrentNameByte := ((CurrentKeyByte xor CurrentNameByte) mod $019) + $041;
    Name[i] := AnsiChar(CurrentNameByte);
  end;

  Caption := Name;

end;

最適化をオンにすると、これによって生成されたアセンブラー コードは、提案されたコードと比較して実際には短く、冗長なコードが含まれておらず、より高速であると確信しています。Delphi で生成されたコードで気づいたいくつかの最適化を次に示します ( OP によって提案されたアセンブラー コードと比較して)。

  • Delphi はループを逆にしました(0 まで)。これにより、コンパイラは単純に「DEC ESI」を実行してゼロ フラグをループできるため、「CMP」命令が 1 つ節約されます。
  • 2番目の分割に「XOR EDX」と「DIV EBX」を使用して、わずかなサイクルを節約しました。

提供されたアセンブラ コードが失敗するのはなぜですか?

コメント付きの元のアセンブラ コードを次に示します。バグはルーチンの最後の「CMP」命令にあります。ESI を NAME の長さではなく、KEY の長さと比較しています。KEY が NAME よりも長い場合、「暗号化」が NAME の上で行われ、内容が上書きされます (文字列の NULL ターミネータが上書きされるため、デバッガーは正しい文字の後に変な文字を表示します)。

EBX と ESI の上書きは許可されていませんが、これはコードが AV になる原因ではありません。おそらく、周囲の Delphi コードが EBX または ESI を使用していないためです (これを試してみました)。

asm

 XOR EAX,EAX ; Wasteful, the first instruction in Loop overwrites EAX
 XOR ESI,ESI
 XOR EDX,EDX ; Wasteful, the first CDQ instruction in Loop overwrites EDX
 XOR ECX,ECX ; Wasteful, the first LEA instruction overwrites ECX


 @loopBegin:
       ; Etering the loop, ESI holds the index for the next char to be
       ; encrypted.

       MOV EAX,ESI ; Load EAX with the index for the next char, because
                   ; we intend to do some divisions (setting up the call to IDIV)
       PUSH $019   ; ? pushing this here, so we can pop it 3 lines later... obfuscation
       CDQ         ; Sign-extend EAX (required for IDIV)
       IDIV DWORD PTR DS:[serialLen] ; Divide EAX by the length of the key.
       MOV EAX,ESI ; Load the index back to EAX, we're planning on an other IDIV. Why???
       POP EBX     ; Remember the PUSH $019?
       LEA ECX,DWORD PTR DS:[key+EDX] ; EDX is the result of "ESI mod serialLen", this
                                      ; loads the address of the current char in the
                                      ; encryption key into ECX. Dividing by serialLen
                                      ; is supposed to make sure we "wrap around" at the
                                      ; end of the key
        CDQ ; Yet some more obfuscation. We're now extending EAX into EDX in preparation for IDIV.
            ; This is obfuscation becasue the "MOV EAX, ESI" instruction could be written right here
            ; before the CDQ.
        IDIV DWORD PTR DS:[nameLen] ; We divide the current index by the length of the text
                                    ; to be encrypted. Once more the code will only use the reminder,
                                    ; but why would one do this? Isn't ESI (the index) always supposed to
                                    ; be LESS THEN nameLen? This is the first sign of trouble.
        LEA EAX,DWORD PTR DS:[name] ; EAX now holds the address of NAME.
        MOVZX EAX,BYTE PTR DS:[name+EDX] ; EAX holds the current character in name
        MOVZX EDX,BYTE PTR DS:[ECX]      ; EDX holds the current character in Key
        XOR EAX,EDX ; Aha!!!! So this is an obfuscated XOR loop! EAX holds the "name[ESI] xor key[ESI]"
        CDQ         ; We're extending EAX (the XOR result) in preparation for a divide
        IDIV EBX    ; Divde by EAX by EBX (EBX = $019). Why????
        ADD DL,$041 ; EDX now holds the remainder of our previous XOR, after the division by $019;
                    ; This is an number from $000 to $018. Adding $041 turns it into an number from
                    ; $041 to $05A (ASCII chars from "A" to "Z"). Now I get it. This is not encryption,
                    ; this is a HASH function! One can't un-encrypt this (information is thrown away at
                    ; the division).
        INC ESI     ; Prep for the next char


        ; !!! BUG !!!
        ;
        ; This is what's causing the algorithm to generate the AV. At this step the code is
        ; comparing ESI (the current char index) to the length of the KEY and loops back if
        ; "ESI < serialLen". If NAME is shorter then KEY, encryption will encrypt stuff beyond
        ; then end of NAME (up to the length of KEY). If NAME is longer then KEY, only Length(Key)
        ; bytes would be encrypted and the rest of "Name" would be ignored.
        ;
        CMP ESI,DWORD PTR DS:[serialLen]


        MOV BYTE PTR DS:[ECX],DL ; Obfuscation again. This is where the mangled char is written
                                 ; back to "Name".

        JL @loopBegin            ; Repeat the loop.

私の2セント相当のアドバイス

アセンブラは、SPEED の最適化のみに使用する必要があります。OPがアセンブラーを使用してコードの動作を難読化しようとしたように見えます。コードが何をしているのかを正確に把握するのに数分しかかかりませんでした。私はアセンブラーの専門家ではありません。

于 2010-07-19T07:39:30.587 に答える
6

まず、EDI と ESI を保持する必要があります。保存せずに使用できるのは、EAX、EDX、および ECX のみです (ロードして保存する必要がある場合を除く)。

コードの周りに PUSH EDI、PUSH ESI、POP ESI、POP EDI を追加してみてください。

于 2010-07-18T23:07:51.637 に答える
3

レジスタの内容を保存(保存および復元)せずに、インラインASMで自分の目的のためにレジスタを単純に選択することはできません。

あなたのコードでは、EAX(「自己」を保持する)とEDX(デフォルトのレジスタ呼び出し規約では「送信者」を保持する可能性が高い)を踏みにじっています。

そして私が理解しているように、他のレジスタもローカル変数に使用される可能性があります。

于 2010-07-18T23:29:50.557 に答える
2

ヒント:ESIやEAXなどがSelfを保持している場合はどうなりますか?アセンブラはそれをゴミ箱に捨てます。次の行では、Edit2を使用しようとしています。これには、Selfへのアクセスが必要です。

コンパイラとあなたの両方がレジスタを使用します。うまく遊んでコンパイラと協力する必要があります。つまり、レジスタの値を保存/復元する必要があります。

それ以外の場合は、ルーチンを分離するためにアセンブラコードをオフロードする必要があると思います。そのため、レジスタを使用する可能性のあるPascalコードはありません。呼び出し規約プロトコルに準拠する必要があることに注意してください。すべてのレジスタを自由に使用できるわけではありません。

于 2010-07-18T23:17:47.730 に答える