Everest数据文件解密一则

最新推荐文章于 2021-02-27 00:38:54 发布
最新推荐文章于 2021-02-27 00:38:54 发布
阅读量1k 收藏 1
点赞数 1
文章标签: 解密 c byte delphi 加密 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pathletboy/article/details/4731512
版权
本文介绍了如何解密Everest数据文件everest.dat,首先通过UPX脱壳Everest主程序,然后使用IDA分析并用OD下断点定位到关键代码段。通过解析解密函数,展示了一个简单的解密算法,并提供了Delphi实现的解密代码。解密后的数据与Everest显示数据进行了对比。
摘要由CSDN通过智能技术生成

Everest数据文件解密一则

标 题: Everest数据文件解密一则
作 者: pathletboy
时 间: 2009-10-27
链 接: http://www.unpack.cn/viewthread.php?tid=41852&extra=page%3D1

打开Everest所在目录,一目了然,确定everest.dat为数据文件。
Everest主程序Everest.exe(版本为4.60.1540 Beta)加了UPX,用upx.exe -d everrest.exe就能正常脱壳,脱壳后用IDA加载,进行分析完成后,OD加载后下断CreateFileA。运行,不停断下运行,直到参数为 xxxxx/everest.dat后经过多次返回来到50E726,如50E70F,50E721所CALL都是经过IDA识别+人工校验后确定其作用。

代码:
0050E708      |.  B2 01                   mov dl,1
0050E70A      |.  A1 C4A14100             mov eax,dword ptr ds:[41A1C4]
0050E70F      |.  E8 E05DEFFF             call <everest.CreateClass>
0050E714      |.  A3 9C5D9300             mov dword ptr ds:[935D9C],eax
0050E719      |.  8B55 F4                 mov edx,[local.3]
0050E71C      |.  A1 9C5D9300             mov eax,dword ptr ds:[935D9C]
0050E721      |.  E8 D210F1FF             call <everest.TStream.LoadFromFile>
0050E726      |.  B2 01                   mov dl,1

仔细分析该段函数如下:

代码:
0050E6AC      /$  55                      push ebp
0050E6AD      |.  8BEC                    mov ebp,esp
0050E6AF      |.  83C4 F0                 add esp,-10
0050E6B2      |.  53                      push ebx
0050E6B3      |.  56                      push esi
0050E6B4      |.  57                      push edi
0050E6B5      |.  33C0                    xor eax,eax
0050E6B7      |.  8945 F0                 mov [local.4],eax
0050E6BA      |.  8945 F4                 mov [local.3],eax
0050E6BD      |.  33C0                    xor eax,eax
0050E6BF      |.  55                      push ebp
0050E6C0      |.  68 5EE85000             push everest.0050E85E
0050E6C5      |.  64:FF30                 push dword ptr fs:[eax]
0050E6C8      |.  64:8920                 mov dword ptr fs:[eax],esp
0050E6CB      |.  33DB                    xor ebx,ebx
0050E6CD      |.  A1 EC2F9300             mov eax,dword ptr ds:[<En&DecryptAddressTable>]
0050E6D2      |.  33C9                    xor ecx,ecx
0050E6D4      |.  BA 40000000             mov edx,40
0050E6D9      |.  E8 E64EEFFF             call <everest.FillChar>
0050E6DE      |.  8D55 F0                 lea edx,[local.4]
0050E6E1      |.  33C0                    xor eax,eax
0050E6E3      |.  E8 3845EFFF             call <everest.ParamStr>                          ;  ParamStr(0) 获取进程参数0 为进程完整路径
0050E6E8      |.  8B45 F0                 mov eax,[local.4]
0050E6EB      |.  8D4D F4                 lea ecx,[local.3]
0050E6EE      |.  BA 78E85000             mov edx,everest.0050E878                         ;  ASCII ".dat"
0050E6F3 
最低0.47元/天 解锁文章
pathletboy
关注
EVEREST单文件版
10-25
Everest ultimate(原名AIDA32),是一个测试软硬件系统信息的工具,它可以详细的显示出PC每一个方面的信息。支持上千种(3400+)主板,支持上百种(360+)显卡,支持对并口/串口/USB这些PNP设备的检测,支持对各式各样的...
破解数据库文件
12-22
破解数据库的一款安装工具 试用 。。。。
数据文件密码破解
11-21
可以破解大部分软件的密码。可以破解大部分软件的密码。可以破解大部分软件的密码。可以破解大部分软件的密码。
Access数据文件密码破解工具
10-14
无毒无插件,本人测试好用的Access数据文件密码破解工具
delphi zlibex for xe
程序开发
08-28 633
https://www.base2ti.com/在这个网站下载,是zlibex的官方网站。
Delphi的ZLibEX控件(亲测可用)
08-11
一款好用的Delphi的Gzip解压代码,用ZlibEX轻松搞定,本人有例子代码资源,具体使用方法请翻看本人博客,博客有详细说明
最好硬件检测单文件EVEREST v5.5最新版
07-08
最好硬件检测单文件EVEREST v5.5最新版.方便携带
EVEREST5.5单文件版
07-12
EVEREST5.5单文件版,打开就可以使用,不用注册,方便快捷!
EVEREST Ultimate Edition (硬件测试)v5.50.2217 绿色单文件版
10-30
EVEREST Ultimate Edition是一款备受赞誉的硬件测试工具,版本号v5.50.2217,它以其全面的硬件检测和诊断功能,深受广大用户和专业人士的喜爱。这个绿色单文件版不仅方便携带,而且无需安装即可直接运行,大大提升了...
Delphi Zlib ex 1.2.8
06-03
Delphi Zlib ex 1.2.8 运行 D7-D17 xe xe2 X3
zlib 支持加密
03-24
zlib 支持加密码 ZCompressPwd
Delphi ZlibEx 1.25
08-09
Zlib 1.25的delphi版本, 凑20字凑20字凑20字
delphi操作png缺少的文件ZLibExAPI单元
03-05
资源共享中http://download.csdn.net/detail/sushengmiyan/4662715大家都评论说缺少一些文件,于是又上传这个,大家可以试试,如果还不可以,请及时反馈,俺再弄。delphi操作png缺少的文件ZLibExAPI单元等
Delphi ZLibEx ZLibExGZ
07-20
IdHttp 抓取网页,有网页因采用gzip压缩导致获取内容为乱码, 解压缩方能正常显示。 多次尝试,发现可使用ZLibEx.pas函数ZDecompressStream2(inStream, outStream,47)解决问题。 需要的朋友可下载,delphi7 ,delphixe 可运行。
java gzip delphi_Delphi解压缩Gzip,使用ZlibEx[转]
weixin_36124888的博客
02-27 274
之前碰到用wininet下载下来的网页的源码为乱码的现象,刚开始以为是编码所致,但尝试各种解码方法之后发现,原来不是编码的问题。而是代码经过压缩了。在HTTP请求头里加上“accept-encoding: gzip, deflat”,可返回压缩之后的代码。如果不加,返回的就是未经过处理的代码。但是,有些网站,不加“accept-encoding: gzip, deflat”HTTP头,还是返回经过...
ZLibEx.pas
vip_ljq的专栏
05-25 1343
{***************************************************************************** * ZLibEx.pas * *
Delphi中使用ZLib的最新版本
Vsun Sky ── 阿永的博客
06-30 8201
 ZLib(http://www.zlib.net)是现在使用最广泛的一套开源的通用无损压缩代码集了。它是LZ77 ((Lempel-Ziv 1977)的一个变种分支。它的代码是线程安全的,数据格式可以参见RFCs(Request for Comments) 1950 到1952(http://www.ietf.org/rfc/rfc1950.txt (zlib format), rfc1951.
everest csdn
最新发布
12-29
除了技术文章,Everest CSDN还提供了一个活跃的技术交流社区。在这个社区中,IT从业人员可以提出问题、互相帮助解决问题、分享经验和观点。这个社区是一个相互学习和成长的平台,不仅可以获取实时的行业动态,也可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pathletboy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值