本人是逆向界的一枚小学生，喜欢唱，跳，搜字符串，以及回收站，这个分析是好早前分析的了，如有不对的地方，还请各位大佬海涵

执行完以后这里在判断下栈够不够，够就继续循环取中间码，如果不够就在扩充，因为有可能执行被VM后的代码导致开始开辟0x200的栈不够，所以需要判断，如果不够就在开，然后把寄存器环境在从新拷贝

然后第二次可以看到把中间码3D拿出来，然后esi+1，然后跳过去

然后用EDI+2C，根据上面分析的可以看到EDI+2C是原本的EBP，然后将原本的EBP压入栈顶

然后在跳回来，取出中间码0x59，继续在跳走执行

然后取出刚刚压进去原来的EBP给EAX,然后把原来程序用的EBP-4，然后把eax MOV进去，然后就完成了push  ebp的操作

然后在回来，这次拿出0x65

然后我们跳过来，在取中间码2C给EAX，然后把刚开始压入栈顶的EBP弹到虚拟机用的寄存器环境里的EBP

然后在回来，拿出9A

继续JMP过来，可以看到把栈顶又抬了0x4的大小

然后在回来，这次拿出中间码0x27

然后跳过来后把原来程序用的EBP给虚拟机的寄存器环境里+0X10的位置，因为刚才push了，然后EBP-4了，也就是说现在EBP是原来程序用的栈的栈顶， 然后这块虚拟机用的寄存器环境的栈顶也得移动栈针，也得-4，所以把他原来的拿过来赋值，

然后在跳回去，在拿出3D

跳过来拿出0x10给EAX,然后把EDI+10在压入栈顶，EDI+10就是上一步赋值过来的,这里看的迷糊的看最开始的分析，EDI+0X10就是真实程序用的ESP

继续跳回去，还是拿出3D，3D是压寄存器操作

继续执行，拿出2C，还是上面的操作，把EBP压入栈顶

然后拿出0xB5

JMP过去，因为刚才把EBP和ESP都压人栈顶了，这个时候访问栈顶，把ESP给EBP，完成mov EBP,ESP的操作，然后也把标志寄存器更新了一下

然后在跳回去，拿出0x65

JMP过来，拿出中间码0x65，根据上面的分析，0x65就是把当前栈顶的值更新到虚拟寄存器环境中

然后在跳回来，拿出9A，根据上面分析的，9A是抬栈

然后在回来，拿出中间码0x27

根据上面分析，0x27是把程序用的EBP给虚拟的ESP

在跳回去，拿出操作数0x9D，开始压栈

跳过来以后，可以看到在拿出操作数，压入当前的栈顶

然后在跳回去，拿出操作数CD

然后跳过来，从栈顶拿出刚压的，然后程序用的EBP抬4个字节，然后把字符串压进去，这个时候才完成了把一个字符串地址压入程序用的栈的操作

在跳回去，拿出操作数0x9A，因为刚才压到栈顶的字符串没用了，要弹走

在回来(执行完抬栈了)，然后在回来看到又是一个抬栈，因为上面mov ebp，esp的时候，抬的时候只抬了一个，这个时候再把另外一个抬走

然后再回来，拿出操作数0x27，更新虚拟寄存器环境里的esp

这个时候在压栈

我们跟过来看下，可以看到压入printf的地址了

跳回来看到又是压栈

跳过来给可以看到给栈顶压了一个1

然后在跳回来，拿出操作数0x9D，继续压

调过来看到又压入0xFFFFFFFF

跳回来又看到压栈

这里又压了一个0xFFFFFFFF

跳回来这次拿到0x31

JMP过来，可以看到ADD esp，0x10，把栈顶刚压入的4个参数弹走，然后从新把printf的地址压进去，现在栈顶只有一个printf的地址

然后回来，拿出中间码0xC0

跳过来，然后把printf的地址给eax，然后在拿出中间码给edx

然后第二次可以看到把中间码3D拿出来，然后esi+1，然后跳过去

然后用EDI+2C，根据上面分析的可以看到EDI+2C是原本的EBP，然后将原本的EBP压入栈顶

然后在跳回来，取出中间码0x59，继续在跳走执行

然后取出刚刚压进去原来的EBP给EAX,然后把原来程序用的EBP-4，然后把eax MOV进去，然后就完成了push  ebp的操作

然后在回来，这次拿出0x65

然后我们跳过来，在取中间码2C给EAX，然后把刚开始压入栈顶的EBP弹到虚拟机用的寄存器环境里的EBP

然后在回来，拿出9A

继续JMP过来，可以看到把栈顶又抬了0x4的大小

然后在回来，这次拿出中间码0x27

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课