一开始是55,用ESP定律,不管用了,用PEid的deep查看是UPX 0.80 - 1.24 DLL -> Markus & Laszlo,但是用任何UPX脱壳工具都脱不了,软件直接运行会有一个探出窗口说是试用版本,但是跟踪就没有那个弹出窗口。
00788000 I> 55 push ebp
00788001 0F87 05000000 ja IUBuilde.0078800C
00788007 66:81D6 5359 adc si,5953
0078800C FC cld
0078800D 87F9 xchg ecx,edi
0078800F 0BFB or edi,ebx
00788011 66:D3C9 ror cx,cl
00788014 87C7 xchg edi,eax
00788016 50 push eax
00788017 E8 01000000 call IUBuilde.0078801D
0078801C - 79 83 jns short IUBuilde.00787FA1
0078801E C40458 les eax,fword ptr ds:[eax+ebx*2]
00788021 66:13C8 adc cx,ax
00788024 E8 01000000 call IUBuilde.0078802A
00788029 7A 83 jpe short IUBuilde.00787FAE
0078802B 04 24 add al,24
0078802D 06 push es
0078802E C3 retn
0078802F 77 01 ja short IUBuilde.00788032
00788031 F8 clc
00788032 BB 6E807800 mov ebx,IUBuilde.0078806E
00788037 B8 352DE85A mov eax,5AE82D35
0078803C BA 39DDE67C mov edx,7CE6DD39
00788041 F9 stc
00788042 81F2 29DDE67C xor edx,7CE6DD29
00788048 8B2B mov ebp,dword ptr ds:[ebx]
0078804A 33E8 xor ebp,eax
0078804C C1C5 17 rol ebp,17
0078804F 83EB FC sub ebx,-4
00788052 332B xor ebp,dword ptr ds:[ebx]
00788054 83C3 FC add ebx,-4
00788057 892B mov dword ptr ds:[ebx],ebp
00788059 81F0 5AA12161 xor eax,6121A15A
0078805F 81C3 04000000 add ebx,4
00788065 83EA 01 sub edx,1
00788068 ^ 0F85 DAFFFFFF jnz IUBuilde.00788048
0078806E C3 retn
0078806F - 72 82 jb short IUBuilde.00787FF3
00788071 5D pop ebp
00788072 47 inc edi
00788073 0083 8346DD04 add byte ptr ds:[ebx+4DD4683],al
00788079 ^ 7C D3 jl short IUBuilde.0078804E
0078807B B1 98 mov cl,98
0078807D D5 1B aad 1B
0078807F E2 28 loopd short IUBuilde.007880A9
00788081 65:78 15 js short IUBuilde.00788099
00788084 FB sti
00788085 E4 43 in al,43
00788087 1BEC sbb ebp,esp
00788089 8B1B mov ebx,dword ptr ds:[ebx]
0078808B 820E 10 or byte ptr ds:[esi],10
0078808E 51 push ecx
0078808F 62D6 bound edx,esi ; 非法使用寄存器
00788091 CB retf
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课