00407000 > /EB 16          jmp    short 00407018
00407002  |5B              pop    ebx
00407003  |33C9            xor    ecx, ecx
00407005  |66:B8 2245      mov    ax, 4550      ;密钥
00407009  |66:31044B      xor    word ptr [ebx+ecx*2], ax    ;xor解密
0040700D  |41              inc    ecx
0040700E  |40              inc    eax
0040700F  |66:81F9 6201    cmp    cx, 162          ;需加密的长度
00407014  ^|7C F3          jl      short 00407009
00407016  |EB 05          jmp    short 0040701D  ;解密完毕
00407018  \E8 E5FFFFFF    call    00407002

0040701D 这里就是解密后的代码了

一般shelcode的头部都是这样子的，这个是和4550进行异或的解密代码，也就是说在原始raw文件中，0040701D开始向后偏移162个byte的内容，是和4550异或过的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课