-
-
[求助]Xtreme-Protector 1.08伪装壳
-
发表于: 2005-7-24 09:58 4008
-
这是一个伪装Xtreme-Protector 1.08的壳请高手指点一下到地是什么壳
部分代码:
00431000 69B7 8F81D13B 04>imul esi,dword ptr ds:[edi+3BD1818F],E71100>
0043100A 04 00 add al,0
0043100C 72 21 jb short 123.0043102F
0043100E 06 push es
0043100F 0000 add byte ptr ds:[eax],al
00431011 0000 add byte ptr ds:[eax],al
00431013 00B8 00000000 add byte ptr ds:[eax],bh办OD载入后停在这里
00431019 60 pushad
0043101A 0BC0 or eax,eax
0043101C 74 58 je short 123.00431076
0043101E E8 00000000 call 123.00431023
00431023 58 pop eax
00431024 05 43000000 add eax,43
00431029 8038 E9 cmp byte ptr ds:[eax],0E9
0043102C 75 03 jnz short 123.00431031
0043102E 61 popad
0043102F EB 35 jmp short 123.00431066
00431031 E8 00000000 call 123.00431036
00431036 58 pop eax
00431037 25 00F0FFFF and eax,FFFFF000
0043103C 33FF xor edi,edi
0043103E 66:BB 195A mov bx,5A19
00431042 66:83C3 34 add bx,34
00431046 66:3918 cmp word ptr ds:[eax],bx
00431049 75 12 jnz short 123.0043105D
0043104B 0FB750 3C movzx edx,word ptr ds:[eax+3C]
0043104F 03D0 add edx,eax
00431051 BB E9440000 mov ebx,44E9
00431056 83C3 67 add ebx,67
00431059 391A cmp dword ptr ds:[edx],ebx
0043105B 74 07 je short 123.00431064
0043105D 2D 00100000 sub eax,1000
00431062 ^ EB DA jmp short 123.0043103E
00431064 8BF8 mov edi,eax
00431066 B8 3A6D1000 mov eax,106D3A
0043106B 03C7 add eax,edi
0043106D B9 5A120300 mov ecx,3125A
00431072 03CF add ecx,edi
00431074 EB 0A jmp short 123.00431080
00431076 B8 3A6D5000 mov eax,123.00506D3A
0043107B B9 5A124300 mov ecx,123.0043125A
00431080 50 push eax
00431081 51 push ecx
00431082 E8 84000000 call 123.0043110B
00431087 E8 00000000 call 123.0043108C
0043108C 58 pop eax
0043108D 2D 26000000 sub eax,26
00431092 B9 EF010000 mov ecx,1EF
00431097 C600 E9 mov byte ptr ds:[eax],0E9
0043109A 83E9 05 sub ecx,5
0043109D 8948 01 mov dword ptr ds:[eax+1],ecx
004310A0 61 popad
004310A1 E9 AF010000 jmp 123.00431255
004310A6 190B sbb dword ptr ds:[ebx],ecx
004310A8 8542 A5 test dword ptr ds:[edx-5B],eax
004310AB 90 nop
004310AC 48 dec eax
004310AD A3 998FF44E mov dword ptr ds:[4EF48F99],eax
004310B2 7D 01 jge short 123.004310B5
004310B4 46 inc esi
004310B5 53 push ebx
004310B6 3A65 81 cmp ah,byte ptr ss:[ebp-7F]
004310B9 6B6F 67 40 imul ebp,dword ptr ds:[edi+67],40
004310BD 2010 and byte ptr ds:[eax],dl
004310BF 080402 or byte ptr ds:[edx+eax],al
004310C2 80BF 5F2F170B 85 cmp byte ptr ds:[edi+B172F5F],85
004310C9 42 inc edx
004310CA 2190 48A351A8 and dword ptr ds:[eax+A851A348],edx
004310D0 D369 B4 shr dword ptr ds:[ecx-4C],cl
004310D3 DA6CB6 5A fisubr dword ptr ds:[esi+esi*4+5A]
004310D7 2D 160A0582 sub eax,82050A16
004310DC 40 inc eax
004310DD 2010 and byte ptr ds:[eax],dl
004310DF 08CF or bh,cl
004310E1 2B49 99 sub ecx,dword ptr ds:[ecx-67]
004310E4 AF scas dword ptr es:[edi]
004310E5 86F2 xchg dl,dh
004310E7 39B3 E5449048 cmp dword ptr ds:[ebx+489044E5],esi
004310ED A3 51A8D369 mov dword ptr ds:[69D3A851],eax
004310F2 B4 DA mov ah,0DA
004310F4 6C ins byte ptr es:[edi],dx
004310F5 B6 5A mov dh,5A
004310F7 2D 160A0582 sub eax,82050A16
004310FC 40 inc eax
004310FD 2010 and byte ptr ds:[eax],dl
004310FF 080402 or byte ptr ds:[edx+eax],al
00431102 80BF 5F2F170B 84 cmp byte ptr ds:[edi+B172F5F],84
00431109 42 inc edx
0043110A 2160 8B and dword ptr ds:[eax-75],esp
0043110D 74 24 je short 123.00431133
0043110F 24 8B and al,8B
00431111 7C 24 jl short 123.00431137
00431113 28FC sub ah,bh
00431115 B2 80 mov dl,80
00431117 8A06 mov al,byte ptr ds:[esi]
00431119 46 inc esi
0043111A 8807 mov byte ptr ds:[edi],al
0043111C 47 inc edi
0043111D BB 02000000 mov ebx,2
00431122 02D2 add dl,dl
00431124 75 05 jnz short 123.0043112B
00431126 8A16 mov dl,byte ptr ds:[esi]
00431128 46 inc esi
00431129 12D2 adc dl,dl
0043112B ^ 73 EA jnb short 123.00431117
0043112D 02D2 add dl,dl
0043112F 75 05 jnz short 123.00431136
00431131 8A16 mov dl,byte ptr ds:[esi]
00431133 46 inc esi
00431134 12D2 adc dl,dl
00431136 73 4F jnb short 123.00431187
00431138 33C0 xor eax,eax
0043113A 02D2 add dl,dl
0043113C 75 05 jnz short 123.00431143
0043113E 8A16 mov dl,byte ptr ds:[esi]
00431140 46 inc esi
00431141 12D2 adc dl,dl
00431143 0F83 DF000000 jnb 123.00431228
00431149 02D2 add dl,dl
0043114B 75 05 jnz short 123.00431152
0043114D 8A16 mov dl,byte ptr ds:[esi]
0043114F 46 inc esi
00431150 12D2 adc dl,dl
00431152 13C0 adc eax,eax
00431154 02D2 add dl,dl
00431156 75 05 jnz short 123.0043115D
00431158 8A16 mov dl,byte ptr ds:[esi]
0043115A 46 inc esi
0043115B 12D2 adc dl,dl
0043115D 13C0 adc eax,eax
0043115F 02D2 add dl,dl
00431161 75 05 jnz short 123.00431168
00431163 8A16 mov dl,byte ptr ds:[esi]
00431165 46 inc esi
00431166 12D2 adc dl,dl
00431168 13C0 adc eax,eax
0043116A 02D2 add dl,dl
0043116C 75 05 jnz short 123.00431173
0043116E 8A16 mov dl,byte ptr ds:[esi]
00431170 46 inc esi
00431171 12D2 adc dl,dl
00431173 13C0 adc eax,eax
00431175 74 06 je short 123.0043117D
00431177 57 push edi
00431178 2BF8 sub edi,eax
0043117A 8A07 mov al,byte ptr ds:[edi]
0043117C 5F pop edi
0043117D 8807 mov byte ptr ds:[edi],al
0043117F 47 inc edi
00431180 BB 02000000 mov ebx,2
00431185 ^ EB 9B jmp short 123.00431122
00431187 B8 01000000 mov eax,1
0043118C 02D2 add dl,dl
0043118E 75 05 jnz short 123.00431195
00431190 8A16 mov dl,byte ptr ds:[esi]
00431192 46 inc esi
00431193 12D2 adc dl,dl
00431195 13C0 adc eax,eax
00431197 02D2 add dl,dl
00431199 75 05 jnz short 123.004311A0
0043119B 8A16 mov dl,byte ptr ds:[esi]
0043119D 46 inc esi
0043119E 12D2 adc dl,dl
004311A0 ^ 72 EA jb short 123.0043118C
004311A2 2BC3 sub eax,ebx
004311A4 BB 01000000 mov ebx,1
004311A9 75 28 jnz short 123.004311D3
004311AB B9 01000000 mov ecx,1
004311B0 02D2 add dl,dl
004311B2 75 05 jnz short 123.004311B9
004311B4 8A16 mov dl,byte ptr ds:[esi]
004311B6 46 inc esi
004311B7 12D2 adc dl,dl
004311B9 13C9 adc ecx,ecx
004311BB 02D2 add dl,dl
004311BD 75 05 jnz short 123.004311C4
004311BF 8A16 mov dl,byte ptr ds:[esi]
004311C1 46 inc esi
004311C2 12D2 adc dl,dl
004311C4 ^ 72 EA jb short 123.004311B0
004311C6 56 push esi
004311C7 8BF7 mov esi,edi
004311C9 2BF5 sub esi,ebp
004311CB F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
004311CD 5E pop esi
004311CE ^ E9 4FFFFFFF jmp 123.00431122
004311D3 48 dec eax
004311D4 C1E0 08 shl eax,8
004311D7 8A06 mov al,byte ptr ds:[esi]
004311D9 46 inc esi
004311DA 8BE8 mov ebp,eax
004311DC B9 01000000 mov ecx,1
004311E1 02D2 add dl,dl
004311E3 75 05 jnz short 123.004311EA
004311E5 8A16 mov dl,byte ptr ds:[esi]
004311E7 46 inc esi
004311E8 12D2 adc dl,dl
004311EA 13C9 adc ecx,ecx
004311EC 02D2 add dl,dl
004311EE 75 05 jnz short 123.004311F5
004311F0 8A16 mov dl,byte ptr ds:[esi]
004311F2 46 inc esi
004311F3 12D2 adc dl,dl
004311F5 ^ 72 EA jb short 123.004311E1
004311F7 3D 007D0000 cmp eax,7D00
004311FC 73 1A jnb short 123.00431218
004311FE 3D 00050000 cmp eax,500
00431203 72 0E jb short 123.00431213
00431205 41 inc ecx
00431206 56 push esi
00431207 8BF7 mov esi,edi
00431209 2BF0 sub esi,eax
0043120B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
0043120D 5E pop esi
0043120E ^ E9 0FFFFFFF jmp 123.00431122
00431213 83F8 7F cmp eax,7F
00431216 77 03 ja short 123.0043121B
00431218 83C1 02 add ecx,2
0043121B 56 push esi
0043121C 8BF7 mov esi,edi
0043121E 2BF0 sub esi,eax
00431220 F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
00431222 5E pop esi
00431223 ^ E9 FAFEFFFF jmp 123.00431122
00431228 8A06 mov al,byte ptr ds:[esi]
0043122A 46 inc esi
0043122B 33C9 xor ecx,ecx
0043122D C0E8 01 shr al,1
00431230 74 17 je short 123.00431249
00431232 83D1 02 adc ecx,2
00431235 8BE8 mov ebp,eax
00431237 56 push esi
00431238 8BF7 mov esi,edi
0043123A 2BF0 sub esi,eax
0043123C F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
0043123E 5E pop esi
0043123F BB 01000000 mov ebx,1
00431244 ^ E9 D9FEFFFF jmp 123.00431122
00431249 2B7C24 28 sub edi,dword ptr ss:[esp+28]
0043124D 897C24 1C mov dword ptr ss:[esp+1C],edi
00431251 61 popad
00431252 C2 0800 retn 8
00431255 E9 E05A0D00 jmp 123.00506D3A
0043125A - E9 38882B52 jmp 526E9A97
0043125F 01AB FCF27011 add dword ptr ds:[ebx+1170F2FC],ebp
00431265 8D75 D6 lea esi,dword ptr ss:[ebp-2A]
00431268 45 inc ebp
00431269 92 xchg eax,edx
0043126A C2 37D7 retn 0D737
0043126D 79 01 jns short 123.00431270
0043126F C2 3DF0 retn 0F03D
00431272 20B7 5C025CAE and byte ptr ds:[edi+AE5C025C],dh
00431278 FA cli
00431279 D001 rol byte ptr ds:[ecx],1
0043127B AF scas dword ptr es:[edi]
0043127C 8835 B842AFBC mov byte ptr ds:[BCAF42B8],dh
00431282 118B 842AFF22 adc dword ptr ds:[ebx+22FF2A84],ecx
00431288 ^ 71 E1 jno short 123.0043126B
0043128A 0ABA F2982E11 or bh,byte ptr ds:[edx+112E98F2]
00431290 BF 2133EE11 mov edi,11EE3321
00431295 C052 65 73 rcl byte ptr ds:[edx+65],73
00431299 74 61 je short 123.004312FC
0043129B 73 72 jnb short 123.0043130F
0043129D 3841 70 cmp byte ptr ds:[ecx+70],al
004312A0 BD 2E3E7870 mov ebp,70783E2E
004312A5 8DFD lea edi,ebp ; 非法使用寄存器
004312A7 F601 54 test byte ptr ds:[ecx],54
004312AA 68 656D6964 push 64696D65
004312AF 61 popad
004312B0 C2 175D retn 5D17
004312B3 50 push eax
004312B4 E0 48 loopdne short 123.004312FE
004312B6 E1 0F loopde short 123.004312C7
004312B8 AB stos dword ptr es:[edi]
004312B9 EC in al,dx
004312BA 228E E11EFC8B and cl,byte ptr ds:[esi+8BFC1EE1]
004312C0 ^ 72 C5 jb short 123.00431287
004312C2 1C D4 sbb al,0D4
004312C4 60 pushad
004312C5 E8 22005D81 call 81A012EC
004312CA ED in eax,dx
004312CB 97 xchg eax,edi
004312CC 2BC1 sub eax,ecx
004312CE 06 push es
004312CF 8918 mov dword ptr ds:[eax],ebx
004312D1 95 xchg eax,ebp
004312D2 E1 09 loopde short 123.004312DD
004312D4 0D B51DE113 or eax,13E11DB5
004312D9 85EA test edx,ebp
004312DB 1800 sbb byte ptr ds:[eax],al
004312DD 83BD 310A8380 74 cmp dword ptr ss:[ebp+80830A31],74
004312E4 0C 8B or al,8B
004312E6 ^ 72 E8 jb short 123.004312D0
004312E8 2D E2B8E931 sub eax,31E9B8E2
004312ED C2 EF1C retn 1CEF
004312F0 70 44 jo short 123.00431336
004312F2 24 73 and al,73
004312F4 3E:F9 stc
004312F6 F4 hlt
004312F7 016A 45 add dword ptr ds:[edx+45],ebp
004312FA E8 A3812968 call 686C94A2
004312FF 9A 748307E9 DF40 call far 40DF:E9078374
00431306 0A25 4B897A0A or ah,byte ptr ds:[A7A894B]
0043130C 44 inc esp
0043130D D5 E9 aad 0E9
0043130F 5B pop ebx
00431310 5A pop edx
00431311 CA 5FFA retf 0FA5F
00431314 0155 8B add dword ptr ss:[ebp-75],edx
00431317 EC in al,dx
00431318 83C4 D8 add esp,-28
0043131B 58 pop eax
0043131C EE out dx,al
0043131D 5A pop edx
0043131E 0881 EA852C01 or byte ptr ds:[ecx+12C85EA],al
00431324 8BDA mov ebx,edx
00431326 C745 D8 2308630E mov dword ptr ss:[ebp-28],0E630823
0043132D 40 inc eax
0043132E 891F mov dword ptr ds:[edi],ebx
00431330 0881 7D98801D or byte ptr ds:[ecx+1D80987D],al
00431336 74 0F je short 123.00431347
00431338 CF iretd
00431339 2008 and byte ptr ds:[eax],cl
0043133B E4 83 in al,83
0043133D EF out dx,eax
0043133E 93 xchg eax,ebx
0043133F 10FF adc bh,bh
00431341 0C 12 or al,12
00431343 43 inc ebx
00431344 ^ EB E1 jmp short 123.00431327
00431346 36:DC6E 61 fsubr qword ptr ss:[esi+61]
0043134A 26:82C9 C2 or cl,FFFFFFC2
0043134E 04 80 add al,80
00431350 46 inc esi
00431351 81C4 7CFFD102 add esp,2D1FF7C
00431357 49 dec ecx
00431358 C8 CE808D enter 80CE,8D
0043135C 45 inc ebp
0043135D 808B 5D0828C7 85 or byte ptr ds:[ebx+C728085D],85
00431364 1989 508D400A sbb dword ptr ds:[ecx+A408D50],ecx
0043136A D1C3 rol ebx,1
0043136C 8815 1841890B mov byte ptr ds:[B894118],dl
00431372 14 81 adc al,81
00431374 BD 06405D75 mov ebp,755D4006
00431379 52 push edx
0043137A E3 27 jecxz short 123.004313A3
0043137C 858D BA1D6480 test dword ptr ss:[ebp+80641DBA],ecx
00431382 ^ 75 80 jnz short 123.00431304
00431384 8A0E mov cl,byte ptr ds:[esi]
00431386 BB F4922D01 mov ebx,12D92F4
0043138B B8 AB375478 mov eax,785437AB
00431390 D3D0 rcl eax,cl
00431392 F9 stc
00431393 - 0F87 084B75F7 ja F7B85EA1
00431399 60 pushad
0043139A AF scas dword ptr es:[edi]
0043139B C3 retn
0043139C 47 inc edi
0043139D 46 inc esi
0043139E A4 movs byte ptr es:[edi],byte ptr ds:[esi]
0043139F 4A dec edx
004313A0 8C46 54 mov word ptr ds:[esi+54],es
004313A3 F9 stc
004313A4 42 inc edx
004313A5 D152 61 rcl dword ptr ds:[edx+61],1
004313A8 8A38 mov bh,byte ptr ds:[eax]
004313AA B9 307085BD mov ecx,BD857030
004313AF 5A pop edx
004313B0 2D 80FE0F04 sub eax,40FFE80
004313B5 47 inc edi
004313B6 49 dec ecx
004313B7 ^ 75 FA jnz short 123.004313B3
004313B9 B9 C3486AB8 mov ecx,B86A48C3
004313BE BB 01110E04 mov ebx,40E1101
004313C3 F1 int1
004313C4 82EB DB sub bl,-25
004313C7 02B0 8E867607 add dh,byte ptr ds:[eax+776868E]
004313CD 2F das
004313CE C2 0751 retn 5107
004313D1 65:07 pop es
004313D3 36:E8 BB9D8A26 call 26CDB194
004313D9 E2 7C loopd short 123.00431457
004313DB - E9 8859B43E jmp 3EF76D68
004313E0 B3 6B mov bl,6B
004313E2 BD 54B00417 mov ebp,1704B054
004313E7 215CC4 E4 and dword ptr ss:[esp+eax*8-1C],ebx
004313EB 8A06 mov al,byte ptr ds:[esi]
004313ED 5D pop ebp
004313EE 25 05824508 and eax,8458205
004313F3 60 pushad
004313F4 1B21 sbb esp,dword ptr ds:[ecx]
004313F6 44 inc esp
004313F7 54 push esp
004313F8 C431 les esi,fword ptr ds:[ecx]
004313FA 004D 7A add byte ptr ss:[ebp+7A],cl
004313FD 6E outs dx,byte ptr es:[edi]
004313FE 4C dec esp
004313FF F3:6F rep outs dx,dword ptr es:[edi]
00431401 67:8C19 mov word ptr ds:[bx+di],ds
00431404 DF2CC3 fild qword ptr ds:[ebx+eax*8]
00431407 0ADB or bl,bl
00431409 9B wait
0043140A 6E outs dx,byte ptr es:[edi]
0043140B F1 int1
0043140C D023 shl byte ptr ds:[ebx],1
0043140E 5E pop esi
0043140F 52 push edx
00431410 0E push cs
00431411 5A pop edx
00431412 C4448A 4D les eax,fword ptr ds:[edx+ecx*4+4D]
00431416 6215 204252C4 bound edx,qword ptr ds:[C4524220]
0043141C E0 30 loopdne short 123.0043144E
0043141E EA 06133A21 32EE jmp far EE32:213A1306
00431425 BC F414C015 mov esp,15C014F4
0043142A F3: prefix rep:
0043142B D4 4E aam 4E
0043142D 42 inc edx
0043142E 67:0073 4D add byte ptr ss:[bp+di+4D],dh
00431432 04 58 add al,58
00431434 8D9A B26E0054 lea ebx,dword ptr ds:[edx+54006EB2]
0043143A 020C8A add cl,byte ptr ds:[edx+ecx*4]
0043143D 29F3 sub ebx,esi
0043143F 8CCB mov bx,cs
00431441 70 34 jo short 123.00431477
00431443 0067 82 add byte ptr ds:[edi-7E],ah
00431446 394E 5B cmp dword ptr ds:[esi+5B],ecx
00431449 76 0F jbe short 123.0043145A
0043144B 1007 adc byte ptr ds:[edi],al
0043144D B8 513D04D1 mov eax,D1043D51
00431452 C7 ??? ; 未知命令
00431453 3B66 46 cmp esp,dword ptr ds:[esi+46]
00431456 54 push esp
00431457 14 75 adc al,75
00431459 092E or dword ptr ds:[esi],ebp
0043145B AE scas byte ptr es:[edi]
0043145C 60 pushad
0043145D 0E push cs
0043145E 48 dec eax
0043145F EC in al,dx
00431460 E4 65 in al,65
00431462 51 push ecx
00431463 90 nop
00431464 44 inc esp
00431465 F4 hlt
00431466 84C5 test ch,al
00431468 0A05 8E9689B5 or al,byte ptr ds:[B589968E]
0043146E 91 xchg eax,ecx
0043146F 53 push ebx
00431470 E1 04 loopde short 123.00431476
00431472 C2 5029 retn 2950
00431475 8C31 mov word ptr ds:[ecx],seg? ; 不明确的段位寄存器
00431477 8268 E7 0C sub byte ptr ds:[eax-19],0C
0043147B 8D00 lea eax,dword ptr ds:[eax]
0043147D 34 C1 xor al,0C1
0043147F 84F9 test cl,bh
00431481 3375 64 xor esi,dword ptr ss:[ebp+64]
00431484 20A43F 1DDD0A99 and byte ptr ds:[edi+edi+990ADD1D],ah
0043148B EF out dx,eax
0043148C 2802 sub byte ptr ds:[edx],al
0043148E CC int3
0043148F 41 inc ecx
00431490 EC in al,dx
00431491 ^ E2 8C loopd short 123.0043141F
00431493 67:7F B4 jg short 123.0043144A
00431496 FFE4 jmp esp
00431498 40 inc eax
00431499 3345 FA xor eax,dword ptr ss:[ebp-6]
0043149C - E9 94540A62 jmp 624D6935
004314A1 C452 8C les edx,fword ptr ds:[edx-74]
004314A4 B4 02 mov ah,2
004314A6 1182 AAB18C11 adc dword ptr ds:[edx+118CB1AA],eax
004314AC 93 xchg eax,ebx
004314AD 5A pop edx
004314AE D08413 8956180F rol byte ptr ds:[ebx+edx+F185689],1
004314B5 5E pop esi
004314B6 8235 EE94EB08 30 xor byte ptr ds:[8EB94EE],30
004314BD 52 push edx
004314BE 9F lahf
004314BF 8A54B9 13 mov dl,byte ptr ds:[ecx+edi*4+13]
004314C3 40 inc eax
004314C4 2397 A5430A10 and edx,dword ptr ds:[edi+100A43A5]
004314CA 82FE 4A cmp dh,4A
004314CD 0E push cs
004314CE 14 D9 adc al,0D9
004314D0 ^ E3 C0 jecxz short 123.00431492
004314D2 7A 30 jpe short 123.00431504
004314D4 54 push esp
004314D5 4C dec esp
004314D6 - E9 009F2E12 jmp 1271B3DB
004314DB 1C 34 sbb al,34
004314DD 0B40 65 or eax,dword ptr ds:[eax+65]
004314E0 0082 41A643BD add byte ptr ds:[edx+BD43A641],al
004314E6 05 8A86F021 add eax,21F0868A
004314EB C2 7A57 retn 577A
004314EE 1083 9028DB5C adc byte ptr ds:[ebx+5CDB2890],al
004314F4 C422 les esp,fword ptr ds:[edx]
004314F6 DE26 fisub word ptr ds:[esi]
004314F8 06 push es
004314F9 - E9 0F1F766B jmp 6BB9340D
004314FE 0088 475D8EDD add byte ptr ds:[eax+DD8E5D47],cl
00431504 2D 12A5003B sub eax,3B00A512
00431509 C9 leave
0043150A CC int3
0043150B 9D popfd
0043150C FA cli
0043150D 5B pop ebx
0043150E 1081 AA848080 adc byte ptr ds:[ecx+808084AA],al
00431514 82F7 FD xor bh,FFFFFFFD
00431517 3E: prefix ds:
00431518 3E:07 pop es
0043151A 18A8 89631F60 sbb byte ptr ds:[eax+601F6389],ch
00431520 B8 33CFC309 mov eax,9C3CF33
00431525 F0:61 lock popad ; 不允许锁定前缀
00431527 C42CCA les ebp,fword ptr ds:[edx+ecx*8]
0043152A C0CC AA ror ah,0AA
0043152D 28FE sub dh,bh
0043152F 8138 E4950335 cmp dword ptr ds:[eax],350395E4
00431535 1259 EA adc bl,byte ptr ds:[ecx-16]
00431538 0C 7F or al,7F
0043153A 3D 00621FD7 cmp eax,D71F6200
0043153F 5F pop edi
00431540 55 push ebp
00431541 690F 3600D5EC imul ecx,dword ptr ds:[edi],ECD50036
00431547 B4 96 mov ah,96
00431549 82F1 8F xor cl,FFFFFF8F
0043154C 2C 14 sub al,14
0043154E 4B dec ebx
0043154F 2B8B EA780170 sub ecx,dword ptr ds:[ebx+700178EA]
00431555 4D dec ebp
00431556 C9 leave
00431557 32FD xor bh,ch
00431559 - E9 0E8043FC jmp FC86956C
0043155E 64:DAF8 fidivr eax ; 非法使用寄存器
00431561 D5 2E aad 2E
00431563 00A0 8B33C2AF add byte ptr ds:[eax+AFC2338B],ah
00431569 0FA460 00 82 shld dword ptr ds:[eax],esp,82
0043156E C1B8 929A1567 BC sar dword ptr ds:[eax+67159A92],0BC
00431575 03D2 add edx,edx
00431577 A6 cmps byte ptr ds:[esi],byte ptr es:[edi]
00431578 8A05 0BFAB8CD mov al,byte ptr ds:[CDB8FA0B]
0043157E 29EF sub edi,ebp
00431580 50 push eax
00431581 47 inc edi
00431582 92 xchg eax,edx
00431583 F9 stc
00431584 A8 95 test al,95
00431586 82EA 0E sub dl,0E
00431589 36:04 2C add al,2C
0043158C ^ 71 B4 jno short 123.00431542
0043158E 7E 0F jle short 123.0043159F
00431590 D35B 3A rcr dword ptr ds:[ebx+3A],cl
00431593 ^ E0 8E loopdne short 123.00431523
00431595 FB sti
00431596 CE into
00431597 B4 CB mov ah,0CB
部分代码:
00431000 69B7 8F81D13B 04>imul esi,dword ptr ds:[edi+3BD1818F],E71100>
0043100A 04 00 add al,0
0043100C 72 21 jb short 123.0043102F
0043100E 06 push es
0043100F 0000 add byte ptr ds:[eax],al
00431011 0000 add byte ptr ds:[eax],al
00431013 00B8 00000000 add byte ptr ds:[eax],bh办OD载入后停在这里
00431019 60 pushad
0043101A 0BC0 or eax,eax
0043101C 74 58 je short 123.00431076
0043101E E8 00000000 call 123.00431023
00431023 58 pop eax
00431024 05 43000000 add eax,43
00431029 8038 E9 cmp byte ptr ds:[eax],0E9
0043102C 75 03 jnz short 123.00431031
0043102E 61 popad
0043102F EB 35 jmp short 123.00431066
00431031 E8 00000000 call 123.00431036
00431036 58 pop eax
00431037 25 00F0FFFF and eax,FFFFF000
0043103C 33FF xor edi,edi
0043103E 66:BB 195A mov bx,5A19
00431042 66:83C3 34 add bx,34
00431046 66:3918 cmp word ptr ds:[eax],bx
00431049 75 12 jnz short 123.0043105D
0043104B 0FB750 3C movzx edx,word ptr ds:[eax+3C]
0043104F 03D0 add edx,eax
00431051 BB E9440000 mov ebx,44E9
00431056 83C3 67 add ebx,67
00431059 391A cmp dword ptr ds:[edx],ebx
0043105B 74 07 je short 123.00431064
0043105D 2D 00100000 sub eax,1000
00431062 ^ EB DA jmp short 123.0043103E
00431064 8BF8 mov edi,eax
00431066 B8 3A6D1000 mov eax,106D3A
0043106B 03C7 add eax,edi
0043106D B9 5A120300 mov ecx,3125A
00431072 03CF add ecx,edi
00431074 EB 0A jmp short 123.00431080
00431076 B8 3A6D5000 mov eax,123.00506D3A
0043107B B9 5A124300 mov ecx,123.0043125A
00431080 50 push eax
00431081 51 push ecx
00431082 E8 84000000 call 123.0043110B
00431087 E8 00000000 call 123.0043108C
0043108C 58 pop eax
0043108D 2D 26000000 sub eax,26
00431092 B9 EF010000 mov ecx,1EF
00431097 C600 E9 mov byte ptr ds:[eax],0E9
0043109A 83E9 05 sub ecx,5
0043109D 8948 01 mov dword ptr ds:[eax+1],ecx
004310A0 61 popad
004310A1 E9 AF010000 jmp 123.00431255
004310A6 190B sbb dword ptr ds:[ebx],ecx
004310A8 8542 A5 test dword ptr ds:[edx-5B],eax
004310AB 90 nop
004310AC 48 dec eax
004310AD A3 998FF44E mov dword ptr ds:[4EF48F99],eax
004310B2 7D 01 jge short 123.004310B5
004310B4 46 inc esi
004310B5 53 push ebx
004310B6 3A65 81 cmp ah,byte ptr ss:[ebp-7F]
004310B9 6B6F 67 40 imul ebp,dword ptr ds:[edi+67],40
004310BD 2010 and byte ptr ds:[eax],dl
004310BF 080402 or byte ptr ds:[edx+eax],al
004310C2 80BF 5F2F170B 85 cmp byte ptr ds:[edi+B172F5F],85
004310C9 42 inc edx
004310CA 2190 48A351A8 and dword ptr ds:[eax+A851A348],edx
004310D0 D369 B4 shr dword ptr ds:[ecx-4C],cl
004310D3 DA6CB6 5A fisubr dword ptr ds:[esi+esi*4+5A]
004310D7 2D 160A0582 sub eax,82050A16
004310DC 40 inc eax
004310DD 2010 and byte ptr ds:[eax],dl
004310DF 08CF or bh,cl
004310E1 2B49 99 sub ecx,dword ptr ds:[ecx-67]
004310E4 AF scas dword ptr es:[edi]
004310E5 86F2 xchg dl,dh
004310E7 39B3 E5449048 cmp dword ptr ds:[ebx+489044E5],esi
004310ED A3 51A8D369 mov dword ptr ds:[69D3A851],eax
004310F2 B4 DA mov ah,0DA
004310F4 6C ins byte ptr es:[edi],dx
004310F5 B6 5A mov dh,5A
004310F7 2D 160A0582 sub eax,82050A16
004310FC 40 inc eax
004310FD 2010 and byte ptr ds:[eax],dl
004310FF 080402 or byte ptr ds:[edx+eax],al
00431102 80BF 5F2F170B 84 cmp byte ptr ds:[edi+B172F5F],84
00431109 42 inc edx
0043110A 2160 8B and dword ptr ds:[eax-75],esp
0043110D 74 24 je short 123.00431133
0043110F 24 8B and al,8B
00431111 7C 24 jl short 123.00431137
00431113 28FC sub ah,bh
00431115 B2 80 mov dl,80
00431117 8A06 mov al,byte ptr ds:[esi]
00431119 46 inc esi
0043111A 8807 mov byte ptr ds:[edi],al
0043111C 47 inc edi
0043111D BB 02000000 mov ebx,2
00431122 02D2 add dl,dl
00431124 75 05 jnz short 123.0043112B
00431126 8A16 mov dl,byte ptr ds:[esi]
00431128 46 inc esi
00431129 12D2 adc dl,dl
0043112B ^ 73 EA jnb short 123.00431117
0043112D 02D2 add dl,dl
0043112F 75 05 jnz short 123.00431136
00431131 8A16 mov dl,byte ptr ds:[esi]
00431133 46 inc esi
00431134 12D2 adc dl,dl
00431136 73 4F jnb short 123.00431187
00431138 33C0 xor eax,eax
0043113A 02D2 add dl,dl
0043113C 75 05 jnz short 123.00431143
0043113E 8A16 mov dl,byte ptr ds:[esi]
00431140 46 inc esi
00431141 12D2 adc dl,dl
00431143 0F83 DF000000 jnb 123.00431228
00431149 02D2 add dl,dl
0043114B 75 05 jnz short 123.00431152
0043114D 8A16 mov dl,byte ptr ds:[esi]
0043114F 46 inc esi
00431150 12D2 adc dl,dl
00431152 13C0 adc eax,eax
00431154 02D2 add dl,dl
00431156 75 05 jnz short 123.0043115D
00431158 8A16 mov dl,byte ptr ds:[esi]
0043115A 46 inc esi
0043115B 12D2 adc dl,dl
0043115D 13C0 adc eax,eax
0043115F 02D2 add dl,dl
00431161 75 05 jnz short 123.00431168
00431163 8A16 mov dl,byte ptr ds:[esi]
00431165 46 inc esi
00431166 12D2 adc dl,dl
00431168 13C0 adc eax,eax
0043116A 02D2 add dl,dl
0043116C 75 05 jnz short 123.00431173
0043116E 8A16 mov dl,byte ptr ds:[esi]
00431170 46 inc esi
00431171 12D2 adc dl,dl
00431173 13C0 adc eax,eax
00431175 74 06 je short 123.0043117D
00431177 57 push edi
00431178 2BF8 sub edi,eax
0043117A 8A07 mov al,byte ptr ds:[edi]
0043117C 5F pop edi
0043117D 8807 mov byte ptr ds:[edi],al
0043117F 47 inc edi
00431180 BB 02000000 mov ebx,2
00431185 ^ EB 9B jmp short 123.00431122
00431187 B8 01000000 mov eax,1
0043118C 02D2 add dl,dl
0043118E 75 05 jnz short 123.00431195
00431190 8A16 mov dl,byte ptr ds:[esi]
00431192 46 inc esi
00431193 12D2 adc dl,dl
00431195 13C0 adc eax,eax
00431197 02D2 add dl,dl
00431199 75 05 jnz short 123.004311A0
0043119B 8A16 mov dl,byte ptr ds:[esi]
0043119D 46 inc esi
0043119E 12D2 adc dl,dl
004311A0 ^ 72 EA jb short 123.0043118C
004311A2 2BC3 sub eax,ebx
004311A4 BB 01000000 mov ebx,1
004311A9 75 28 jnz short 123.004311D3
004311AB B9 01000000 mov ecx,1
004311B0 02D2 add dl,dl
004311B2 75 05 jnz short 123.004311B9
004311B4 8A16 mov dl,byte ptr ds:[esi]
004311B6 46 inc esi
004311B7 12D2 adc dl,dl
004311B9 13C9 adc ecx,ecx
004311BB 02D2 add dl,dl
004311BD 75 05 jnz short 123.004311C4
004311BF 8A16 mov dl,byte ptr ds:[esi]
004311C1 46 inc esi
004311C2 12D2 adc dl,dl
004311C4 ^ 72 EA jb short 123.004311B0
004311C6 56 push esi
004311C7 8BF7 mov esi,edi
004311C9 2BF5 sub esi,ebp
004311CB F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
004311CD 5E pop esi
004311CE ^ E9 4FFFFFFF jmp 123.00431122
004311D3 48 dec eax
004311D4 C1E0 08 shl eax,8
004311D7 8A06 mov al,byte ptr ds:[esi]
004311D9 46 inc esi
004311DA 8BE8 mov ebp,eax
004311DC B9 01000000 mov ecx,1
004311E1 02D2 add dl,dl
004311E3 75 05 jnz short 123.004311EA
004311E5 8A16 mov dl,byte ptr ds:[esi]
004311E7 46 inc esi
004311E8 12D2 adc dl,dl
004311EA 13C9 adc ecx,ecx
004311EC 02D2 add dl,dl
004311EE 75 05 jnz short 123.004311F5
004311F0 8A16 mov dl,byte ptr ds:[esi]
004311F2 46 inc esi
004311F3 12D2 adc dl,dl
004311F5 ^ 72 EA jb short 123.004311E1
004311F7 3D 007D0000 cmp eax,7D00
004311FC 73 1A jnb short 123.00431218
004311FE 3D 00050000 cmp eax,500
00431203 72 0E jb short 123.00431213
00431205 41 inc ecx
00431206 56 push esi
00431207 8BF7 mov esi,edi
00431209 2BF0 sub esi,eax
0043120B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
0043120D 5E pop esi
0043120E ^ E9 0FFFFFFF jmp 123.00431122
00431213 83F8 7F cmp eax,7F
00431216 77 03 ja short 123.0043121B
00431218 83C1 02 add ecx,2
0043121B 56 push esi
0043121C 8BF7 mov esi,edi
0043121E 2BF0 sub esi,eax
00431220 F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
00431222 5E pop esi
00431223 ^ E9 FAFEFFFF jmp 123.00431122
00431228 8A06 mov al,byte ptr ds:[esi]
0043122A 46 inc esi
0043122B 33C9 xor ecx,ecx
0043122D C0E8 01 shr al,1
00431230 74 17 je short 123.00431249
00431232 83D1 02 adc ecx,2
00431235 8BE8 mov ebp,eax
00431237 56 push esi
00431238 8BF7 mov esi,edi
0043123A 2BF0 sub esi,eax
0043123C F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi>
0043123E 5E pop esi
0043123F BB 01000000 mov ebx,1
00431244 ^ E9 D9FEFFFF jmp 123.00431122
00431249 2B7C24 28 sub edi,dword ptr ss:[esp+28]
0043124D 897C24 1C mov dword ptr ss:[esp+1C],edi
00431251 61 popad
00431252 C2 0800 retn 8
00431255 E9 E05A0D00 jmp 123.00506D3A
0043125A - E9 38882B52 jmp 526E9A97
0043125F 01AB FCF27011 add dword ptr ds:[ebx+1170F2FC],ebp
00431265 8D75 D6 lea esi,dword ptr ss:[ebp-2A]
00431268 45 inc ebp
00431269 92 xchg eax,edx
0043126A C2 37D7 retn 0D737
0043126D 79 01 jns short 123.00431270
0043126F C2 3DF0 retn 0F03D
00431272 20B7 5C025CAE and byte ptr ds:[edi+AE5C025C],dh
00431278 FA cli
00431279 D001 rol byte ptr ds:[ecx],1
0043127B AF scas dword ptr es:[edi]
0043127C 8835 B842AFBC mov byte ptr ds:[BCAF42B8],dh
00431282 118B 842AFF22 adc dword ptr ds:[ebx+22FF2A84],ecx
00431288 ^ 71 E1 jno short 123.0043126B
0043128A 0ABA F2982E11 or bh,byte ptr ds:[edx+112E98F2]
00431290 BF 2133EE11 mov edi,11EE3321
00431295 C052 65 73 rcl byte ptr ds:[edx+65],73
00431299 74 61 je short 123.004312FC
0043129B 73 72 jnb short 123.0043130F
0043129D 3841 70 cmp byte ptr ds:[ecx+70],al
004312A0 BD 2E3E7870 mov ebp,70783E2E
004312A5 8DFD lea edi,ebp ; 非法使用寄存器
004312A7 F601 54 test byte ptr ds:[ecx],54
004312AA 68 656D6964 push 64696D65
004312AF 61 popad
004312B0 C2 175D retn 5D17
004312B3 50 push eax
004312B4 E0 48 loopdne short 123.004312FE
004312B6 E1 0F loopde short 123.004312C7
004312B8 AB stos dword ptr es:[edi]
004312B9 EC in al,dx
004312BA 228E E11EFC8B and cl,byte ptr ds:[esi+8BFC1EE1]
004312C0 ^ 72 C5 jb short 123.00431287
004312C2 1C D4 sbb al,0D4
004312C4 60 pushad
004312C5 E8 22005D81 call 81A012EC
004312CA ED in eax,dx
004312CB 97 xchg eax,edi
004312CC 2BC1 sub eax,ecx
004312CE 06 push es
004312CF 8918 mov dword ptr ds:[eax],ebx
004312D1 95 xchg eax,ebp
004312D2 E1 09 loopde short 123.004312DD
004312D4 0D B51DE113 or eax,13E11DB5
004312D9 85EA test edx,ebp
004312DB 1800 sbb byte ptr ds:[eax],al
004312DD 83BD 310A8380 74 cmp dword ptr ss:[ebp+80830A31],74
004312E4 0C 8B or al,8B
004312E6 ^ 72 E8 jb short 123.004312D0
004312E8 2D E2B8E931 sub eax,31E9B8E2
004312ED C2 EF1C retn 1CEF
004312F0 70 44 jo short 123.00431336
004312F2 24 73 and al,73
004312F4 3E:F9 stc
004312F6 F4 hlt
004312F7 016A 45 add dword ptr ds:[edx+45],ebp
004312FA E8 A3812968 call 686C94A2
004312FF 9A 748307E9 DF40 call far 40DF:E9078374
00431306 0A25 4B897A0A or ah,byte ptr ds:[A7A894B]
0043130C 44 inc esp
0043130D D5 E9 aad 0E9
0043130F 5B pop ebx
00431310 5A pop edx
00431311 CA 5FFA retf 0FA5F
00431314 0155 8B add dword ptr ss:[ebp-75],edx
00431317 EC in al,dx
00431318 83C4 D8 add esp,-28
0043131B 58 pop eax
0043131C EE out dx,al
0043131D 5A pop edx
0043131E 0881 EA852C01 or byte ptr ds:[ecx+12C85EA],al
00431324 8BDA mov ebx,edx
00431326 C745 D8 2308630E mov dword ptr ss:[ebp-28],0E630823
0043132D 40 inc eax
0043132E 891F mov dword ptr ds:[edi],ebx
00431330 0881 7D98801D or byte ptr ds:[ecx+1D80987D],al
00431336 74 0F je short 123.00431347
00431338 CF iretd
00431339 2008 and byte ptr ds:[eax],cl
0043133B E4 83 in al,83
0043133D EF out dx,eax
0043133E 93 xchg eax,ebx
0043133F 10FF adc bh,bh
00431341 0C 12 or al,12
00431343 43 inc ebx
00431344 ^ EB E1 jmp short 123.00431327
00431346 36:DC6E 61 fsubr qword ptr ss:[esi+61]
0043134A 26:82C9 C2 or cl,FFFFFFC2
0043134E 04 80 add al,80
00431350 46 inc esi
00431351 81C4 7CFFD102 add esp,2D1FF7C
00431357 49 dec ecx
00431358 C8 CE808D enter 80CE,8D
0043135C 45 inc ebp
0043135D 808B 5D0828C7 85 or byte ptr ds:[ebx+C728085D],85
00431364 1989 508D400A sbb dword ptr ds:[ecx+A408D50],ecx
0043136A D1C3 rol ebx,1
0043136C 8815 1841890B mov byte ptr ds:[B894118],dl
00431372 14 81 adc al,81
00431374 BD 06405D75 mov ebp,755D4006
00431379 52 push edx
0043137A E3 27 jecxz short 123.004313A3
0043137C 858D BA1D6480 test dword ptr ss:[ebp+80641DBA],ecx
00431382 ^ 75 80 jnz short 123.00431304
00431384 8A0E mov cl,byte ptr ds:[esi]
00431386 BB F4922D01 mov ebx,12D92F4
0043138B B8 AB375478 mov eax,785437AB
00431390 D3D0 rcl eax,cl
00431392 F9 stc
00431393 - 0F87 084B75F7 ja F7B85EA1
00431399 60 pushad
0043139A AF scas dword ptr es:[edi]
0043139B C3 retn
0043139C 47 inc edi
0043139D 46 inc esi
0043139E A4 movs byte ptr es:[edi],byte ptr ds:[esi]
0043139F 4A dec edx
004313A0 8C46 54 mov word ptr ds:[esi+54],es
004313A3 F9 stc
004313A4 42 inc edx
004313A5 D152 61 rcl dword ptr ds:[edx+61],1
004313A8 8A38 mov bh,byte ptr ds:[eax]
004313AA B9 307085BD mov ecx,BD857030
004313AF 5A pop edx
004313B0 2D 80FE0F04 sub eax,40FFE80
004313B5 47 inc edi
004313B6 49 dec ecx
004313B7 ^ 75 FA jnz short 123.004313B3
004313B9 B9 C3486AB8 mov ecx,B86A48C3
004313BE BB 01110E04 mov ebx,40E1101
004313C3 F1 int1
004313C4 82EB DB sub bl,-25
004313C7 02B0 8E867607 add dh,byte ptr ds:[eax+776868E]
004313CD 2F das
004313CE C2 0751 retn 5107
004313D1 65:07 pop es
004313D3 36:E8 BB9D8A26 call 26CDB194
004313D9 E2 7C loopd short 123.00431457
004313DB - E9 8859B43E jmp 3EF76D68
004313E0 B3 6B mov bl,6B
004313E2 BD 54B00417 mov ebp,1704B054
004313E7 215CC4 E4 and dword ptr ss:[esp+eax*8-1C],ebx
004313EB 8A06 mov al,byte ptr ds:[esi]
004313ED 5D pop ebp
004313EE 25 05824508 and eax,8458205
004313F3 60 pushad
004313F4 1B21 sbb esp,dword ptr ds:[ecx]
004313F6 44 inc esp
004313F7 54 push esp
004313F8 C431 les esi,fword ptr ds:[ecx]
004313FA 004D 7A add byte ptr ss:[ebp+7A],cl
004313FD 6E outs dx,byte ptr es:[edi]
004313FE 4C dec esp
004313FF F3:6F rep outs dx,dword ptr es:[edi]
00431401 67:8C19 mov word ptr ds:[bx+di],ds
00431404 DF2CC3 fild qword ptr ds:[ebx+eax*8]
00431407 0ADB or bl,bl
00431409 9B wait
0043140A 6E outs dx,byte ptr es:[edi]
0043140B F1 int1
0043140C D023 shl byte ptr ds:[ebx],1
0043140E 5E pop esi
0043140F 52 push edx
00431410 0E push cs
00431411 5A pop edx
00431412 C4448A 4D les eax,fword ptr ds:[edx+ecx*4+4D]
00431416 6215 204252C4 bound edx,qword ptr ds:[C4524220]
0043141C E0 30 loopdne short 123.0043144E
0043141E EA 06133A21 32EE jmp far EE32:213A1306
00431425 BC F414C015 mov esp,15C014F4
0043142A F3: prefix rep:
0043142B D4 4E aam 4E
0043142D 42 inc edx
0043142E 67:0073 4D add byte ptr ss:[bp+di+4D],dh
00431432 04 58 add al,58
00431434 8D9A B26E0054 lea ebx,dword ptr ds:[edx+54006EB2]
0043143A 020C8A add cl,byte ptr ds:[edx+ecx*4]
0043143D 29F3 sub ebx,esi
0043143F 8CCB mov bx,cs
00431441 70 34 jo short 123.00431477
00431443 0067 82 add byte ptr ds:[edi-7E],ah
00431446 394E 5B cmp dword ptr ds:[esi+5B],ecx
00431449 76 0F jbe short 123.0043145A
0043144B 1007 adc byte ptr ds:[edi],al
0043144D B8 513D04D1 mov eax,D1043D51
00431452 C7 ??? ; 未知命令
00431453 3B66 46 cmp esp,dword ptr ds:[esi+46]
00431456 54 push esp
00431457 14 75 adc al,75
00431459 092E or dword ptr ds:[esi],ebp
0043145B AE scas byte ptr es:[edi]
0043145C 60 pushad
0043145D 0E push cs
0043145E 48 dec eax
0043145F EC in al,dx
00431460 E4 65 in al,65
00431462 51 push ecx
00431463 90 nop
00431464 44 inc esp
00431465 F4 hlt
00431466 84C5 test ch,al
00431468 0A05 8E9689B5 or al,byte ptr ds:[B589968E]
0043146E 91 xchg eax,ecx
0043146F 53 push ebx
00431470 E1 04 loopde short 123.00431476
00431472 C2 5029 retn 2950
00431475 8C31 mov word ptr ds:[ecx],seg? ; 不明确的段位寄存器
00431477 8268 E7 0C sub byte ptr ds:[eax-19],0C
0043147B 8D00 lea eax,dword ptr ds:[eax]
0043147D 34 C1 xor al,0C1
0043147F 84F9 test cl,bh
00431481 3375 64 xor esi,dword ptr ss:[ebp+64]
00431484 20A43F 1DDD0A99 and byte ptr ds:[edi+edi+990ADD1D],ah
0043148B EF out dx,eax
0043148C 2802 sub byte ptr ds:[edx],al
0043148E CC int3
0043148F 41 inc ecx
00431490 EC in al,dx
00431491 ^ E2 8C loopd short 123.0043141F
00431493 67:7F B4 jg short 123.0043144A
00431496 FFE4 jmp esp
00431498 40 inc eax
00431499 3345 FA xor eax,dword ptr ss:[ebp-6]
0043149C - E9 94540A62 jmp 624D6935
004314A1 C452 8C les edx,fword ptr ds:[edx-74]
004314A4 B4 02 mov ah,2
004314A6 1182 AAB18C11 adc dword ptr ds:[edx+118CB1AA],eax
004314AC 93 xchg eax,ebx
004314AD 5A pop edx
004314AE D08413 8956180F rol byte ptr ds:[ebx+edx+F185689],1
004314B5 5E pop esi
004314B6 8235 EE94EB08 30 xor byte ptr ds:[8EB94EE],30
004314BD 52 push edx
004314BE 9F lahf
004314BF 8A54B9 13 mov dl,byte ptr ds:[ecx+edi*4+13]
004314C3 40 inc eax
004314C4 2397 A5430A10 and edx,dword ptr ds:[edi+100A43A5]
004314CA 82FE 4A cmp dh,4A
004314CD 0E push cs
004314CE 14 D9 adc al,0D9
004314D0 ^ E3 C0 jecxz short 123.00431492
004314D2 7A 30 jpe short 123.00431504
004314D4 54 push esp
004314D5 4C dec esp
004314D6 - E9 009F2E12 jmp 1271B3DB
004314DB 1C 34 sbb al,34
004314DD 0B40 65 or eax,dword ptr ds:[eax+65]
004314E0 0082 41A643BD add byte ptr ds:[edx+BD43A641],al
004314E6 05 8A86F021 add eax,21F0868A
004314EB C2 7A57 retn 577A
004314EE 1083 9028DB5C adc byte ptr ds:[ebx+5CDB2890],al
004314F4 C422 les esp,fword ptr ds:[edx]
004314F6 DE26 fisub word ptr ds:[esi]
004314F8 06 push es
004314F9 - E9 0F1F766B jmp 6BB9340D
004314FE 0088 475D8EDD add byte ptr ds:[eax+DD8E5D47],cl
00431504 2D 12A5003B sub eax,3B00A512
00431509 C9 leave
0043150A CC int3
0043150B 9D popfd
0043150C FA cli
0043150D 5B pop ebx
0043150E 1081 AA848080 adc byte ptr ds:[ecx+808084AA],al
00431514 82F7 FD xor bh,FFFFFFFD
00431517 3E: prefix ds:
00431518 3E:07 pop es
0043151A 18A8 89631F60 sbb byte ptr ds:[eax+601F6389],ch
00431520 B8 33CFC309 mov eax,9C3CF33
00431525 F0:61 lock popad ; 不允许锁定前缀
00431527 C42CCA les ebp,fword ptr ds:[edx+ecx*8]
0043152A C0CC AA ror ah,0AA
0043152D 28FE sub dh,bh
0043152F 8138 E4950335 cmp dword ptr ds:[eax],350395E4
00431535 1259 EA adc bl,byte ptr ds:[ecx-16]
00431538 0C 7F or al,7F
0043153A 3D 00621FD7 cmp eax,D71F6200
0043153F 5F pop edi
00431540 55 push ebp
00431541 690F 3600D5EC imul ecx,dword ptr ds:[edi],ECD50036
00431547 B4 96 mov ah,96
00431549 82F1 8F xor cl,FFFFFF8F
0043154C 2C 14 sub al,14
0043154E 4B dec ebx
0043154F 2B8B EA780170 sub ecx,dword ptr ds:[ebx+700178EA]
00431555 4D dec ebp
00431556 C9 leave
00431557 32FD xor bh,ch
00431559 - E9 0E8043FC jmp FC86956C
0043155E 64:DAF8 fidivr eax ; 非法使用寄存器
00431561 D5 2E aad 2E
00431563 00A0 8B33C2AF add byte ptr ds:[eax+AFC2338B],ah
00431569 0FA460 00 82 shld dword ptr ds:[eax],esp,82
0043156E C1B8 929A1567 BC sar dword ptr ds:[eax+67159A92],0BC
00431575 03D2 add edx,edx
00431577 A6 cmps byte ptr ds:[esi],byte ptr es:[edi]
00431578 8A05 0BFAB8CD mov al,byte ptr ds:[CDB8FA0B]
0043157E 29EF sub edi,ebp
00431580 50 push eax
00431581 47 inc edi
00431582 92 xchg eax,edx
00431583 F9 stc
00431584 A8 95 test al,95
00431586 82EA 0E sub dl,0E
00431589 36:04 2C add al,2C
0043158C ^ 71 B4 jno short 123.00431542
0043158E 7E 0F jle short 123.0043159F
00431590 D35B 3A rcr dword ptr ds:[ebx+3A],cl
00431593 ^ E0 8E loopdne short 123.00431523
00431595 FB sti
00431596 CE into
00431597 B4 CB mov ah,0CB
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
赞赏
他的文章
- [求助]进程隐藏,如何附加 4742
- [推荐]WinLicense 1.8.2.0手脱教程 2963
- [推荐]国外网站弄的UnThemida3.0,不知道对大家有没有用 7844
- [求助]如何下条件断点 3513
- [求助]检测程序是否被loader 3568
看原图
赞赏
雪币:
留言: