04835F3 |. 55 push ebp ; /hKey
004835F4 |. FFD7 call edi ; \RegCloseKey
004835F6 |. 33ED xor ebp, ebp
004835F8 |. 896C24 14 mov dword ptr [esp+14], ebp
004835FC |> 8D4C24 20 lea ecx, dword ptr [esp+20]
00483600 |. 51 push ecx
00483601 |. 8D4C24 14 lea ecx, dword ptr [esp+14]
00483605 |. E8 51A40500 call 004DDA5B
0048360A |. 8B15 3061C405 mov edx, dword ptr [5C46130]
00483610 |. 8D4C24 10 lea ecx, dword ptr [esp+10]
00483614 |. 52 push edx ; /Arg2 => 0632C860 ASCII "103898304"
00483615 |. 68 90E45300 push 0053E490 ; |[username]
0048361A |. E8 C01A0500 call 004D50DF ; \123_exe_.004D50DF
0048361F |. A1 D460C405 mov eax, dword ptr [5C460D4]
00483624 |. 8D4C24 10 lea ecx, dword ptr [esp+10]
00483628 |. 50 push eax ; /Arg2 => 0632CD60 ASCII "045118"
00483629 |. 68 84E45300 push 0053E484 ; |[password]
0048362E |. E8 AC1A0500 call 004D50DF ; \123_exe_.004D50DF
00483633 |. 68 F0E45300 push 0053E4F0 ; /阿凡提
00483638 |. 68 74E45300 push 0053E474 ; |[mainversion]
0048363D |. 8D4C24 18 lea ecx, dword ptr [esp+18] ; |
00483641 |. E8 991A0500 call 004D50DF ; \123_exe_.004D50DF
00483646 |. 68 E8615300 push 005361E8 ; /
0048364B |. 68 68E45300 push 0053E468 ; |[version]
00483650 |. 8D4C24 18 lea ecx, dword ptr [esp+18] ; |
00483654 |. E8 861A0500 call 004D50DF ; \123_exe_.004D50DF
00483659 |. 68 F8615300 push 005361F8 ; /4.00.005
0048365E |. 68 58E45300 push 0053E458 ; |[subversion]
00483663 |. 8D4C24 18 lea ecx, dword ptr [esp+18] ; |
00483667 |. E8 731A0500 call 004D50DF ; \123_exe_.004D50DF
0048366C |. 8B4C24 10 mov ecx, dword ptr [esp+10]
00483670 |. 53 push ebx
00483671 |. 53 push ebx
00483672 |. 53 push ebx
00483673 |. 53 push ebx
00483674 |. 51 push ecx
00483675 |. 8D8E 10010000 lea ecx, dword ptr [esi+110]
0048367B |. E8 70BC0200 call 004AF2F0
00483680 |. 3BEB cmp ebp, ebx
00483682 |. C786 88010000>mov dword ptr [esi+188], 1
0048368C |. 74 03 je short 00483691
0048368E |. 55 push ebp
0048368F |. FFD7 call edi
00483691 |> 8D4C24 10 lea ecx, dword ptr [esp+10] ; Default case of switch 004834C6
00483695 |. C78424 280400>mov dword ptr [esp+428], -1
004836A0 |. E8 2DA20500 call 004DD8D2
004836A5 |. 8B8C24 200400>mov ecx, dword ptr [esp+420]
004836AC |. 5F pop edi
004836AD |. 5E pop esi
004836AE |. 5D pop ebp
004836AF |. 5B pop ebx
004836B0 |. 64:890D 00000>mov dword ptr fs:[0], ecx
004836B7 |. 81C4 1C040000 add esp, 41C
004836BD \. C2 0400 retn 4
004836C0 . D6344800 dd 123_exe_.004834D6 ; 分支表 被用于 004834CF
004836C4 . 45354800 dd 123_exe_.00483545
004836C8 . 5B354800 dd 123_exe_.0048355B
004836CC . 91364800 dd 123_exe_.00483691
004836D0 . ED344800 dd 123_exe_.004834ED
004836D4 90 nop
004836D5 90 nop
004836D6 90 nop
004836D7 90 nop
004836D8 90 nop
004836D9 90 nop
004836DA 90 nop
004836DB 90 nop
004836DC 90 nop
004836DD 90 nop
004836DE 90 nop
004836DF 90 nop
004836E0 /$ 8B4424 04 mov eax, dword ptr [esp+4]
004836E4 |. 56 push esi
004836E5 |. 8BF1 mov esi, ecx
004836E7 |. 6A 00 push 0 ; /lParam = 0
004836E9 |. 50 push eax ; |wParam
004836EA |. 68 0C130000 push 130C ; |Message = MSG(130C)
004836EF |. 8B8E F0000000 mov ecx, dword ptr [esi+F0] ; |
004836F5 |. 51 push ecx ; |hWnd
004836F6 |. FF15 18F75000 call dword ptr [<&USER32.SendMessageA>; \SendMessageA
004836FC |. 6A 00 push 0
004836FE |. 6A 00 push 0
00483700 |. 8BCE mov ecx, esi
00483702 |. E8 99020000 call 004839A0
00483707 |. 5E pop esi
00483708 \. C2 0400 retn 4
0048370B 90 nop
0048370C 90 nop
0048370D 90 nop
0048370E 90 nop
0048370F 90 nop
00483710 /$ 53 push ebx
00483711 |. 56 push esi
00483712 |. 57 push edi
00483713 |. 8B7C24 10 mov edi, dword ptr [esp+10]
00483717 |. 8B47 04 mov eax, dword ptr [edi+4]
0048371A |. 8B30 mov esi, dword ptr [eax]
0048371C |. 3BC6 cmp eax, esi
0048371E |. 74 26 je short 00483746
00483720 |. 33DB xor ebx, ebx
00483722 |> 395E 0C /cmp dword ptr [esi+C], ebx
00483725 |. 7E 10 |jle short 00483737
00483727 |. 8B46 10 |mov eax, dword ptr [esi+10]
0048372A |. 3BC3 |cmp eax, ebx
0048372C |. 74 09 |je short 00483737
0048372E |. 50 |push eax
0048372F |. E8 ABA70500 |call 004DDEDF
00483734 |. 83C4 04 |add esp, 4
00483737 |> 895E 0C |mov dword ptr [esi+C], ebx
0048373A |. 895E 10 |mov dword ptr [esi+10], ebx
0048373D |. 8B36 |mov esi, dword ptr [esi]
0048373F |. 8B47 04 |mov eax, dword ptr [edi+4]
00483742 |. 3BC6 |cmp eax, esi
00483744 |.^ 75 DC \jnz short 00483722
00483746 |> 8B5F 04 mov ebx, dword ptr [edi+4]
00483749 |. 8B33 mov esi, dword ptr [ebx]
0048374B |. 3BF3 cmp esi, ebx
0048374D |. 74 27 je short 00483776
0048374F |> 8BC6 /mov eax, esi
00483751 |. 8B36 |mov esi, dword ptr [esi]
00483753 |. 50 |push eax
00483754 |. 8B48 04 |mov ecx, dword ptr [eax+4]
00483757 |. 8B10 |mov edx, dword ptr [eax]
00483759 |. 8911 |mov dword ptr [ecx], edx
0048375B |. 8B08 |mov ecx, dword ptr [eax]
0048375D |. 8B50 04 |mov edx, dword ptr [eax+4]
00483760 |. 8951 04 |mov dword ptr [ecx+4], edx
00483763 |. E8 77A70500 |call 004DDEDF
00483768 |. 8B4F 08 |mov ecx, dword ptr [edi+8]
0048376B |. 83C4 04 |add esp, 4
0048376E |. 49 |dec ecx
0048376F |. 3BF3 |cmp esi, ebx
00483771 |. 894F 08 |mov dword ptr [edi+8], ecx
00483774 |.^ 75 D9 \jnz short 0048374F
00483776 |> 5F pop edi
00483777 |. 5E pop esi
00483778 |. 5B pop ebx
00483779 \. C2 0400 retn 4
0048377C 90 nop
0048377D 90 nop
0048377E 90 nop
0048377F 90 nop
00483780 . 64:A1 0000000>mov eax, dword ptr fs:[0]
00483786 . 6A FF push -1
00483788 . 68 487B5000 push 00507B48
0048378D . 50 push eax
0048378E . 64:8925 00000>mov dword ptr fs:[0], esp
00483795 . 83EC 40 sub esp, 40
00483798 . 53 push ebx
00483799 . 56 push esi
0048379A . 57 push edi
0048379B . 8BF1 mov esi, ecx
0048379D . E8 75600500 call 004D9817
004837A2 . 33FF xor edi, edi
004837A4 . 8D9E D4000000 lea ebx, dword ptr [esi+D4]
004837AA > A1 E41D5400 mov eax, dword ptr [541DE4]
004837AF . 894424 0C mov dword ptr [esp+C], eax
004837B3 . 83FF 04 cmp edi, 4 ; Switch (cases 0..4)
004837B6 . C74424 54 000>mov dword ptr [esp+54], 0
004837BE . 77 2A ja short 004837EA
004837C0 . FF24BD 183948>jmp dword ptr [edi*4+483918]
004837C7 > 68 1CE55300 push 0053E51C ; 系统公告; Case 0 of switch 004837B3
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法