005E97C8 > 55 PUSH EBP
005E97C9 8BEC MOV EBP, ESP
005E97CB 83C4 F4 ADD ESP, -0C
005E97CE 53 PUSH EBX
005E97CF 56 PUSH ESI
005E97D0 57 PUSH EDI ; ntdll.7C930738
005E97D1 8B75 08 MOV ESI, DWORD PTR [EBP+8] ; Dumped_n.<ModuleEntryPoint>
005E97D4 8B46 10 MOV EAX, DWORD PTR [ESI+10]
005E97D7 83E0 01 AND EAX, 1
005E97DA A3 1C267F00 MOV DWORD PTR [7F261C], EAX
005E97DF E8 F4D1FFFF CALL 005E69D8 ; 005E69D8
005E97E4 8B56 20 MOV EDX, DWORD PTR [ESI+20]
005E97E7 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E97E8 8B4E 1C MOV ECX, DWORD PTR [ESI+1C]
005E97EB 51 PUSH ECX
005E97EC E8 AFD5FFFF CALL 005E6DA0 ; 005E6DA0
005E97F1 83C4 08 ADD ESP, 8
005E97F4 8B46 28 MOV EAX, DWORD PTR [ESI+28]
005E97F7 50 PUSH EAX
005E97F8 E8 1BABFFFF CALL 005E4318 ; 005E4318
005E97FD 59 POP ECX ; kernel32.7C816FD7
005E97FE 8B56 44 MOV EDX, DWORD PTR [ESI+44]
005E9801 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E9802 E8 21ABFFFF CALL 005E4328 ; 005E4328
005E9807 59 POP ECX ; kernel32.7C816FD7
005E9808 C705 34058300 0>MOV DWORD PTR [830534], 1
005E9812 8935 38058300 MOV DWORD PTR [830538], ESI
005E9818 8D4D F8 LEA ECX, DWORD PTR [EBP-8]
005E981B 890D 1C058300 MOV DWORD PTR [83051C], ECX
005E9821 E8 369EFFFF CALL 005E365C ; 005E365C
005E9826 E8 C98F0500 CALL 006427F4 ; <JMP.&kernel32.GetEnvironmentStrings>
005E982B A3 0C058300 MOV DWORD PTR [83050C], EAX
005E9830 E8 658F0500 CALL 0064279A ; <JMP.&kernel32.GetCommandLineA>
005E9835 A3 08058300 MOV DWORD PTR [830508], EAX
005E983A 8B46 30 MOV EAX, DWORD PTR [ESI+30]
005E983D 50 PUSH EAX
005E983E 8B56 2C MOV EDX, DWORD PTR [ESI+2C]
005E9841 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E9842 E8 69F2FFFF CALL 005E8AB0 ; 005E8AB0
005E9847 83C4 08 ADD ESP, 8
005E984A 8B4E 40 MOV ECX, DWORD PTR [ESI+40]
005E984D 51 PUSH ECX
005E984E 8B46 3C MOV EAX, DWORD PTR [ESI+3C]
005E9851 50 PUSH EAX
005E9852 8B56 38 MOV EDX, DWORD PTR [ESI+38]
005E9855 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E9856 8B4E 34 MOV ECX, DWORD PTR [ESI+34]
005E9859 51 PUSH ECX
005E985A E8 95F2FFFF CALL 005E8AF4 ; 005E8AF4
005E985F 83C4 10 ADD ESP, 10
005E9862 E8 E5FDFFFF CALL 005E964C ; 005E964C
005E9867 8BF8 MOV EDI, EAX
005E9869 85C0 TEST EAX, EAX
005E986B 74 3A JE SHORT 005E98A7 ; 005E98A7
005E986D 8B17 MOV EDX, DWORD PTR [EDI]
005E986F C74497 04 FFFFF>MOV DWORD PTR [EDI+EDX*4+4], -1
005E9877 6A 00 PUSH 0
005E9879 57 PUSH EDI ; ntdll.7C930738
005E987A E8 D5FDFFFF CALL 005E9654 ; 005E9654
005E987F 83C4 08 ADD ESP, 8
005E9882 33C9 XOR ECX, ECX
005E9884 894D F4 MOV DWORD PTR [EBP-C], ECX
005E9887 8D5F 04 LEA EBX, DWORD PTR [EDI+4]
005E988A EB 14 JMP SHORT 005E98A0 ; 005E98A0
005E988C 8B03 MOV EAX, DWORD PTR [EBX]
005E988E 8B50 14 MOV EDX, DWORD PTR [EAX+14]
005E9891 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E9892 6A 00 PUSH 0
005E9894 FF50 18 CALL DWORD PTR [EAX+18]
005E9897 83C4 08 ADD ESP, 8
005E989A FF45 F4 INC DWORD PTR [EBP-C] ; kernel32.7C839AA8
005E989D 83C3 04 ADD EBX, 4
005E98A0 8B0F MOV ECX, DWORD PTR [EDI]
005E98A2 3B4D F4 CMP ECX, DWORD PTR [EBP-C] ; kernel32.7C839AA8
005E98A5 ^ 7F E5 JG SHORT 005E988C ; 005E988C
005E98A7 6A 00 PUSH 0
005E98A9 68 34058300 PUSH 830534
005E98AE E8 A1FDFFFF CALL 005E9654 ; 005E9654
005E98B3 83C4 08 ADD ESP, 8
005E98B6 F646 10 01 TEST BYTE PTR [ESI+10], 1
005E98BA 74 67 JE SHORT 005E9923 ; 005E9923
005E98BC 8B1D 08058300 MOV EBX, DWORD PTR [830508]
005E98C2 EB 01 JMP SHORT 005E98C5 ; 005E98C5
005E98C4 43 INC EBX
005E98C5 8A03 MOV AL, BYTE PTR [EBX]
005E98C7 3C 20 CMP AL, 20
005E98C9 ^ 74 F9 JE SHORT 005E98C4 ; 005E98C4
005E98CB 3C 09 CMP AL, 9
005E98CD ^ 74 F5 JE SHORT 005E98C4 ; 005E98C4
005E98CF 803B 22 CMP BYTE PTR [EBX], 22
005E98D2 75 05 JNZ SHORT 005E98D9 ; 005E98D9
005E98D4 B2 22 MOV DL, 22
005E98D6 43 INC EBX
005E98D7 EB 05 JMP SHORT 005E98DE ; 005E98DE
005E98D9 B2 20 MOV DL, 20
005E98DB EB 01 JMP SHORT 005E98DE ; 005E98DE
005E98DD 43 INC EBX
005E98DE 8A03 MOV AL, BYTE PTR [EBX]
005E98E0 84C0 TEST AL, AL
005E98E2 74 08 JE SHORT 005E98EC ; 005E98EC
005E98E4 3AD0 CMP DL, AL
005E98E6 74 04 JE SHORT 005E98EC ; 005E98EC
005E98E8 3C 09 CMP AL, 9
005E98EA ^ 75 F1 JNZ SHORT 005E98DD ; 005E98DD
005E98EC 803B 22 CMP BYTE PTR [EBX], 22
005E98EF 75 04 JNZ SHORT 005E98F5 ; 005E98F5
005E98F1 43 INC EBX
005E98F2 EB 01 JMP SHORT 005E98F5 ; 005E98F5
005E98F4 43 INC EBX
005E98F5 8A03 MOV AL, BYTE PTR [EBX]
005E98F7 84C0 TEST AL, AL
005E98F9 74 04 JE SHORT 005E98FF ; 005E98FF
005E98FB 3C 20 CMP AL, 20
005E98FD ^ 74 F5 JE SHORT 005E98F4 ; 005E98F4
005E98FF 3C 09 CMP AL, 9
005E9901 ^ 74 F1 JE SHORT 005E98F4 ; 005E98F4
005E9903 E8 44000000 CALL 005E994C ; 005E994C
005E9908 50 PUSH EAX
005E9909 53 PUSH EBX
005E990A 6A 00 PUSH 0
005E990C 6A 00 PUSH 0
005E990E E8 478F0500 CALL 0064285A ; <JMP.&kernel32.GetModuleHandleA>
005E9913 50 PUSH EAX
005E9914 FF56 18 CALL DWORD PTR [ESI+18]
005E9917 83C4 10 ADD ESP, 10
005E991A 50 PUSH EAX
005E991B E8 40F1FFFF CALL 005E8A60 ; 005E8A60
005E9920 59 POP ECX ; kernel32.7C816FD7
005E9921 EB 21 JMP SHORT 005E9944 ; 005E9944
005E9923 8B15 04058300 MOV EDX, DWORD PTR [830504]
005E9929 52 PUSH EDX ; ntdll.KiFastSystemCallRet
005E992A 8B0D 00058300 MOV ECX, DWORD PTR [830500]
005E9930 51 PUSH ECX
005E9931 A1 FC048300 MOV EAX, DWORD PTR [8304FC]
005E9936 50 PUSH EAX
005E9937 FF56 18 CALL DWORD PTR [ESI+18]
005E993A 83C4 0C ADD ESP, 0C
005E993D 50 PUSH EAX
005E993E E8 1DF1FFFF CALL 005E8A60 ; 005E8A60
005E9943 59 POP ECX ; kernel32.7C816FD7
005E9944 5F POP EDI ; kernel32.7C816FD7
005E9945 5E POP ESI ; kernel32.7C816FD7
005E9946 5B POP EBX ; kernel32.7C816FD7
005E9947 8BE5 MOV ESP, EBP
005E9949 5D POP EBP ; kernel32.7C816FD7
005E994A C3 RETN
不知道是不是正确的OEP