[求助]Q-ZONE Tools.exe脱壳求助-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
drivel 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	drivel 2 楼 00401000: 6801604100 PUSH 00416001 00401005: E801000000 CALL 0040100B 0040100A: C3 RET 0040100B: C3 RET 0040100C: 98 CWDE 0040100D: F34C REP DEC ESP 0040100F: 91 XCHG ECX, EAX 00401010: 802284 AND BYTE PTR [EDX], FFFFFF84 00401013: 5E POP ESI 00401014: EA5009B807A5F2 JMP FAR F2A5:07B80950 0040101B: 8614EA XCHG DL, [EDX+EBP8] 0040101E: AD LODSD 0040101F: 1F POP DS 00401020: C73C6E2B3F5AFF INVALID 00401027: B6C7 MOV DH, C7 00401029: 5D POP EBP 0040102A: 0B7B10 OR EDI, [EBX+10] 0040102D: 050DF07A47 ADD EAX, 477AF00D 00401032: BD294D0B78 MOV EBP, 780B4D29 00401037: CF IRETD 00401038: 3895C0079FFF CMP [EBP-0060F840], DL 0040103E: FC CLD 0040103F: A82A TEST AL, 2A 00401041: DA5C1E7F FICOMP DWORD PTR [ESI+EBX+7F] 00401045: 05B57B4843 ADD EAX, 43487BB5 0040104A: 7893 JS 400FDF 0040104C: 23F5 AND ESI, EBP 0040104E: E79F OUT 9F, EAX 00401050: 4D DEC EBP 00401051: E75C OUT 5C, EAX 00401053: D18A81CDF2E4 ROR [EDX-1B0D327F], 01 00401059: 217111 AND [ECX+11], ESI 0040105C: 1A6CCE4C SBB CH, [ESI+ECX8+4C] 00401060: 8CC8 MOV EAX, CS 00401062: 0002 ADD [EDX], AL 00401064: 258DFDDED3 AND EAX, D3DEFD8D 00401069: 97 XCHG EDI, EAX 0040106A: C192834EDB9962 RCL [EDX-6624B17D], 62 00401071: 01BCD140404A6C ADD [ECX+EDX8+6C4A4040], EDI 00401078: 74C8 JZ 401042 0040107A: 71A6 JNO 401022 0040107C: 3433 XOR AL, 33 0040107E: 334A53 XOR ECX, [EDX+53] 00401081: E3AF JECXZ 401032 00401083: E0E5 LOOPNZ 40106A 00401085: E528 IN EAX, 28 00401087: 3C6C CMP AL, 6C 00401089: 38B9F62E8907 CMP [ECX+07892EF6], BH 0040108F: 70D7 JO 401068 00401091: 6445 INC EBP 00401093: B186 MOV CL, 86 00401095: E0A4 LOOPNZ 40103B 00401097: 1E PUSH DS 00401098: F782358BC332993FD4E7 TEST [EDX+32C38B35], E7D43F99 004010A2: 31F7 XOR EDI, ESI 004010A4: 98 CWDE 004010A5: E913FE6014 JMP 14A10EBD 004010AA: C27882 RETN 8278 004010AD: 42 INC EDX 004010AE: 4C DEC ESP 004010AF: 1BCB SBB ECX, EBX 004010B1: C1DD95 RCR EBP, 95 004010B4: 35BB11FB6E XOR EAX, 6EFB11BB 004010B9: 52 PUSH EDX 004010BA: 95 XCHG EBP, EAX 004010BB: BDD8F58591 MOV EBP, 9185F5D8 004010C0: 8FA16BF8896E INVALID 004010C6: 2B41D5 SUB EAX, [ECX-2B] 004010C9: 32FC XOR BH, AH 004010CB: A9F5F528BA TEST EAX, BA28F5F5 004010D0: 5A POP EDX 004010D1: 8E718C INVALID 004010D4: 00A6E7740D7D ADD [ESI+7D0D74E7], AH 004010DA: DDBFCBCB91BA FSTSW [EDI-456E3435] 004010E0: 0236 ADD DH, [ESI] 004010E2: AB STOSD 004010E3: 1201 ADC AL, [ECX] 004010E5: AC LODSB 004010E6: 3D054591E3 CMP EAX, E3914505 004010EB: 25EAC26CD6 AND EAX, D66CC2EA 004010F0: 38C9 CMP CL, CL 004010F2: B758 MOV BH, 58 004010F4: 42 INC EDX 004010F5: 43 INC EBX 004010F6: EC IN AL, DX 004010F7: E3F0 JECXZ 4010E9 004010F9: 1A16 SBB DL, [ESI] 004010FB: 2DEB78436A SUB EAX, 6A4378EB 00401100: E946148AE3 JMP E3CA254B 00401105: 6646 INC SI 00401107: 06 PUSH ES 00401108: 225071 AND DL, [EAX+71] 0040110B: DC0DA6018C2E FMUL REAL8 PTR [2E8C01A6] 00401111: 97 XCHG EDI, EAX 00401112: 92 XCHG EDX, EAX 00401113: AB STOSD 00401114: C0DEE1 RCR DH, E1 00401117: 4A DEC EDX 00401118: FF817D65A997 INC [ECX-68569A83] 0040111E: F5 CMC 0040111F: EC IN AL, DX 00401120: 864E21 XCHG CL, [ESI+21] 00401123: 4D DEC EBP 00401124: A2FFB815B8 MOV [B815B8FF], AL 00401129: CA1686 RETF 8616 0040112C: C83095B8 ENTER 9530, B8 00401130: 2DD5B9347B SUB EAX, 7B34B9D5 00401135: 5C POP ESP 00401136: 7B25 JNP 40115D 00401138: F6DE NEG DH 0040113A: B299 MOV DL, 99 0040113C: A928F94272 TEST EAX, 7242F928 00401141: E1A4 LOOPZ 4010E7 00401143: A259456236 MOV [36624559], AL 00401148: F5 CMC 00401149: 7161 JNO 4011AC 0040114B: 58 POP EAX 0040114C: 0E PUSH CS 0040114D: E211 LOOP 401160 0040114F: F072F5 LOCK JB 401147 00401152: A7 CMPSD 00401153: 3444 XOR AL, 44 00401155: 9B WAIT 00401156: 8797F1067A58 XCHG EDX, [EDI+587A06F1] 0040115C: D410 AAM 10 0040115E: 80EE06 SUB DH, 06 00401161: EF OUT DX, EAX 00401162: B92A61BD3A MOV ECX, 3ABD612A 00401167: 86A5EBCDB27A XCHG AH, [EBP+7AB2CDEB] 0040116D: 09AAB38D9B1F OR [EDX+1F9B8DB3], EBP 00401173: 98 CWDE 00401174: 3118 XOR [EAX], EBX 00401176: 1F POP DS 00401177: 20EE AND DH, CH 00401179: 9B WAIT 0040117A: A6 CMPSB 0040117B: B0F7 MOV AL, F7 0040117D: 07 POP ES 0040117E: DE1D6B0EB32F FICOMP WORD PTR [2FB30E6B] 00401184: 5E POP ESI 00401185: C1DF8A RCR EDI, 8A 00401188: E3D1 JECXZ 40115B 0040118A: AE SCASB 0040118B: 233B AND EDI, [EBX] 0040118D: D38C2C484A514E ROR DWORD PTR [ESP+EBP+4E514A48], CL 00401194: CB RETF 00401195: 5E POP ESI 00401196: 66A252640138 MOV [38016452], AL 0040119C: B68D MOV DH, 8D 0040119E: E0FC LOOPNZ 40119C 004011A0: 92 XCHG EDX, EAX 004011A1: 72EA JB 40118D 004011A3: 49 DEC ECX 004011A4: 57 PUSH EDI 004011A5: 31DA XOR EDX, EBX 004011A7: 7295 JB 40113E 004011A9: 56 PUSH ESI 004011AA: 57 PUSH EDI 004011AB: F65513 NOT BYTE PTR [EBP+13] 004011AE: 92 XCHG EDX, EAX 004011AF: E68E OUT 8E, AL 004011B1: DAEF INVALID 004011B3: 09AEC662F371 OR [ESI+71F362C6], EBP 004011B9: CF IRETD 004011BA: DA10 FICOM DWORD PTR [EAX] 004011BC: B38A MOV BL, 8A 004011BE: D80DFB0313C2 FMUL REAL4 PTR [C21303FB] 004011C4: 98 CWDE 004011C5: F4 HLT 004011C6: 5B POP EBX 004011C7: 00577C ADD [EDI+7C], DL 004011CA: C9 LEAVE 004011CB: 13C7 ADC EAX, EDI 004011CD: C7CFA7C39A71 INVALID 004011D3: 121484 ADC DL, [ESP+EAX4] 004011D6: 62C3 BOUND EAX, EBX 004011D8: 26EA2D46CA89DC47 JMP FAR 47DC:89CA462D 004011E0: 39E9 CMP ECX, EBP 004011E2: 09E4 OR ESP, ESP 004011E4: D4A8 AAM A8 004011E6: DE10 FICOM WORD PTR [EAX] 004011E8: 56 PUSH ESI 004011E9: AF SCASD 004011EA: FA CLI 004011EB: FF7CD856 INVALID 004011EF: AD LODSD 004011F0: 0A240E OR AH, [ESI+ECX] 004011F3: 5D POP EBP 004011F4: 94 XCHG ESP, EAX 004011F5: D324EE SHL DWORD PTR [ESI+EBP8], CL 004011F8: 867C70E7 XCHG BH, [EAX+ESI2-19] 004011FC: CD43 INT 43 004011FE: B7CD MOV BH, CD 00401200: AF SCASD 00401201: 4A DEC EDX 00401202: F35B REP POP EBX 00401204: 27 DAA 00401205: 020A ADD CL, [EDX] 00401207: 2699 CDQ 00401209: DCEA FSUB ST(2), ST(0) 0040120B: A7 CMPSD 0040120C: E427 IN AL, 27 0040120E: B806ED4EB4 MOV EAX, B44EED06 00401213: 93 XCHG EBX, EAX 00401214: 56 PUSH ESI 00401215: 5E POP ESI 00401216: B180 MOV CL, 80 00401218: 37 AAA 00401219: 42 INC EDX 0040121A: E6A7 OUT A7, AL 0040121C: 0349EF ADD ECX, [ECX-11] 0040121F: 6572C2 JB 4011E4 00401222: D480 AAM 80 00401224: E2AA LOOP 4011D0 00401226: D8670C FSUB REAL4 PTR [EDI+0C] 00401229: 8FED INVALID 0040122B: D0D4 RCL AH, 01 0040122D: 217357 AND [EBX+57], ESI 00401230: D7 XLAT 00401231: 6E OUTSB 00401232: 1822 SBB [EDX], AH 00401234: 55 PUSH EBP 00401235: F28EA91BB44A61 REPNZ MOV GS, [ECX+614AB41B] 0040123C: 48 DEC EAX 0040123D: FE9699998915 CALL BYTE PTR [ESI+15899999] 00401243: 815CE879E1E8AE5B SBB [EAX+EBP8+79], 5BAEE8E1 0040124B: FA CLI 0040124C: A858 TEST AL, 58 0040124E: E20B LOOP 40125B 00401250: BB7FE4FC59 MOV EBX, 59FCE47F 00401255: D12500D8DC2E SHL [2EDCD800], 01 0040125B: 8C8FE7FD69F9 MOV [EDI-06960219], CS 00401261: 94 XCHG ESP, EAX 00401262: E42A IN AL, 2A 00401264: 8D02 LEA EAX, [EDX] 00401266: 9E SAHF 00401267: 5B POP EBX 00401268: C9 LEAVE 00401269: AF SCASD 0040126A: B64C MOV DH, 4C 0040126C: 30F6 XOR DH, DH 0040126E: 1567A531D2 ADC EAX, D231A567 00401273: EABC2EB0619C6D JMP FAR 6D9C:61B02EBC 0040127A: 3DDB03E677 CMP EAX, 77E603DB 0040127F: B22B MOV DL, 2B 00401281: 40 INC EAX 00401282: 44 INC ESP 00401283: B64F MOV DH, 4F 00401285: 4C DEC ESP 00401286: D1773E INVALID 00401289: 5F POP EDI 0040128A: 7C57 JL 4012E3 0040128C: 51 PUSH ECX 0040128D: 48 DEC EAX 0040128E: B7CE MOV BH, CE 00401290: 0F2EAE3D76F119 UCOMISS XMM5, [ESI+19F1763D] 00401297: 121B ADC BL, [EBX] 00401299: A14597F5D7 MOV EAX, [D7F59745] 0040129E: CA425B RETF 5B42 004012A1: 57 PUSH EDI 004012A2: 089C6365EA1596 OR BL, [EBX+2] 004012A9: E559 IN EAX, 59 004012AB: E681 OUT 81, AL 004012AD: 52 PUSH EDX 004012AE: 631C49 ARPL EBX, [ECX+ECX2] 004012B1: 0A2D733872F3 OR CH, [F3723873] 004012B7: A26589D96E MOV [6ED98965], AL 004012BC: 2F DAS 004012BD: 2F DAS 004012BE: 24E3 AND AL, E3 004012C0: 59 POP ECX 004012C1: DAFC INVALID 004012C3: 716B JNO 401330 004012C5: E0A3 LOOPNZ 40126A 004012C7: 2043A8 AND [EBX-58], AL 004012CA: BFD1BC8031 MOV EDI, 3180BCD1 004012CF: D30A ROR DWORD PTR [EDX], CL 004012D1: 2F DAS 004012D2: 3E866DFF XCHG CH, DS:[EBP-01] 004012D6: 1E PUSH DS 004012D7: 5E POP ESI 004012D8: CC INT 3 004012D9: DDF4 INVALID 004012DB: 315790 XOR [EDI-70], EDX 004012DE: 2EF0C9 LOCK LEAVE 004012E1: EE OUT DX, AL 004012E2: 2F DAS 004012E3: 788D JS 401272 004012E5: 1E PUSH DS 004012E6: 49 DEC ECX 004012E7: 108AB5F2214E ADC [EDX+4E21F2B5], CL 004012ED: C9 LEAVE 004012EE: E9244EA55A JMP 5AE56117 004012F3: 2462 AND AL, 62 004012F5: 0A84C1B9D4791D OR AL, [ECX+EAX8+1D79D4B9] 004012FC: BF1FBE6FBD MOV EDI, BD6FBE1F 00401301: 7052 JO 401355 00401303: B477 MOV AH, 77 00401305: 3384AC56DF8E17 XOR EAX, [ESP+EBP4+178EDF56] 0040130C: CD08 INT 08 0040130E: 26A16B6A8167 MOV EAX, ES:[67816A6B] 00401314: CDF6 INT F6 00401316: A7 CMPSD 00401317: 3293358C0067 XOR DL, [EBX+67008C35] 0040131D: 6699 CWD 0040131F: 3116 XOR [ESI], EDX 00401321: BAF666763C MOV EDX, 3C7666F6 00401326: A25B55BB78 MOV [78BB555B], AL 0040132B: EC IN AL, DX 0040132C: A4 MOVSB 0040132D: A21A636F33 MOV [336F631A], AL 00401332: E64B OUT 4B, AL 00401334: 6C INSB 00401335: 828B6D1A335545 AND BYTE PTR [EBX+55331A6D], 45 0040133C: B8FB5AA3DA MOV EAX, DAA35AFB 00401341: 03752E ADD ESI, [EBP+2E] 00401344: 90 NOP 00401345: 3D7C0C7DBE CMP EAX, BE7D0C7C 0040134A: FA CLI 0040134B: 7DDB JNL 401328 0040134D: 90 NOP 0040134E: 7A0E JPE 40135E 00401350: DC997AA7023B FCOMP REAL8 PTR [ECX+3B02A77A] 00401356: 8C87E6C9AE13 MOV [EDI+13AEC9E6], ES 0040135C: DCB7D8287ADC FDIV REAL8 PTR [EDI-2385D728] 00401362: A1AA4513EC MOV EAX, [EC1345AA] 00401367: 72CE JB 401337 00401369: 250F95118B AND EAX, 8B11950F 0040136E: 13BBBC063A39 ADC EDI, [EBX+393A06BC] 00401374: 801D816A82672A SBB BYTE PTR [67826A81], 2A 0040137B: 6A42 PUSH 00000042 0040137D: 301DEF3CA76E XOR [6EA73CEF], BL 00401383: 16 PUSH SS 00401384: 5F POP EDI 00401385: F0AE LOCK SCASB 00401387: A2EA98DB7D MOV [7DDB98EA], AL 0040138C: 202A AND [EDX], CH 0040138E: 93 XCHG EBX, EAX 0040138F: FB STI 00401390: 850460 TEST EAX, [EAX+2] 00401393: 59 POP ECX 00401394: 1D2548EBB8 SBB EAX, B8EB4825 00401399: E0B5 LOOPNZ 401350 0040139B: C7B3945B48F6ACDA9AFB INVALID 004013A5: C4DF LES EBX, EDI 004013A7: C1E2A7 SHL EDX, A7 004013AA: 9E SAHF 004013AB: 97 XCHG EDI, EAX 004013AC: 9E SAHF 004013AD: 99 CDQ 004013AE: 98 CWDE 004013AF: 8DE4 LEA ESP, ESP 004013B1: 8D472C LEA EAX, [EDI+2C] 004013B4: F8 CLC 004013B5: 8A32 MOV DH, [EDX] 004013B7: 096F3D OR [EDI+3D], EBP 004013BA: 37 AAA 004013BB: A9A3A8CDF6 TEST EAX, F6CDA8A3 004013C0: 3F AAS 004013C1: 4B DEC EBX 004013C2: 74C8 JZ 40138C 004013C4: E5EC IN EAX, EC 004013C6: B1E4 MOV CL, E4 004013C8: BDA4771321 MOV EBP, 211377A4 004013CD: 004E2B ADD [ESI+2B], CL 004013D0: D5A2 AAD A2 004013D2: 81319EFCF3D5 XOR [ECX], D5F3FC9E 004013D8: 853C1B TEST EDI, [EBX+EBX] 004013DB: 8095D401A0C8EB ADC BYTE PTR [EBP-375FFE2C], FFFFFFEB 004013E2: 2F DAS 004013E3: 3EBC232C0A8D MOV ESP, 8D0A2C23 004013E9: 9D POPFD 004013EA: 8324AD3B0534B97F AND [EBP*4-46CBFAC5], 0000007F 004013F2: 54 PUSH ESP 004013F3: FFF7 PUSH EDI 一部分代码(从头开始的) 2006-7-2 02:09 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 3 楼把这个程序发出来看下 2006-7-3 02:56 0
LucIfer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	LucIfer 4 楼貌似ASP 2.1的壳 2006-7-3 09:05 0
sybaser 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	sybaser 5 楼学习了。。。。。 8错8错 2006-7-3 18:58 0
cileN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	cileN 6 楼最初由 sybaser* 发布* 学习了。。。。。 8错8错灌水 2006-7-3 21:31 0
drivel 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	drivel 7 楼 http://www.k8k7.com/down/VIP/Q-ZONE.exe 下载地址 2006-7-4 20:50 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 8 楼伪装的，至于到底是什么壳我也不知道，因为我是菜鸟：）。但是我把他的伪装去了之后拿PEID查显示的是ASPACK，不知道为什么了稍微调试了下，这是弹出注册码错误的对话框的地址怀疑是VB写的，我最怕的就是VB的程序了。。。。有可能加了VM，头痛啊 0040F3EF FF15 54104000 CALL DWORD PTR DS:[401054] ; msvbvm60.rtcMsgBox 2006-7-5 15:58 0
drivel 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	drivel 9 楼恩，我感觉也是伪装了，要是ASPROTECT的话，不应该是所有能找到的脱壳方法都不行，而且是新版本的peid说不明 2006-7-5 22:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

drivel

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

5

粉丝

0

关注

私信

drivel: 2 楼

00401000: 6801604100             PUSH 00416001
00401005: E801000000             CALL 0040100B
0040100A: C3                      RET
0040100B: C3                      RET
0040100C: 98                      CWDE
0040100D: F34C                   REP DEC ESP
0040100F: 91                      XCHG ECX, EAX
00401010: 802284                AND BYTE PTR [EDX], FFFFFF84
00401013: 5E                      POP ESI
00401014: EA5009B807A5F2          JMP FAR F2A5:07B80950
0040101B: 8614EA                XCHG DL, [EDX+EBP*8]
0040101E: AD                      LODSD
0040101F: 1F                      POP DS
00401020: C73C6E2B3F5AFF          INVALID
00401027: B6C7                   MOV DH, C7
00401029: 5D                      POP EBP
0040102A: 0B7B10                OR EDI, [EBX+10]
0040102D: 050DF07A47             ADD EAX, 477AF00D
00401032: BD294D0B78             MOV EBP, 780B4D29
00401037: CF                      IRETD
00401038: 3895C0079FFF          CMP [EBP-0060F840], DL
0040103E: FC                      CLD
0040103F: A82A                   TEST AL, 2A
00401041: DA5C1E7F                FICOMP DWORD PTR [ESI+EBX+7F]
00401045: 05B57B4843             ADD EAX, 43487BB5
0040104A: 7893                   JS 400FDF
0040104C: 23F5                   AND ESI, EBP
0040104E: E79F                   OUT 9F, EAX
00401050: 4D                      DEC EBP
00401051: E75C                   OUT 5C, EAX
00401053: D18A81CDF2E4          ROR [EDX-1B0D327F], 01
00401059: 217111                AND [ECX+11], ESI
0040105C: 1A6CCE4C                SBB CH, [ESI+ECX*8+4C]
00401060: 8CC8                   MOV EAX, CS
00401062: 0002                   ADD [EDX], AL
00401064: 258DFDDED3             AND EAX, D3DEFD8D
00401069: 97                      XCHG EDI, EAX
0040106A: C192834EDB9962          RCL [EDX-6624B17D], 62
00401071: 01BCD140404A6C          ADD [ECX+EDX*8+6C4A4040], EDI
00401078: 74C8                   JZ 401042
0040107A: 71A6                   JNO 401022
0040107C: 3433                   XOR AL, 33
0040107E: 334A53                XOR ECX, [EDX+53]
00401081: E3AF                   JECXZ 401032
00401083: E0E5                   LOOPNZ 40106A
00401085: E528                   IN EAX, 28
00401087: 3C6C                   CMP AL, 6C
00401089: 38B9F62E8907          CMP [ECX+07892EF6], BH
0040108F: 70D7                   JO 401068
00401091: 6445                   INC EBP
00401093: B186                   MOV CL, 86
00401095: E0A4                   LOOPNZ 40103B
00401097: 1E                      PUSH DS
00401098: F782358BC332993FD4E7    TEST [EDX+32C38B35], E7D43F99
004010A2: 31F7                   XOR EDI, ESI
004010A4: 98                      CWDE
004010A5: E913FE6014             JMP 14A10EBD
004010AA: C27882                RETN 8278
004010AD: 42                      INC EDX
004010AE: 4C                      DEC ESP
004010AF: 1BCB                   SBB ECX, EBX
004010B1: C1DD95                RCR EBP, 95
004010B4: 35BB11FB6E             XOR EAX, 6EFB11BB
004010B9: 52                      PUSH EDX
004010BA: 95                      XCHG EBP, EAX
004010BB: BDD8F58591             MOV EBP, 9185F5D8
004010C0: 8FA16BF8896E          INVALID
004010C6: 2B41D5                SUB EAX, [ECX-2B]
004010C9: 32FC                   XOR BH, AH
004010CB: A9F5F528BA             TEST EAX, BA28F5F5
004010D0: 5A                      POP EDX
004010D1: 8E718C                INVALID
004010D4: 00A6E7740D7D          ADD [ESI+7D0D74E7], AH
004010DA: DDBFCBCB91BA          FSTSW [EDI-456E3435]
004010E0: 0236                   ADD DH, [ESI]
004010E2: AB                      STOSD
004010E3: 1201                   ADC AL, [ECX]
004010E5: AC                      LODSB
004010E6: 3D054591E3             CMP EAX, E3914505
004010EB: 25EAC26CD6             AND EAX, D66CC2EA
004010F0: 38C9                   CMP CL, CL
004010F2: B758                   MOV BH, 58
004010F4: 42                      INC EDX
004010F5: 43                      INC EBX
004010F6: EC                      IN AL, DX
004010F7: E3F0                   JECXZ 4010E9
004010F9: 1A16                   SBB DL, [ESI]
004010FB: 2DEB78436A             SUB EAX, 6A4378EB
00401100: E946148AE3             JMP E3CA254B
00401105: 6646                   INC SI
00401107: 06                      PUSH ES
00401108: 225071                AND DL, [EAX+71]
0040110B: DC0DA6018C2E          FMUL REAL8 PTR [2E8C01A6]
00401111: 97                      XCHG EDI, EAX
00401112: 92                      XCHG EDX, EAX
00401113: AB                      STOSD
00401114: C0DEE1                RCR DH, E1
00401117: 4A                      DEC EDX
00401118: FF817D65A997          INC [ECX-68569A83]
0040111E: F5                      CMC
0040111F: EC                      IN AL, DX
00401120: 864E21                XCHG CL, [ESI+21]
00401123: 4D                      DEC EBP
00401124: A2FFB815B8             MOV [B815B8FF], AL
00401129: CA1686                RETF 8616
0040112C: C83095B8                ENTER 9530, B8
00401130: 2DD5B9347B             SUB EAX, 7B34B9D5
00401135: 5C                      POP ESP
00401136: 7B25                   JNP 40115D
00401138: F6DE                   NEG DH
0040113A: B299                   MOV DL, 99
0040113C: A928F94272             TEST EAX, 7242F928
00401141: E1A4                   LOOPZ 4010E7
00401143: A259456236             MOV [36624559], AL
00401148: F5                      CMC
00401149: 7161                   JNO 4011AC
0040114B: 58                      POP EAX
0040114C: 0E                      PUSH CS
0040114D: E211                   LOOP 401160
0040114F: F072F5                LOCK JB 401147
00401152: A7                      CMPSD
00401153: 3444                   XOR AL, 44
00401155: 9B                      WAIT
00401156: 8797F1067A58          XCHG EDX, [EDI+587A06F1]
0040115C: D410                   AAM 10
0040115E: 80EE06                SUB DH, 06
00401161: EF                      OUT DX, EAX
00401162: B92A61BD3A             MOV ECX, 3ABD612A
00401167: 86A5EBCDB27A          XCHG AH, [EBP+7AB2CDEB]
0040116D: 09AAB38D9B1F          OR [EDX+1F9B8DB3], EBP
00401173: 98                      CWDE
00401174: 3118                   XOR [EAX], EBX
00401176: 1F                      POP DS
00401177: 20EE                   AND DH, CH
00401179: 9B                      WAIT
0040117A: A6                      CMPSB
0040117B: B0F7                   MOV AL, F7
0040117D: 07                      POP ES
0040117E: DE1D6B0EB32F          FICOMP WORD PTR [2FB30E6B]
00401184: 5E                      POP ESI
00401185: C1DF8A                RCR EDI, 8A
00401188: E3D1                   JECXZ 40115B
0040118A: AE                      SCASB
0040118B: 233B                   AND EDI, [EBX]
0040118D: D38C2C484A514E          ROR DWORD PTR [ESP+EBP+4E514A48], CL
00401194: CB                      RETF
00401195: 5E                      POP ESI
00401196: 66A252640138          MOV [38016452], AL
0040119C: B68D                   MOV DH, 8D
0040119E: E0FC                   LOOPNZ 40119C
004011A0: 92                      XCHG EDX, EAX
004011A1: 72EA                   JB 40118D
004011A3: 49                      DEC ECX
004011A4: 57                      PUSH EDI
004011A5: 31DA                   XOR EDX, EBX
004011A7: 7295                   JB 40113E
004011A9: 56                      PUSH ESI
004011AA: 57                      PUSH EDI
004011AB: F65513                NOT BYTE PTR [EBP+13]
004011AE: 92                      XCHG EDX, EAX
004011AF: E68E                   OUT 8E, AL
004011B1: DAEF                   INVALID
004011B3: 09AEC662F371          OR [ESI+71F362C6], EBP
004011B9: CF                      IRETD
004011BA: DA10                   FICOM DWORD PTR [EAX]
004011BC: B38A                   MOV BL, 8A
004011BE: D80DFB0313C2          FMUL REAL4 PTR [C21303FB]
004011C4: 98                      CWDE
004011C5: F4                      HLT
004011C6: 5B                      POP EBX
004011C7: 00577C                ADD [EDI+7C], DL
004011CA: C9                      LEAVE
004011CB: 13C7                   ADC EAX, EDI
004011CD: C7CFA7C39A71          INVALID
004011D3: 121484                ADC DL, [ESP+EAX*4]
004011D6: 62C3                   BOUND EAX, EBX
004011D8: 26EA2D46CA89DC47       JMP FAR 47DC:89CA462D
004011E0: 39E9                   CMP ECX, EBP
004011E2: 09E4                   OR ESP, ESP
004011E4: D4A8                   AAM A8
004011E6: DE10                   FICOM WORD PTR [EAX]
004011E8: 56                      PUSH ESI
004011E9: AF                      SCASD
004011EA: FA                      CLI
004011EB: FF7CD856                INVALID
004011EF: AD                      LODSD
004011F0: 0A240E                OR AH, [ESI+ECX]
004011F3: 5D                      POP EBP
004011F4: 94                      XCHG ESP, EAX
004011F5: D324EE                SHL DWORD PTR [ESI+EBP*8], CL
004011F8: 867C70E7                XCHG BH, [EAX+ESI*2-19]
004011FC: CD43                   INT 43
004011FE: B7CD                   MOV BH, CD
00401200: AF                      SCASD
00401201: 4A                      DEC EDX
00401202: F35B                   REP POP EBX
00401204: 27                      DAA
00401205: 020A                   ADD CL, [EDX]
00401207: 2699                   CDQ
00401209: DCEA                   FSUB ST(2), ST(0)
0040120B: A7                      CMPSD
0040120C: E427                   IN AL, 27
0040120E: B806ED4EB4             MOV EAX, B44EED06
00401213: 93                      XCHG EBX, EAX
00401214: 56                      PUSH ESI
00401215: 5E                      POP ESI
00401216: B180                   MOV CL, 80
00401218: 37                      AAA
00401219: 42                      INC EDX
0040121A: E6A7                   OUT A7, AL
0040121C: 0349EF                ADD ECX, [ECX-11]
0040121F: 6572C2                JB 4011E4
00401222: D480                   AAM 80
00401224: E2AA                   LOOP 4011D0
00401226: D8670C                FSUB REAL4 PTR [EDI+0C]
00401229: 8FED                   INVALID
0040122B: D0D4                   RCL AH, 01
0040122D: 217357                AND [EBX+57], ESI
00401230: D7                      XLAT
00401231: 6E                      OUTSB
00401232: 1822                   SBB [EDX], AH
00401234: 55                      PUSH EBP
00401235: F28EA91BB44A61          REPNZ MOV GS, [ECX+614AB41B]
0040123C: 48                      DEC EAX
0040123D: FE9699998915          CALL BYTE PTR [ESI+15899999]
00401243: 815CE879E1E8AE5B       SBB [EAX+EBP*8+79], 5BAEE8E1
0040124B: FA                      CLI
0040124C: A858                   TEST AL, 58
0040124E: E20B                   LOOP 40125B
00401250: BB7FE4FC59             MOV EBX, 59FCE47F
00401255: D12500D8DC2E          SHL [2EDCD800], 01
0040125B: 8C8FE7FD69F9          MOV [EDI-06960219], CS
00401261: 94                      XCHG ESP, EAX
00401262: E42A                   IN AL, 2A
00401264: 8D02                   LEA EAX, [EDX]
00401266: 9E                      SAHF
00401267: 5B                      POP EBX
00401268: C9                      LEAVE
00401269: AF                      SCASD
0040126A: B64C                   MOV DH, 4C
0040126C: 30F6                   XOR DH, DH
0040126E: 1567A531D2             ADC EAX, D231A567
00401273: EABC2EB0619C6D          JMP FAR 6D9C:61B02EBC
0040127A: 3DDB03E677             CMP EAX, 77E603DB
0040127F: B22B                   MOV DL, 2B
00401281: 40                      INC EAX
00401282: 44                      INC ESP
00401283: B64F                   MOV DH, 4F
00401285: 4C                      DEC ESP
00401286: D1773E                INVALID
00401289: 5F                      POP EDI
0040128A: 7C57                   JL 4012E3
0040128C: 51                      PUSH ECX
0040128D: 48                      DEC EAX
0040128E: B7CE                   MOV BH, CE
00401290: 0F2EAE3D76F119          UCOMISS XMM5, [ESI+19F1763D]
00401297: 121B                   ADC BL, [EBX]
00401299: A14597F5D7             MOV EAX, [D7F59745]
0040129E: CA425B                RETF 5B42
004012A1: 57                      PUSH EDI
004012A2: 089C6365EA1596          OR BL, [EBX+*2]
004012A9: E559                   IN EAX, 59
004012AB: E681                   OUT 81, AL
004012AD: 52                      PUSH EDX
004012AE: 631C49                ARPL EBX, [ECX+ECX*2]
004012B1: 0A2D733872F3          OR CH, [F3723873]
004012B7: A26589D96E             MOV [6ED98965], AL
004012BC: 2F                      DAS
004012BD: 2F                      DAS
004012BE: 24E3                   AND AL, E3
004012C0: 59                      POP ECX
004012C1: DAFC                   INVALID
004012C3: 716B                   JNO 401330
004012C5: E0A3                   LOOPNZ 40126A
004012C7: 2043A8                AND [EBX-58], AL
004012CA: BFD1BC8031             MOV EDI, 3180BCD1
004012CF: D30A                   ROR DWORD PTR [EDX], CL
004012D1: 2F                      DAS
004012D2: 3E866DFF                XCHG CH, DS:[EBP-01]
004012D6: 1E                      PUSH DS
004012D7: 5E                      POP ESI
004012D8: CC                      INT 3
004012D9: DDF4                   INVALID
004012DB: 315790                XOR [EDI-70], EDX
004012DE: 2EF0C9                LOCK LEAVE
004012E1: EE                      OUT DX, AL
004012E2: 2F                      DAS
004012E3: 788D                   JS 401272
004012E5: 1E                      PUSH DS
004012E6: 49                      DEC ECX
004012E7: 108AB5F2214E          ADC [EDX+4E21F2B5], CL
004012ED: C9                      LEAVE
004012EE: E9244EA55A             JMP 5AE56117
004012F3: 2462                   AND AL, 62
004012F5: 0A84C1B9D4791D          OR AL, [ECX+EAX*8+1D79D4B9]
004012FC: BF1FBE6FBD             MOV EDI, BD6FBE1F
00401301: 7052                   JO 401355
00401303: B477                   MOV AH, 77
00401305: 3384AC56DF8E17          XOR EAX, [ESP+EBP*4+178EDF56]
0040130C: CD08                   INT 08
0040130E: 26A16B6A8167          MOV EAX, ES:[67816A6B]
00401314: CDF6                   INT F6
00401316: A7                      CMPSD
00401317: 3293358C0067          XOR DL, [EBX+67008C35]
0040131D: 6699                   CWD
0040131F: 3116                   XOR [ESI], EDX
00401321: BAF666763C             MOV EDX, 3C7666F6
00401326: A25B55BB78             MOV [78BB555B], AL
0040132B: EC                      IN AL, DX
0040132C: A4                      MOVSB
0040132D: A21A636F33             MOV [336F631A], AL
00401332: E64B                   OUT 4B, AL
00401334: 6C                      INSB
00401335: 828B6D1A335545          AND BYTE PTR [EBX+55331A6D], 45
0040133C: B8FB5AA3DA             MOV EAX, DAA35AFB
00401341: 03752E                ADD ESI, [EBP+2E]
00401344: 90                      NOP
00401345: 3D7C0C7DBE             CMP EAX, BE7D0C7C
0040134A: FA                      CLI
0040134B: 7DDB                   JNL 401328
0040134D: 90                      NOP
0040134E: 7A0E                   JPE 40135E
00401350: DC997AA7023B          FCOMP REAL8 PTR [ECX+3B02A77A]
00401356: 8C87E6C9AE13          MOV [EDI+13AEC9E6], ES
0040135C: DCB7D8287ADC          FDIV REAL8 PTR [EDI-2385D728]
00401362: A1AA4513EC             MOV EAX, [EC1345AA]
00401367: 72CE                   JB 401337
00401369: 250F95118B             AND EAX, 8B11950F
0040136E: 13BBBC063A39          ADC EDI, [EBX+393A06BC]
00401374: 801D816A82672A          SBB BYTE PTR [67826A81], 2A
0040137B: 6A42                   PUSH 00000042
0040137D: 301DEF3CA76E          XOR [6EA73CEF], BL
00401383: 16                      PUSH SS
00401384: 5F                      POP EDI
00401385: F0AE                   LOCK SCASB
00401387: A2EA98DB7D             MOV [7DDB98EA], AL
0040138C: 202A                   AND [EDX], CH
0040138E: 93                      XCHG EBX, EAX
0040138F: FB                      STI
00401390: 850460                TEST EAX, [EAX+*2]
00401393: 59                      POP ECX
00401394: 1D2548EBB8             SBB EAX, B8EB4825
00401399: E0B5                   LOOPNZ 401350
0040139B: C7B3945B48F6ACDA9AFB    INVALID
004013A5: C4DF                   LES EBX, EDI
004013A7: C1E2A7                SHL EDX, A7
004013AA: 9E                      SAHF
004013AB: 97                      XCHG EDI, EAX
004013AC: 9E                      SAHF
004013AD: 99                      CDQ
004013AE: 98                      CWDE
004013AF: 8DE4                   LEA ESP, ESP
004013B1: 8D472C                LEA EAX, [EDI+2C]
004013B4: F8                      CLC
004013B5: 8A32                   MOV DH, [EDX]
004013B7: 096F3D                OR [EDI+3D], EBP
004013BA: 37                      AAA
004013BB: A9A3A8CDF6             TEST EAX, F6CDA8A3
004013C0: 3F                      AAS
004013C1: 4B                      DEC EBX
004013C2: 74C8                   JZ 40138C
004013C4: E5EC                   IN EAX, EC
004013C6: B1E4                   MOV CL, E4
004013C8: BDA4771321             MOV EBP, 211377A4
004013CD: 004E2B                ADD [ESI+2B], CL
004013D0: D5A2                   AAD A2
004013D2: 81319EFCF3D5          XOR [ECX], D5F3FC9E
004013D8: 853C1B                TEST EDI, [EBX+EBX]
004013DB: 8095D401A0C8EB          ADC BYTE PTR [EBP-375FFE2C], FFFFFFEB
004013E2: 2F                      DAS
004013E3: 3EBC232C0A8D          MOV ESP, 8D0A2C23
004013E9: 9D                      POPFD
004013EA: 8324AD3B0534B97F       AND [EBP*4-46CBFAC5], 0000007F
004013F2: 54                      PUSH ESP
004013F3: FFF7                   PUSH EDI

一部分代码(从头开始的)

2006-7-2 02:09

0

二毛

雪币： 143

活跃值： (17)

能力值：

( LV2，RANK：10 )

在线值：

发帖

70

回帖

392

粉丝

0

关注

私信

二毛: 3 楼

把这个程序发出来看下

2006-7-3 02:56

0

LucIfer

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

50

粉丝

0

关注

私信

LucIfer: 4 楼

貌似ASP 2.1的壳

2006-7-3 09:05

0

sybaser

雪币： 0

能力值： (RANK：10 )

在线值：

发帖

0

回帖

17

粉丝

0

关注

私信

sybaser: 5 楼

学习了。。。。。
8错8错

2006-7-3 18:58

0

cileN

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

41

粉丝

0

关注

私信

cileN: 6 楼

最初由 sybaser 发布
学习了。。。。。
8错8错

灌水

2006-7-3 21:31

0

drivel

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

5

粉丝

0

关注

私信

drivel: 7 楼

http://www.k8k7.com/down/VIP/Q-ZONE.exe

下载地址

2006-7-4 20:50

0

二毛

雪币： 143

活跃值： (17)

能力值：

( LV2，RANK：10 )

在线值：

发帖

70

回帖

392

粉丝

0

关注

私信

二毛: 8 楼

伪装的，至于到底是什么壳我也不知道，因为我是菜鸟：）。但是我把他的伪装去了之后拿PEID查显示的是ASPACK，不知道为什么了

稍微调试了下，这是弹出注册码错误的对话框的地址
怀疑是VB写的，我最怕的就是VB的程序了。。。。
有可能加了VM，头痛啊
0040F3EF FF15 54104000 CALL DWORD PTR DS:[401054] ; msvbvm60.rtcMsgBox

2006-7-5 15:58

0