首页
社区
课程
招聘
ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验
发表于: 2004-9-1 04:44 21032

ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验

fly 活跃值
85
2004-9-1 04:44
21032
收藏
免费 7
支持
分享
最新回复 (58)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
pfpf!
我1.3的还没学会
2004-10-17 21:50
0
雪    币: 549
活跃值: (2250)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
27
ASProtect 1.2x [New Strain] -> Alexey SolodovnikovPEID怎么显示这样不是2.0?
2004-10-18 09:00
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
28
PEiD不是100%准确的
2004-10-19 17:22
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
29
学习
2004-10-19 21:22
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
30
DVDIdle v5.56也是这个壳,搞不定,郁闷!
2004-10-19 22:08
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
如果是自检后杀掉EXPLORER进程要用什么来设断点呢?
2004-10-19 23:10
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
32
最初由 temerata 发布
DVDIdle v5.56也是这个壳,搞不定,郁闷!


给个地址
有空看看
2004-10-20 00:47
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
33
最初由 viral 发布
如果是自检后杀掉EXPLORER进程要用什么来设断点呢?


看他是如何“杀”的
之前跳过
2004-10-20 00:48
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
34
最初由 fly 发布



给个地址
有空看看


http://www.dvdidle.com/download/DVDIdle55.exe
2004-10-20 08:21
0
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
好文,必看。
2004-10-20 11:28
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
36
http://www.dvdidle.com/download/DVDIdle55.exe


fly 大侠,请问一下看了这个东东没有? :o
2004-10-21 20:16
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
37
还没有
比较忙

新版aspr脱壳太费劲  :o
不如……  ;)
2004-10-21 20:18
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
38
最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版 !!!!:(
2004-10-21 20:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
最初由 fly 发布
还没有
比较忙

新版aspr脱壳太费劲 :o
不如…… ;)

不如……  ;)

i check this new version of asprotect...
ur concept of...;)  is still working in this new version..but now u have to get 3 group of value..;)
2004-10-21 21:06
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
40
最初由 VolX 发布
最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版 !!!!:(


的确是新版
和以前相比,变化不小
那些call 00CE0000 很麻烦  
:o
2004-10-22 01:21
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
41
最初由 fly 发布
的确是新版
和以前相比,变化不小
那些call 00CE0000 很麻烦


是呀!就是这个搞得头痛!:o
2004-10-22 10:14
0
雪    币: 549
活跃值: (2250)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
42
有人能找到注册码没有?
2004-10-23 00:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
fly老大,我按照你的做法试了一下,其他的都正常, 就是IAT加密部分断不下来, F2,或者硬件中断都不灵, 不知道为什么

操作系统(xp sp1), 和工具的版本都符合你的相关说明

我按照老办法, 最后一次异常, 然后从一个JMP跟进, 也能找到OEP, 但是IAT就不知道怎么恢复了

我也试过了经你修改的汉化过的Ollydbg, 也是断不下来

是不是我的什么设置有问题呀?

我的操作流程如下
IsDebug->hide,
Ollydgb->Debuging options, 忽略所有异常
he GetModuleHandleA
Shift+F9两次,
Alt+F9返回
hd GetModuleHandleA
Ctrl+F9 [两次,这个地方你在文中,好像没有说是具体几次]
返回到
00A4A5CC     68 7828A400         push 0A42878
00A4A5D1     C3                  retn
然后Ctrl+s, Entire Block,
查到四个地方, 都设置上F2(或者硬件中断, hardware on execution)
然后Shift+F9, 程序就直接运行起来了,
不知道什么地方弄错了
麻烦fly大侠了!!!!! 多谢!!!!
2004-10-25 11:23
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
44
目标程序相同?
如果用了输入表高级保护选项请看Aspr 1.31主程序脱壳的那篇
2004-10-25 12:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
fly大侠,
怪不得大家这么敬重你, 技术上就不用多说了,
光是回贴的速度和内容, 就不得不...
佩服!!!

我会继续努力的, 希望有一天也能多多少少的回报一些
2004-10-25 13:12
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
1.3和2.0谁比较强啊~
看情况是2.0的版本较高,但是1.3好象更难脱哦!
2004-11-9 12:42
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
47
都不好脱
关键看他是如何加壳
2004-11-9 13:00
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
48
最初由 fly 发布
……
如果你发现程序执行扫描功能时出错,不要心急,原程序就有这个问题。作者和我们开个玩笑?
……


3.57 出来了,看了一下。应该是系统语言的原因。

004225F0   .  A1 B40C4900   mov eax,dword ptr ds:[490CB4]
004225F5   .  56            push esi                                 ;  unpacked.0047A4B8
004225F6   .  85C0          test eax,eax
004225F8   .  8BF1          mov esi,ecx
004225FA      74 04         je short unpacked.00422600
004225FC   .  33C0          xor eax,eax
004225FE   .  FE00          inc byte ptr ds:[eax]                    ;  出错

00419B43   .  E8 48130000   call unpacked.0041AE90
00419B48   .  A3 B40C4900   mov dword ptr ds:[490CB4],eax

0041AE90  /$  81EC 08010000 sub esp,108
0041AE96  |.  53            push ebx
0041AE97  |.  55            push ebp
0041AE98  |.  E8 E3000000   call unpacked.0041AF80
0041AE9D  |.  85C0          test eax,eax
0041AE9F  |.  74 0E         je short unpacked.0041AEAF
0041AEA1  |.  5D            pop ebp                                  ;  unpacked.00497078
0041AEA2  |.  B8 01000000   mov eax,1
0041AEA7  |.  5B            pop ebx                                  ;  unpacked.00497078
0041AEA8  |.  81C4 08010000 add esp,108
0041AEAE  |.  C3            retn
0041AEAF  |>  8D4424 0C     lea eax,dword ptr ss:[esp+C]
0041AEB3  |.  68 04010000   push 104                                 ; /BufSize = 104 (260.)
0041AEB8  |.  50            push eax                                 ; |PathBuffer = 00000060
0041AEB9  |.  6A 00         push 0                                   ; |hModule = NULL
0041AEBB  |.  FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA
0041AEC1  |.  6A 00         push 0                                   ; /hTemplateFile = NULL
0041AEC3  |.  6A 00         push 0                                   ; |Attributes = 0
0041AEC5  |.  6A 03         push 3                                   ; |Mode = OPEN_EXISTING
0041AEC7  |.  6A 00         push 0                                   ; |pSecurity = NULL
0041AEC9  |.  6A 03         push 3                                   ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0041AECB  |.  8D4C24 20     lea ecx,dword ptr ss:[esp+20]            ; |
0041AECF  |.  68 00000080   push 80000000                            ; |Access = GENERIC_READ
0041AED4  |.  51            push ecx                                 ; |FileName = "?G"
0041AED5  |.  FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA
0041AEDB  |.  8BE8          mov ebp,eax
0041AEDD  |.  83FD FF       cmp ebp,-1
0041AEE0  |.  75 0B         jnz short unpacked.0041AEED
0041AEE2  |.  5D            pop ebp                                  ;  unpacked.00497078
0041AEE3  |.  33C0          xor eax,eax
0041AEE5  |.  5B            pop ebx                                  ;  unpacked.00497078
0041AEE6  |.  81C4 08010000 add esp,108
0041AEEC  |.  C3            retn
0041AEED  |>  8D5424 08     lea edx,dword ptr ss:[esp+8]
0041AEF1  |.  52            push edx                                 ; /pFileSizeHigh = NULL
0041AEF2  |.  55            push ebp                                 ; |hFile = NULL
0041AEF3  |.  FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize
0041AEF9  |.  8BD8          mov ebx,eax
0041AEFB  |.  83FB FF       cmp ebx,-1
0041AEFE  |.  75 12         jnz short unpacked.0041AF12
0041AF00  |.  55            push ebp                                 ; /hObject = NULL
0041AF01  |.  FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle
0041AF07  |.  5D            pop ebp                                  ;  unpacked.00497078
0041AF08  |.  33C0          xor eax,eax
0041AF0A  |.  5B            pop ebx                                  ;  unpacked.00497078
0041AF0B  |.  81C4 08010000 add esp,108
0041AF11  |.  C3            retn
0041AF12  |>  8B4424 08     mov eax,dword ptr ss:[esp+8]
0041AF16  |.  56            push esi                                 ;  unpacked.00497078
0041AF17  |.  85C0          test eax,eax
0041AF19  |.  57            push edi
0041AF1A  |.  75 06         jnz short unpacked.0041AF22
0041AF1C  |.  8BFB          mov edi,ebx
0041AF1E  |.  33F6          xor esi,esi                              ;  unpacked.00497078
0041AF20  |.  EB 16         jmp short unpacked.0041AF38
0041AF22  |>  6A 01         push 1
0041AF24  |.  6A 00         push 0
0041AF26  |.  6A 00         push 0
0041AF28  |.  50            push eax
0041AF29  |.  E8 02420200   call unpacked.0043F130
0041AF2E  |.  8BF8          mov edi,eax
0041AF30  |.  33C0          xor eax,eax
0041AF32  |.  8BF2          mov esi,edx
0041AF34  |.  03FB          add edi,ebx
0041AF36  |.  13F0          adc esi,eax
0041AF38  |>  55            push ebp                                 ; /hObject = NULL
0041AF39  |.  FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle
0041AF3F  |.  85F6          test esi,esi                             ;  unpacked.00497078
0041AF41  |.  7F 25         jg short unpacked.0041AF68
0041AF43  |.  7C 08         jl short unpacked.0041AF4D
0041AF45  |.  81FF 90230B00 cmp edi,0B2390                           ;  自校验1
0041AF4B  |.  77 1B         ja short unpacked.0041AF68
0041AF4D  |>  85F6          test esi,esi                             ;  unpacked.00497078
0041AF4F  |.  7C 17         jl short unpacked.0041AF68
0041AF51  |.  7F 08         jg short unpacked.0041AF5B
0041AF53  |.  81FF F09C0900 cmp edi,99CF0
0041AF59  |.  72 0D         jb short unpacked.0041AF68
0041AF5B  |>  5F            pop edi                                  ;  unpacked.00497078
0041AF5C  |.  5E            pop esi                                  ;  unpacked.00497078
0041AF5D  |.  5D            pop ebp                                  ;  unpacked.00497078
0041AF5E  |.  33C0          xor eax,eax
0041AF60  |.  5B            pop ebx                                  ;  unpacked.00497078
0041AF61  |.  81C4 08010000 add esp,108
0041AF67  |.  C3            retn

0041AF80  /$  FF15 BC734700 call dword ptr ds:[<&kernel32.GetSystemD>; [GetSystemDefaultLangID
0041AF86  |.  66:3D 0408    cmp ax,804
0041AF8A  |.  75 06         jnz short unpacked.0041AF92              ;  检测系统语言ID,如果这里不跳,则引起004225FE处的异常。
0041AF8C  |.  B8 01000000   mov eax,1
0041AF91  |.  C3            retn
0041AF92  |>  25 FF030000   and eax,3FF
0041AF97  |.  33C9          xor ecx,ecx                              ;  unpacked.00497078
0041AF99  |.  83F8 19       cmp eax,19
0041AF9C  |.  0F94C1        sete cl
0041AF9F  |.  8BC1          mov eax,ecx                              ;  unpacked.00497078
0041AFA1  \.  C3            retn

另一出错处:

0041F920   .  E8 0B010000   call unpacked.0041FA30
0041F925   .  85C0          test eax,eax
0041F927   .  74 04         je short unpacked.0041F92D
0041F929   .  33C0          xor eax,eax
0041F92B   .  FE00          inc byte ptr ds:[eax]

0041FA30  /$  81EC 08010000 sub esp,108
0041FA36  |.  8D4424 04     lea eax,dword ptr ss:[esp+4]
0041FA3A  |.  53            push ebx
0041FA3B  |.  55            push ebp
0041FA3C  |.  68 04010000   push 104                                 ; /BufSize = 104 (260.)
0041FA41  |.  50            push eax                                 ; |PathBuffer = 00000060
0041FA42  |.  6A 00         push 0                                   ; |hModule = NULL
0041FA44  |.  FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA
0041FA4A  |.  6A 00         push 0                                   ; /hTemplateFile = NULL
0041FA4C  |.  6A 00         push 0                                   ; |Attributes = 0
0041FA4E  |.  6A 03         push 3                                   ; |Mode = OPEN_EXISTING
0041FA50  |.  6A 00         push 0                                   ; |pSecurity = NULL
0041FA52  |.  6A 03         push 3                                   ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0041FA54  |.  8D4C24 20     lea ecx,dword ptr ss:[esp+20]            ; |
0041FA58  |.  68 00000080   push 80000000                            ; |Access = GENERIC_READ
0041FA5D  |.  51            push ecx                                 ; |FileName = "?G"
0041FA5E  |.  FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA
0041FA64  |.  8BE8          mov ebp,eax
0041FA66  |.  83FD FF       cmp ebp,-1
0041FA69  |.  75 0B         jnz short unpacked.0041FA76
0041FA6B  |.  5D            pop ebp                                  ;  unpacked.00497078
0041FA6C  |.  33C0          xor eax,eax
0041FA6E  |.  5B            pop ebx                                  ;  unpacked.00497078
0041FA6F  |.  81C4 08010000 add esp,108
0041FA75  |.  C3            retn
0041FA76  |>  8D5424 08     lea edx,dword ptr ss:[esp+8]
0041FA7A  |.  52            push edx                                 ; /pFileSizeHigh = NULL
0041FA7B  |.  55            push ebp                                 ; |hFile = NULL
0041FA7C  |.  FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize
0041FA82  |.  8BD8          mov ebx,eax
0041FA84  |.  83FB FF       cmp ebx,-1
0041FA87  |.  75 12         jnz short unpacked.0041FA9B
0041FA89  |.  55            push ebp                                 ; /hObject = NULL
0041FA8A  |.  FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle
0041FA90  |.  5D            pop ebp                                  ;  unpacked.00497078
0041FA91  |.  33C0          xor eax,eax
0041FA93  |.  5B            pop ebx                                  ;  unpacked.00497078
0041FA94  |.  81C4 08010000 add esp,108
0041FA9A  |.  C3            retn
0041FA9B  |>  8B4424 08     mov eax,dword ptr ss:[esp+8]
0041FA9F  |.  56            push esi                                 ;  unpacked.00497078
0041FAA0  |.  85C0          test eax,eax
0041FAA2  |.  57            push edi
0041FAA3  |.  75 06         jnz short unpacked.0041FAAB
0041FAA5  |.  8BFB          mov edi,ebx
0041FAA7  |.  33F6          xor esi,esi                              ;  unpacked.00497078
0041FAA9  |.  EB 16         jmp short unpacked.0041FAC1
0041FAAB  |>  6A 01         push 1
0041FAAD  |.  6A 00         push 0
0041FAAF  |.  6A 00         push 0
0041FAB1  |.  50            push eax
0041FAB2  |.  E8 79F60100   call unpacked.0043F130
0041FAB7  |.  8BF8          mov edi,eax
0041FAB9  |.  33C0          xor eax,eax
0041FABB  |.  8BF2          mov esi,edx
0041FABD  |.  03FB          add edi,ebx
0041FABF  |.  13F0          adc esi,eax
0041FAC1  |>  55            push ebp                                 ; /hObject = NULL
0041FAC2  |.  FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle
0041FAC8  |.  85F6          test esi,esi                             ;  unpacked.00497078
0041FACA  |.  7F 25         jg short unpacked.0041FAF1
0041FACC  |.  7C 08         jl short unpacked.0041FAD6
0041FACE  |.  81FF 90230B00 cmp edi,0B2390                           ;  自校验2
0041FAD4  |.  77 1B         ja short unpacked.0041FAF1
0041FAD6  |>  85F6          test esi,esi                             ;  unpacked.00497078
0041FAD8  |.  7C 17         jl short unpacked.0041FAF1
0041FADA  |.  7F 08         jg short unpacked.0041FAE4
0041FADC  |.  81FF F09C0900 cmp edi,99CF0
0041FAE2  |.  72 0D         jb short unpacked.0041FAF1
0041FAE4  |>  5F            pop edi                                  ;  unpacked.00497078
0041FAE5  |.  5E            pop esi                                  ;  unpacked.00497078
0041FAE6  |.  5D            pop ebp                                  ;  unpacked.00497078
0041FAE7  |.  33C0          xor eax,eax
0041FAE9  |.  5B            pop ebx                                  ;  unpacked.00497078
0041FAEA  |.  81C4 08010000 add esp,108
0041FAF0  |.  C3            retn
0041FAF1  |>  5F            pop edi                                  ;  unpacked.00497078
0041FAF2  |.  5E            pop esi                                  ;  unpacked.00497078
0041FAF3  |.  5D            pop ebp                                  ;  unpacked.00497078
0041FAF4  |.  B8 01000000   mov eax,1
0041FAF9  |.  5B            pop ebx                                  ;  unpacked.00497078
0041FAFA  |.  81C4 08010000 add esp,108
0041FB00  \.  C3            retn

上面两个校验引起扫描时的异常。还有一个校验就是引起重启。
2004-12-24 14:49
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
49
修复时的异常:

0041DC70   .  E8 EB240000   call unpacked.00420160
0041DC75   .  85C0          test eax,eax
0041DC77   .  74 05         je short unpacked.0041DC7E
0041DC79   .  83C8 FF       or eax,FFFFFFFF
0041DC7C   .  FE00          inc byte ptr ds:[eax]                    ;  修复时出错

00420160  /$  A1 0C724900   mov eax,dword ptr ds:[49720C]
00420165  |.  81EC 0C020000 sub esp,20C
0042016B  |.  85C0          test eax,eax
0042016D  |.  0F84 86000000 je unpacked.004201F9
00420173  |.  8B0D 40A04700 mov ecx,dword ptr ds:[47A040]            ;  unpacked.0048F680
00420179  |.  8D4424 04     lea eax,dword ptr ss:[esp+4]
0042017D  |.  50            push eax                                 ; /pHandle = 0109FCF8
0042017E  |.  68 3F000F00   push 0F003F                              ; |Access = KEY_ALL_ACCESS
00420183  |.  6A 00         push 0                                   ; |Reserved = 0
00420185  |.  51            push ecx                                 ; |Subkey = ""
00420186  |.  68 01000080   push 80000001                            ; |hKey = HKEY_CURRENT_USER
0042018B  |.  C74424 18 000>mov dword ptr ss:[esp+18],0              ; |
00420193  |.  FF15 08704700 call dword ptr ds:[<&advapi32.RegOpenKey>; \RegOpenKeyExA
00420199  |.  85C0          test eax,eax
0042019B  |.  75 5C         jnz short unpacked.004201F9
0042019D  |.  56            push esi
0042019E  |.  8B7424 08     mov esi,dword ptr ss:[esp+8]
004201A2  |.  894424 0C     mov dword ptr ss:[esp+C],eax
004201A6  |.  8D5424 04     lea edx,dword ptr ss:[esp+4]
004201AA  |.  57            push edi
004201AB  |.  8D4424 14     lea eax,dword ptr ss:[esp+14]
004201AF  |.  52            push edx                                 ; /pBufSize = 0109FCEC
004201B0  |.  8D4C24 14     lea ecx,dword ptr ss:[esp+14]            ; |
004201B4  |.  50            push eax                                 ; |Buffer = 0109FCF8
004201B5  |.  51            push ecx                                 ; |pValueType = 0109FCF4
004201B6  |.  6A 00         push 0                                   ; |Reserved = NULL
004201B8  |.  68 20F74800   push unpacked.0048F720                   ; |ValueName = "Key"这里检测有没有Key!
004201BD  |.  56            push esi                                 ; |hKey = AC
004201BE  |.  C74424 20 000>mov dword ptr ss:[esp+20],200            ; |
004201C6  |.  FF15 04704700 call dword ptr ds:[<&advapi32.RegQueryVa>; \RegQueryValueExA
004201CC  |.  85C0          test eax,eax
004201CE  |.  75 0E         jnz short unpacked.004201DE
004201D0  |.  817C24 08 AA0>cmp dword ptr ss:[esp+8],0AA
004201D8  |.  1BFF          sbb edi,edi
004201DA  |.  F7DF          neg edi
004201DC  |.  EB 05         jmp short unpacked.004201E3
004201DE  |>  BF 01000000   mov edi,1
004201E3  |>  85F6          test esi,esi
004201E5  |.  74 07         je short unpacked.004201EE
004201E7  |.  56            push esi                                 ; /hKey = 000000AC (window)
004201E8  |.  FF15 44704700 call dword ptr ds:[<&advapi32.RegCloseKe>; \RegCloseKey
004201EE  |>  8BC7          mov eax,edi
004201F0  |.  5F            pop edi
004201F1  |.  5E            pop esi
004201F2  |.  81C4 0C020000 add esp,20C
004201F8  |.  C3            retn
004201F9  |>  33C0          xor eax,eax
004201FB  |.  81C4 0C020000 add esp,20C
00420201  \.  C3            retn
2004-12-24 14:56
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
50
学习先!!!
2004-12-24 15:11
0
游客
登录 | 注册 方可回帖
返回
//