加密绝对不是一个“好”的。检查您的nextDecrypt函数中发生了什么。

nextDecrypt 函数

有一个变量ebx+0x200被加载到edx. 此变量增加 1，然后写回ebx+0x200，并且此变量还用于在返回该字节之前xor用某个字节（低字节ecx，即cl）进行编辑。所以我们有一个非常简单的算法，它xor每个字节都 s，每次xor都增加 ed的值。

有一些特殊的外壳；的xor值避免了值0; 如果值为0xff，则将其设置为1而不是递增。此外，返回的值被否定，并且您的反编译器在此处出错；该!运营商应该是一个~为那是什么not汇编指令。（你应该使用反编译的 C 作为第一眼的另一个原因，但总是查看汇编代码以了解真正发生的事情）。

初始化

初始化函数似乎有点复杂，直到你意识到do..while循环中有 8 个相同的块；可能是编译器展开的内部循环。它似乎在 处稍微移动字节[edx+0x100]，并在 处创建索引映射[ecx]。它做的最后一件事似乎初始化xor从价值nextDecrypt到0x7f。但是第一部分似乎有些不对劲；您的代码可以访问，arg_4但只有一个arg_0. 这arg_4似乎会影响字节混洗器的步骤。

这就是静态分析代码的意义所在；逆向者此时应该做的是在调试器中运行该事物，并单步执行这两个函数，检查数据缓冲区如何变化，以验证这些假设。例如，我会验证“将 xor 值初始化为 0x7f”假设不能单独从您的代码中检查，但在调试器中，您可以检查地址是否确实相同。此外，了解这些论点在现实世界中的价值是什么，以及它们来自哪里也会很有趣。

概括

所以，总结一下：这似乎是作者发明的一种“加密”机制，而不是标准机制；这并不复杂；并且您需要对软件进行一些动态分析，以了解其功能的正确细节。

附加说明

在这种情况下，提供尽可能多的信息是有意义的，例如，您要破解的游戏的名称。例如，在 IDA 中加载二进制文件比纯文本源代码更容易分析，人们实际上可能能够运行代码并对其进行一些假设测试。