求高手解答，这一段检测加密狗如何跳出-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 求高手解答，这一段检测加密狗如何跳出 0.00雪花

发表于: 2016-10-24 14:04 2535

[旧帖] 求高手解答，这一段检测加密狗如何跳出 0.00雪花

zyxlxj

2016-10-24 14:04

2535

0012FDBD 139C01 8C889C01    adc    ebx, dword ptr [ecx+eax+19C888C]
0012FDC4 AB                stos dword ptr es:[edi]
0012FDC5 B0 77             mov    al, 77
0012FDC7 0020             add    byte ptr [eax], ah
0012FDC9 FE                ???                                        ; 未知命令
0012FDCA 1200             adc    al, byte ptr [eax]
0012FDCC BE B07700E4       mov    esi, E40077B0
0012FDD1 FD                std
0012FDD2 1200             adc    al, byte ptr [eax]
0012FDD4 F0:AD             lock lods dword ptr [esi]                   ; 不允许锁定前缀
0012FDD6 77 00             ja    short 0012FDD8
0012FDD8 CC                int3
0012FDD9 139C01 8C889C01    adc    ebx, dword ptr [ecx+eax+19C888C]
0012FDE0 8C88 9C01FCFD    mov    word ptr [eax+FDFC019C], cs
0012FDE6 1200             adc    al, byte ptr [eax]
0012FDE8  - E9 DA7300F0       jmp    F01371C7
0012FDED AD                lods dword ptr [esi]
0012FDEE 77 00             ja    short 0012FDF0
0012FDF0 CC                int3
0012FDF1 139C01 8C889C01    adc    ebx, dword ptr [ecx+eax+19C888C]
0012FDF8 8C88 9C0118FE    mov    word ptr [eax+FE18019C], cs
0012FDFE 1200             adc    al, byte ptr [eax]
0012FE00 40                inc    eax
0012FE01 B3 77             mov    bl, 77
0012FE03 00F0             add    al, dh
0012FE05 AD                lods dword ptr [esi]
0012FE06 77 00             ja    short 0012FE08
0012FE08 CC                int3
0012FE09 139C01 8C889C01    adc    ebx, dword ptr [ecx+eax+19C888C]
0012FE10 8C88 9C018C88    mov    word ptr [eax+888C019C], cs
0012FE16 9C                pushfd
0012FE17 013CFE             add    dword ptr [esi+edi*8], edi
0012FE1A 1200             adc    al, byte ptr [eax]
0012FE1C DB8447 0044FE12    fild dword ptr [edi+eax*2+12FE4400]
0012FE23 00E5             add    ch, ah
0012FE25 8447 00          test byte ptr [edi], al
0012FE28 3C FE             cmp    al, 0FE
0012FE2A 1200             adc    al, byte ptr [eax]
0012FE2C F0:AD             lock lods dword ptr [esi]                   ; 不允许锁定前缀
0012FE2E 77 00             ja    short 0012FE30
0012FE30 CC                int3
0012FE31 139C01 F0AD7700    adc    ebx, dword ptr [ecx+eax+77ADF0]
0012FE38 8C88 9C0184FF    mov    word ptr [eax+FF84019C], cs
0012FE3E 1200             adc    al, byte ptr [eax]
0012FE40 4E                dec    esi
0012FE41 8147 00 50FE1200 add    dword ptr [edi], 12FE50
0012FE48 68 81470084       push 84004781
0012FE4D FF12             call dword ptr [edx]
0012FE4F 005CFE 12          add    byte ptr [esi+edi*8+12], bl
0012FE53 0088 81470084    add    byte ptr [eax+84004781], cl
0012FE59 FF12             call dword ptr [edx]
0012FE5B 008CFF 1200B542    add    byte ptr [edi+edi*8+42B50012], cl
0012FE62 40                inc    eax
0012FE63 0084FF 12008C88    add    byte ptr [edi+edi*8+888C0012], al
0012FE6A 9C                pushfd
0012FE6B 018C88 9C010000    add    dword ptr [eax+ecx*4+19C], ecx
0012FE72 0000             add    byte ptr [eax], al
0012FE74 B8 B8E27788       mov    eax, 8877E2B8
0012FE79 B8 E2770000       mov    eax, 77E2
0012FE7E 0000             add    byte ptr [eax], al
0012FE80 42                inc    edx
0012FE81 0203             add    al, byte ptr [ebx]
0012FE83 00546B 9C          add    byte ptr [ebx+ebp*2-64], dl
0012FE87 012400             add    dword ptr [eax+eax], esp
0012FE8A 0000             add    byte ptr [eax], al
0012FE8C 0100             add    dword ptr [eax], eax
0012FE8E 0000             add    byte ptr [eax], al
0012FE90 0000             add    byte ptr [eax], al
0012FE92 0000             add    byte ptr [eax], al
0012FE94 0000             add    byte ptr [eax], al
0012FE96 0000             add    byte ptr [eax], al
0012FE98 70 00             jo    short 0012FE9A
0012FE9A 0000             add    byte ptr [eax], al
0012FE9C FFFF             ???                                        ; 未知命令
0012FE9E FFFF             ???                                        ; 未知命令
0012FEA0 FFFF             ???                                        ; 未知命令
0012FEA2 FFFF             ???                                        ; 未知命令
0012FEA4 2AB8 E277B8B8    sub    bh, byte ptr [eax+B8B877E2]
0012FEAA E2 77             loopd short 0012FF23
0012FEAC 0000             add    byte ptr [eax], al
0012FEAE 0000             add    byte ptr [eax], al
0012FEB0 EF                out    dx, eax
0012FEB1 0F9001             seto byte ptr [ecx]
0012FEB4 0000             add    byte ptr [eax], al
0012FEB6 0000             add    byte ptr [eax], al
0012FEB8 0000             add    byte ptr [eax], al
0012FEBA 0000             add    byte ptr [eax], al
0012FEBC 0000             add    byte ptr [eax], al
0012FEBE 0000             add    byte ptr [eax], al
0012FEC0  - 7C FE             jl    short 0012FEC0
0012FEC2 1200             adc    al, byte ptr [eax]
0012FEC4 CC                int3
0012FEC5 D1CA             ror    edx, 1
0012FEC7 0024FF             add    byte ptr [edi+edi*8], ah
0012FECA 1200             adc    al, byte ptr [eax]
0012FECC 18AF E37790B8    sbb    byte ptr [edi+B89077E3], ch
0012FED2 E2 77             loopd short 0012FF4B
0012FED4 FFFF             ???                                        ; 未知命令
0012FED6 FFFF             ???                                        ; 未知命令
0012FED8 88B8 E277B8C8    mov    byte ptr [eax+C8B877E2], bh
0012FEDE E2 77             loopd short 0012FF57
0012FEE0 0000             add    byte ptr [eax], al
0012FEE2 0000             add    byte ptr [eax], al
0012FEE4 2D 77397742       sub    eax, 42773977
0012FEE9 0203             add    al, byte ptr [ebx]
0012FEEB 000F             add    byte ptr [edi], cl
0012FEED 0000             add    byte ptr [eax], al
0012FEEF 0000             add    byte ptr [eax], al
0012FEF1 0000             add    byte ptr [eax], al
0012FEF3 0000             add    byte ptr [eax], al
0012FEF5 0000             add    byte ptr [eax], al
0012FEF7 0044EA CA          add    byte ptr [edx+ebp*8-36], al
0012FEFB 00C3             add    bl, al
0012FEFD C8 E27700          enter 77E2, 0
0012FF01 0000             add    byte ptr [eax], al
0012FF03 0000             add    byte ptr [eax], al
0012FF05 0000             add    byte ptr [eax], al
0012FF07 00546B 9C          add    byte ptr [ebx+ebp*2-64], dl
0012FF0B 0146 00          add    dword ptr [esi], eax
0012FF0E 0000             add    byte ptr [eax], al
0012FF10 0000             add    byte ptr [eax], al
0012FF12 0000             add    byte ptr [eax], al
0012FF14 4E                dec    esi
0012FF15 25 E2770000       and    eax, 77E2
0012FF1A 0000             add    byte ptr [eax], al
0012FF1C 00FF             add    bh, bh
0012FF1E 1200             adc    al, byte ptr [eax]
0012FF20 1C 00             sbb    al, 0
0012FF22 0000             add    byte ptr [eax], al
0012FF24 6C                ins    byte ptr es:[edi], dx
0012FF25 FF12             call dword ptr [edx]
0012FF27 0018             add    byte ptr [eax], bl
0012FF29 AF                scas dword ptr es:[edi]
0012FF2A E3 77             jecxz short 0012FFA3
0012FF2C C8 C8E277          enter 0E2C8, 77
0012FF30 FFFF             ???                                        ; 未知命令
0012FF32 FFFF             ???                                        ; 未知命令
0012FF34 C3                retn
0012FF35 C8 E277C6          enter 77E2, 0C6
0012FF39 C9                leave
0012FF3A E2 77             loopd short 0012FFB3
0012FF3C 14 36             adc    al, 36
0012FF3E 78 00             js    short 0012FF40
0012FF40 B4 04             mov    ah, 4
0012FF42 0000             add    byte ptr [eax], al
0012FF44 8888 9C014422    mov    byte ptr [eax+2244019C], cl
0012FF4A 40                inc    eax
0012FF4B 0080 FF120000    add    byte ptr [eax+12FF], al
0012FF51 0000             add    byte ptr [eax], al
0012FF53 00CC             add    ah, cl
0012FF55 139C01 B4040000    adc    ebx, dword ptr [ecx+eax+4B4]
0012FF5C D023             shl    byte ptr [ebx], 1
0012FF5E 40                inc    eax
0012FF5F 00B4FF 1200F423    add    byte ptr [edi+edi*8+23F40012], dh
0012FF66 40                inc    eax
0012FF67 00FB             add    bl, bh
0012FF69 2340 00          and    eax, dword ptr [eax]
0012FF6C 0000             add    byte ptr [eax], al
0012FF6E 0000             add    byte ptr [eax], al
0012FF70 CC                int3
0012FF71 139C01 F0AD7700    adc    ebx, dword ptr [ecx+eax+77ADF0]
0012FF78 0F0000             sldt word ptr [eax]
0012FF7B 00A8 D641FF8C    add    byte ptr [eax+8CFF41D6], ch
0012FF81 889C01 A8FF1200    mov    byte ptr [ecx+eax+12FFA8], bl
0012FF88 AC                lods byte ptr [esi]
0012FF89 F747 00 B4FF1200 test dword ptr [edi], 12FFB4
0012FF90 B6 F7             mov    dh, 0F7
0012FF92 47                inc    edi
0012FF93 00A8 FF120000    add    byte ptr [eax+12FF], ch
0012FF99 0000             add    byte ptr [eax], al
0012FF9B 0000             add    byte ptr [eax], al
0012FF9D 0000             add    byte ptr [eax], al
0012FF9F 0000             add    byte ptr [eax], al
0012FFA1 40                inc    eax
0012FFA2 FD                std
0012FFA3  ^ 7F 8C             jg    short 0012FF31
0012FFA5 47                inc    edi
0012FFA6 78 00             js    short 0012FFA8
0012FFA8 C0FF 12          sar    bh, 12
0012FFAB 00BE C7770019    add    byte ptr [esi+190077C7], bh
0012FFB1  ^ 78 95             js    short 0012FF48
0012FFB3  ^ 7C E0             jl    short 0012FF95
0012FFB5 FF12             call dword ptr [edx]
0012FFB7 001C49             add    byte ptr [ecx+ecx*2], bl
0012FFBA 40                inc    eax
0012FFBB 00C0             add    al, al
0012FFBD FF12             call dword ptr [edx]
0012FFBF 00F0             add    al, dh
0012FFC1 FF12             call dword ptr [edx]
0012FFC3 0043 F2          add    byte ptr [ebx-E], al
0012FFC6 827C00 00 00       cmp    byte ptr [eax+eax], 0
0012FFCB 0000             add    byte ptr [eax], al
0012FFCD 0000             add    byte ptr [eax], al
0012FFCF 0000             add    byte ptr [eax], al
0012FFD1 40                inc    eax
0012FFD2 FD                std
0012FFD3 7F 00             jg    short 0012FFD5
0012FFD5 0000             add    byte ptr [eax], al
0012FFD7 00C8             add    al, cl
0012FFD9 FF12             call dword ptr [edx]
0012FFDB 00E4             add    ah, ah
0012FFDD BC B9B6FFFF       mov    esp, FFFFB6B9
0012FFE2 FFFF             ???                                        ; 未知命令
0012FFE4  - 78 1A             js    short 00130000
0012FFE6 827C50 F2 82       cmp    byte ptr [eax+edx*2-E], -7E
0012FFEB 7C 00             jl    short 0012FFED
0012FFED 0000             add    byte ptr [eax], al
0012FFEF 0000             add    byte ptr [eax], al
0012FFF1 0000             add    byte ptr [eax], al
0012FFF3 0000             add    byte ptr [eax], al
0012FFF5 0000             add    byte ptr [eax], al
0012FFF7 0010             add    byte ptr [eax], dl
0012FFF9 C7                ???                                        ; 未知命令
0012FFFA 77 00             ja    short 0012FFFC
0012FFFC 0000             add    byte ptr [eax], al
0012FFFE 0000             add    byte ptr [eax], al

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
zyxlxj 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	zyxlxj 2 楼终于找到入口了 00752467 . /74 5D je short 007524C6 00752469 > \|8B86 3C020000 mov eax, dword ptr [esi+23C] 0075246F . \|E8 C4DBFFFF call 00750038 00752474 . \|83F8 7F cmp eax, 7F 00752477 . \|74 19 je short 00752492 00752479 . \|33DB xor ebx, ebx 0075247B . \|8B45 FC mov eax, dword ptr [ebp-4] 0075247E . \|BA 08257500 mov edx, 00752508 00752483 . \|E8 E429CBFF call 00404E6C 00752488 . \|33C0 xor eax, eax 0075248A . \|5A pop edx 0075248B . \|59 pop ecx 0075248C . \|59 pop ecx 0075248D . \|64:8910 mov dword ptr fs:[eax], edx 00752490 . \|74 34 je short 007524C6 00752492 > \|33C0 xor eax, eax 00752494 . \|5A pop edx 00752495 . \|59 pop ecx 00752496 . \|59 pop ecx 00752497 . \|64:8910 mov dword ptr fs:[eax], edx 0075249A . \|75 2A jnz short 007524C6 0075249C .^\|0F85 9220CBFF jnz 00404534 007524A2 . \|0000 add byte ptr [eax], al 007524A4 \|00 db 00 007524A5 . \|E08C4000 dd bdhc3.00408CE0 007524A9 . \|AD247500 dd bdhc3.007524AD 007524AD . \|89C3 mov ebx, eax 007524AF . \|8B4B 04 mov ecx, dword ptr [ebx+4] 007524B2 . \|8B45 FC mov eax, dword ptr [ebp-4] 007524B5 . \|BA 28257500 mov edx, 00752528 007524BA . \|E8 5D2CCBFF call 0040511C 007524BF . \|09DB or ebx, ebx 007524C1 . \|E8 6E23CBFF call 00404834 007524C6 > \8BC3 mov eax, ebx 2016-10-26 16:25 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 3 楼 05年的大牛啊，这是要干嘛？ 2016-10-26 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zyxlxj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
zyxlxj 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	zyxlxj 2 楼终于找到入口了 00752467 . /74 5D je short 007524C6 00752469 > \|8B86 3C020000 mov eax, dword ptr [esi+23C] 0075246F . \|E8 C4DBFFFF call 00750038 00752474 . \|83F8 7F cmp eax, 7F 00752477 . \|74 19 je short 00752492 00752479 . \|33DB xor ebx, ebx 0075247B . \|8B45 FC mov eax, dword ptr [ebp-4] 0075247E . \|BA 08257500 mov edx, 00752508 00752483 . \|E8 E429CBFF call 00404E6C 00752488 . \|33C0 xor eax, eax 0075248A . \|5A pop edx 0075248B . \|59 pop ecx 0075248C . \|59 pop ecx 0075248D . \|64:8910 mov dword ptr fs:[eax], edx 00752490 . \|74 34 je short 007524C6 00752492 > \|33C0 xor eax, eax 00752494 . \|5A pop edx 00752495 . \|59 pop ecx 00752496 . \|59 pop ecx 00752497 . \|64:8910 mov dword ptr fs:[eax], edx 0075249A . \|75 2A jnz short 007524C6 0075249C .^\|0F85 9220CBFF jnz 00404534 007524A2 . \|0000 add byte ptr [eax], al 007524A4 \|00 db 00 007524A5 . \|E08C4000 dd bdhc3.00408CE0 007524A9 . \|AD247500 dd bdhc3.007524AD 007524AD . \|89C3 mov ebx, eax 007524AF . \|8B4B 04 mov ecx, dword ptr [ebx+4] 007524B2 . \|8B45 FC mov eax, dword ptr [ebp-4] 007524B5 . \|BA 28257500 mov edx, 00752528 007524BA . \|E8 5D2CCBFF call 0040511C 007524BF . \|09DB or ebx, ebx 007524C1 . \|E8 6E23CBFF call 00404834 007524C6 > \8BC3 mov eax, ebx 2016-10-26 16:25 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 3 楼 05年的大牛啊，这是要干嘛？ 2016-10-26 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复