The Neverhood, хеш алгоритм Опции

[-=CHE@TER=-]

Пишу сейчас страничку для сайта (ctpax-cheater) для игры The Neverhood.

В игре во всю используется вот такая хеш-функция (я её немножно переписал под свои нужды):

CODE

// The Neverhood hash routine
Const chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';

Function StrHash(S: String): Longword;
Var I, C, K: Longword;
Begin
  result:=0;
  C:=0;
  For I:=1 To Length(S) Do
  Begin
    S[I]:=UpCase(S[I]);
    K:=Pos(S[I], chars);
    If K <> 0 Then
    Begin
      If K <= 10 Then // Digits
        C:=C + (Ord(S[I]) + $16 - $40)
      Else
        C:=C + (Ord(S[I]) - $40);
      If C >= $20 Then C:=C - $20;
      result:=result xor (1 ShL C);
    End;
  End;
End;

Т.е. игнорируется всё, что не цифры и английские буквы, затем от получившегося считается хеш.
В demo-версии эта функция находится в sub_425C10.
Ею зашифрованы как коды, так и имена файлов в .BLB архивах.

В Интернете нагуглил только два кода (там ещё один есть, но он неработающий - что-то забыли):
fastforward - увеличивает скорость игры в два раза (хеш $843070C0)
happybirthdayklaymen - работает только на первом экране - перекидывает игрока на второй (*улыбается*) (хеш $188B2105)
После набора кода нужно нажать ENTER. Перед набором, кстати, тоже неплохо будет - вдруг уже что-то нажимали (ENTER отправляет код на обработку и чистит буфер ввода для кода).

Однако, если поглядеть под отладчиком даже demo-версию - кодов там дохрена и больше (вернее хешей). Плюс они раскиданы по нескольким разным функциям (как два кода выше), что затрудняет работу с ними.

Есть, например, хеш $10410127 - он сохраняет текущий кадр игры в c:\NevShot.bmp (даже во время проигрывания smack-видео!). Но вот какой код ему соответствует - хрен знает.

Есть два способа посмотреть все коды:
1) Заменить хеши на известные значения.
2) Brute-force (полный перебор).

1-ый способ очень неудобен, потому что:
а) Все хеши кодов внутри какого-то case/switch и они должны быть заменены на соответствующие (т.е. отсортированы по возрастанию, а не как попало).
б) Они разбросаны по разным функциям, так что бегать между ними очень неудобно.
в) Этот способ неудобен ещё и тем, что его нельзя предложить всем имеющим игру - им придётся её как минимум патчить.

Перебор же очень трудоёмкий, даже если выбросить оттуда UpCase (т.е. заведомо перебирать только заглавные буквы и цифры) и оптимизировать.
Я заметил, что в этом алгоритме на каждом шаге зажигается или гасится (если уже был зажжён) 1 бит в хеше. Т.е. для упомянутого хеша $10410127 слово-пароль должно состоять как минимум из 8 знаков (с учётом того, что ни один бит не выключался), так как в этом числе 8 не нулевых бит.

Собственно, вопрос: кто-нибудь может предложить простой и быстрый алгоритм для перебора?

Может быть я чего-то не вижу и здесь можно гораздо быстрее и проще хеш подобрать.
Мне не обязательно получить именно тот код, который задумывался создателями - какая-нибудь последовательность типа "bsb99dc" - тоже сойдёт.

[Axsis]

В общем каждый символ кода (цифра или буква) сдвигает бит, которым xor'ится хеш, на определённое количество бит влево. Для цифр от 0 до 9 значение сдвига равно от 6 до 15 ($30+$16-$40=6); для букв это значение равно от 1 до 26 ($41-$40=1). Причём сдвиг например для 3-го символа отсчитывается не от 0-го бита а от величины сдвига для 2-го символа. Когда сдвиг превышает размер хеша, т.е. 32 бита, он уменьшается на 32, т.е. гоняется по кругу (те самые "If C >= $20 Then C:=C - $20;").

Для восстановления исходной фразы (на самом деле, лишь одной из множества исходных фраз, дающих одинаковый хеш) нужно проделать следующее:
записываем хеш в двоичном виде, в little endian (для примера рассмотрим хеш $843070C0):

CODE

10000100 00110000 01110000 11000000

и начинаем разбирать зажженные биты от младшего к старшему (справа налево, пронумеровав их от 0 до 31).
Чтобы зажечь 6-й бит нам нужно было сдвинуть единицу (нулевой бит) на 6 бит влево. Сдвигу в 6 бит соответствует 6-я буква - "F". Чтобы зажечь следующий, 7-й, бит нужно сдвинуть на 1 бит (считаем от предыдущего зажженного - от 6-го бита), для этого нужна буква "A".
Далее, для 12-го бита - смещение 5, и соответственно буква "E", и т.д.
Для зажжения всех 9-ти бит нам понадобится минимум 9 букв - "FAEAAFAEE".
По идее, этот код даст такой же хеш как и "fastforward", а значит и действовать будет так же.
Если нужно зажечь 0-й бит в хеше, то, т.к. сделать это сразу не получится, его надо зажигать последним, перепрыгнув через 32 бита (если бы нам надо было зажечь его в нашем примере, то нужно было бы дописать в конец кода ещё букву "A" - "FAEAAFAEEA". Мы получили бы смещение 32, которое превратилось бы в 0 и зажегся бы 0-й бит.)

Описание получилось немного дурацкое, но думаю ты разберёшься