-
-
[旧帖] [求助]论坛里很少提及到的破解问题,高手进 0.00雪花
-
发表于: 2008-2-7 14:06 3569
-
各位前辈鼠年大吉
本人遇到一个破解方面提到较少的一种,就是可以在程序上非常容易的注册,但是是需要冲值的,
如下图:
用户名 用户注册
密码 用户等录
冲值卡号 冲值
进入页面就是这样的,可以在此程序上注册,但是需要冲值在可以正常运行,我该从何入手呢,
用OD打开程序,修改了入口,以下是OD载入的信息:
刚进入是这样的。
00452580 > - E9 7BBA0300 JMP de_start.0048E000 ; (初始 cpu 选择)
00452585 F2 DB F2
00452586 41 DB 41 ; CHAR 'A'
00452587 C4 DB C4
00452588 93 DB 93
00452589 96 DB 96
0045258A A4 DB A4
0045258B C1 DB C1
0045258C 0B DB 0B
0045258D 58 DB 58 ; CHAR 'X'
0045258E 26 DB 26 ; CHAR '&'
0045258F 42 DB 42 ; CHAR 'B'
00452590 34 DB 34 ; CHAR '4'
00452591 B6 DB B6
00452592 B4 DB B4
00452593 EA DB EA
00452594 9F DB 9F
00452595 32 DB 32 ; CHAR '2'
00452596 D9 DB D9
00452597 79 DB 79 ; CHAR 'y'
00452598 1F DB 1F
00452599 28 DB 28 ; CHAR '('
0045259A 93 DB 93
0045259B 48 DB 48 ; CHAR 'H'
0045259C 3B DB 3B ; CHAR ';'
0045259D D8 DB D8
0045259E BD DB BD
0045259F 91 DB 91
004525A0 74 DB 74 ; CHAR 't'
004525A1 59 DB 59 ; CHAR 'Y'
004525A2 57 DB 57 ; CHAR 'W'
004525A3 F1 DB F1
004525A4 BD DB BD
004525A5 A1 DB A1
004525A6 2B DB 2B ; CHAR '+'
004525A7 E2 DB E2
004525A8 D4 DB D4
004525A9 06 DB 06
004525AA A8 DB A8
004525AB 2D DB 2D ; CHAR '-'
004525AC 71 DB 71 ; CHAR 'q'
004525AD C1 DB C1
004525AE FB DB FB
004525AF 8E DB 8E
004525B0 69 DB 69 ; CHAR 'i'
004525B1 65 DB 65 ; CHAR 'e'
004525B2 AF DB AF
004525B3 0C DB 0C
004525B4 3D DB 3D ; CHAR '='
004525B5 4B DB 4B ; CHAR 'K'
004525B6 5E DB 5E ; CHAR '^'
004525B7 AE DB AE
004525B8 BD DB BD
004525B9 6B DB 6B ; CHAR 'k'
004525BA 4F DB 4F ; CHAR 'O'
004525BB A6 DB A6
004525BC A4 DB A4
往下走一步到这里:
0048E000 55 PUSH EBP ; (初始 cpu 选择)
0048E001 C1CD DF ROR EBP,0DF ; 移位常量超出 1..31 的范围
0048E004 BD F6D64900 MOV EBP,49D6F6
0048E009 3E:EB 02 JMP SHORT de_start.0048E00E ; 多余的前缀
0048E00C CD 20 INT 20
0048E00E 83DD 59 SBB EBP,59
0048E011 F2: PREFIX REPNE: ; 多余的前缀
0048E012 EB 01 JMP SHORT de_start.0048E015
0048E014 - E9 BDD69042 JMP 42D9B6D6
0048E019 008D 6C246E8D ADD BYTE PTR SS:[EBP+8D6E246C],CL
0048E01F 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048E020 05 922BE883 ADD EAX,83E82B92
0048E025 C4F0 LES ESI,EAX ; 非法使用寄存器
0048E027 034424 18 ADD EAX,DWORD PTR SS:[ESP+18]
0048E02B 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048E02F 64:EB 02 JMP SHORT de_start.0048E034 ; 多余的前缀
0048E032 CD 20 INT 20
0048E034 6A 70 PUSH 70
0048E036 F2: PREFIX REPNE: ; 多余的前缀
0048E037 EB 01 JMP SHORT de_start.0048E03A
0048E039 F2:66: PREFIX REPNE: ; 多余的前缀
0048E03B 9C PUSHFD
0048E03C 51 PUSH ECX
0048E03D 81D1 A6F73C6F ADC ECX,6F3CF7A6
0048E043 EB 01 JMP SHORT de_start.0048E046
0048E045 0F8B CC83C106 JPO 070A6417
0048E04B 52 PUSH EDX
0048E04C 64:EB 02 JMP SHORT de_start.0048E051 ; 多余的前缀
0048E04F CD 20 INT 20
0048E051 81D2 825E0F45 ADC EDX,450F5E82
0048E057 2BD1 SUB EDX,ECX
0048E059 8D942F 80234500 LEA EDX,DWORD PTR DS:[EDI+EBP+452380]
0048E060 2BD5 SUB EDX,EBP
0048E062 2BD7 SUB EDX,EDI
0048E064 52 PUSH EDX
0048E065 8F01 POP DWORD PTR DS:[ECX]
0048E067 5A POP EDX
0048E068 59 POP ECX
0048E069 66:9D POPFW
0048E06B C1C8 F7 ROR EAX,0F7 ; 移位常量超出 1..31 的范围
0048E06E 65:EB 01 JMP SHORT de_start.0048E072 ; 多余的前缀
0048E071 9A C1E8E258 E90>CALL FAR 0EE9:58E2E8C1 ; 远调用
0048E078 0E PUSH CS
0048E079 0000 ADD BYTE PTR DS:[EAX],AL
0048E07B 334424 28 XOR EAX,DWORD PTR SS:[ESP+28]
0048E07F 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E083 3E:EB 02 JMP SHORT de_start.0048E088 ; 多余的前缀
0048E086 CD 20 INT 20
0048E088 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048E08C B8 D6C34600 MOV EAX,de_start.0046C3D6 ; ?
0048E091 64:EB 02 JMP SHORT de_start.0048E096 ; 多余的前缀
0048E094 CD 20 INT 20
0048E096 F3: PREFIX REP: ; 多余的前缀
0048E097 EB 02 JMP SHORT de_start.0048E09B
0048E099 CD 20 INT 20
0048E09B 8D843A 8A504800 LEA EAX,DWORD PTR DS:[EDX+EDI+48508A]
0048E0A2 8D442B 2A LEA EAX,DWORD PTR DS:[EBX+EBP+2A]
0048E0A6 64:EB 02 JMP SHORT de_start.0048E0AB ; 多余的前缀
0048E0A9 CD 20 INT 20
0048E0AB 2BC5 SUB EAX,EBP
0048E0AD 8D4410 D6 LEA EAX,DWORD PTR DS:[EAX+EDX-2A]
0048E0B1 2BC2 SUB EAX,EDX
0048E0B3 E9 570C0000 JMP de_start.0048ED0F
0048E0B8 F3: PREFIX REP: ; 多余的前缀
0048E0B9 EB 02 JMP SHORT de_start.0048E0BD
0048E0BB CD 20 INT 20
0048E0BD 81F0 B51C63AF XOR EAX,AF631CB5
0048E0C3 B8 DA3E4800 MOV EAX,de_start.00483EDA
0048E0C8 EB 01 JMP SHORT de_start.0048E0CB
0048E0CA 69B8 3E584200 3>IMUL EDI,DWORD PTR DS:[EAX+42583E],CD02E>
0048E0D4 208D 4475B38D AND BYTE PTR SS:[EBP+8DB37544],CL
0048E0DA 44 INC ESP
0048E0DB 0B70 2B OR ESI,DWORD PTR DS:[EAX+2B]
0048E0DE C136 EB SAL DWORD PTR DS:[ESI],0EB ; 移位常量超出 1..31 的范围
0048E0E1 010F ADD DWORD PTR DS:[EDI],ECX
0048E0E3 3E:EB 02 JMP SHORT de_start.0048E0E8 ; 多余的前缀
0048E0E6 CD 20 INT 20
0048E0E8 8D4408 90 LEA EAX,DWORD PTR DS:[EAX+ECX-70]
0048E0EC 2BC1 SUB EAX,ECX
0048E0EE E8 A15AF7FF CALL de_start.00403B94
0048E0F3 E9 A40A0000 JMP de_start.0048EB9C
0048E0F8 894D FC MOV DWORD PTR SS:[EBP-4],ECX
0048E0FB 81DB 6EC06037 SBB EBX,3760C06E
0048E101 F2: PREFIX REPNE: ; 多余的前缀
0048E102 EB 01 JMP SHORT de_start.0048E105
0048E104 F3: PREFIX REP: ; 多余的前缀
0048E105 52 PUSH EDX
0048E106 C1CB 23 ROR EBX,23 ; 移位常量超出 1..31 的范围
0048E109 83CB 7F OR EBX,7F
0048E10C 5B POP EBX
0048E10D E9 62010000 JMP de_start.0048E274
0048E112 56 PUSH ESI
0048E113 66:9C PUSHFW
0048E115 51 PUSH ECX
0048E116 81C1 46A70F2A ADD ECX,2A0FA746
0048E11C 0BCD OR ECX,EBP
0048E11E B9 A6164200 MOV ECX,de_start.004216A6
0048E123 034C24 38 ADD ECX,DWORD PTR SS:[ESP+38]
0048E127 64:EB 02 JMP SHORT de_start.0048E12C ; 多余的前缀
0048E12A CD 20 INT 20
0048E12C 8D4C14 33 LEA ECX,DWORD PTR SS:[ESP+EDX+33]
0048E130 2BCA SUB ECX,EDX
0048E132 83E9 33 SUB ECX,33
0048E135 8D4C11 06 LEA ECX,DWORD PTR DS:[ECX+EDX+6]
0048E139 2BCA SUB ECX,EDX
0048E13B 2E:EB 01 JMP SHORT de_start.0048E13F ; 多余的前缀
0048E13E E8 552EEB01 CALL 02340F98
0048E143 C7 ??? ; 未知命令
0048E144 8B6C24 30 MOV EBP,DWORD PTR SS:[ESP+30]
0048E148 33E9 XOR EBP,ECX
0048E14A 33EF XOR EBP,EDI
0048E14C 8DAC1E D0254500 LEA EBP,DWORD PTR DS:[ESI+EBX+4525D0]
0048E153 EB 01 JMP SHORT de_start.0048E156
0048E155 9A 2BEB2BEE F2E>CALL FAR EBF2:EE2BEB2B ; 远调用
0048E15C 01F3 ADD EBX,ESI
0048E15E 55 PUSH EBP
0048E15F 8F01 POP DWORD PTR DS:[ECX]
0048E161 5D POP EBP
0048E162 59 POP ECX
0048E163 66:9D POPFW
0048E165 C3 RETN
0048E166 58 POP EAX
0048E167 D1FB SAR EBX,1
0048E169 EB 01 JMP SHORT de_start.0048E16C
0048E16B 9A 2EEB0169 FF3>CALL FAR 34FF:6901EB2E ; 远调用
0048E172 2026 AND BYTE PTR DS:[ESI],AH
0048E174 EB 02 JMP SHORT de_start.0048E178
0048E176 CD 20 INT 20
0048E178 8D444B 7D LEA EAX,DWORD PTR DS:[EBX+ECX*2+7D]
0048E17C F2: PREFIX REPNE: ; 多余的前缀
0048E17D EB 01 JMP SHORT de_start.0048E180
0048E17F 9A 5165EB01 9A5>CALL FAR 569A:01EB6551 ; 远调用
0048E186 55 PUSH EBP
0048E187 BE B7FA35C1 MOV ESI,C135FAB7
0048E18C BD C2A84800 MOV EBP,de_start.0048A8C2
0048E191 83DD DD SBB EBP,-23
0048E194 56 PUSH ESI
0048E195 0BEF OR EBP,EDI
0048E197 5D POP EBP
0048E198 81ED 1F20C4BD SUB EBP,BDC4201F
0048E19E 4D DEC EBP
0048E19F 81F6 1A97C98A XOR ESI,8AC9971A
0048E1A5 8BF5 MOV ESI,EBP
0048E1A7 C1CE C6 ROR ESI,0C6 ; 移位常量超出 1..31 的范围
0048E1AA 46 INC ESI
0048E1AB 81D1 32F310B1 ADC ECX,B110F332
0048E1B1 8BCE MOV ECX,ESI
0048E1B3 81C1 B538F2A3 ADD ECX,A3F238B5
0048E1B9 51 PUSH ECX
0048E1BA 23F1 AND ESI,ECX
0048E1BC 5E POP ESI
0048E1BD 2BC6 SUB EAX,ESI
0048E1BF EB 02 JMP SHORT de_start.0048E1C3
0048E1C1 CD 20 INT 20
0048E1C3 5D POP EBP
0048E1C4 5E POP ESI
0048E1C5 59 POP ECX
0048E1C6 F2: PREFIX REPNE: ; 多余的前缀
0048E1C7 EB 01 JMP SHORT de_start.0048E1CA
0048E1C9 9A 8D440886 565>CALL FAR 5756:8608448D ; 远调用
0048E1D0 EB 01 JMP SHORT de_start.0048E1D3
0048E1D2 6952 8D 9426480>IMUL EDX,DWORD PTR DS:[EDX-73],3482694
0048E1D9 CC INT3
0048E1DA 15 F3EB02CD ADC EAX,CD02EBF3
0048E1DF 202B AND BYTE PTR DS:[EBX],CH
0048E1E1 D6 SALC
0048E1E2 81C2 63779860 ADD EDX,60987763
0048E1E8 BF 8AF34500 MOV EDI,de_start.0045F38A
0048E1ED 337C24 08 XOR EDI,DWORD PTR SS:[ESP+8]
0048E1F1 8BFA MOV EDI,EDX
0048E1F3 81C7 91859B89 ADD EDI,899B8591
0048E1F9 F7DF NEG EDI
0048E1FB 87F7 XCHG EDI,ESI
0048E1FD 83F6 D9 XOR ESI,FFFFFFD9
0048E200 56 PUSH ESI
0048E201 0BD1 OR EDX,ECX
0048E203 5A POP EDX
0048E204 03C2 ADD EAX,EDX
0048E206 5A POP EDX
0048E207 5F POP EDI
0048E208 26:EB 02 JMP SHORT de_start.0048E20D ; 多余的前缀
0048E20B CD 20 INT 20
0048E20D 5E POP ESI
0048E20E 2BC1 SUB EAX,ECX
0048E210 58 POP EAX
0048E211 E8 AE27FCFF CALL de_start.004509C4
0048E216 E9 440C0000 JMP de_start.0048EE5F
0048E21B 0F85 40040000 JNZ de_start.0048E661
0048E221 E9 4F0C0000 JMP de_start.0048EE75
0048E226 83BB 80010000 0>CMP DWORD PTR DS:[EBX+180],0
0048E22D E9 EE0F0000 JMP de_start.0048F220
0048E232 53 PUSH EBX
0048E233 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E237 B8 DA0C4300 MOV EAX,de_start.00430CDA
0048E23C F3: PREFIX REP: ; 多余的前缀
0048E23D EB 02 JMP SHORT de_start.0048E241
0048E23F CD 20 INT 20
0048E241 8D4435 BB LEA EAX,DWORD PTR SS:[EBP+ESI-45]
0048E245 2BC6 SUB EAX,ESI
0048E247 8D81 803F4500 LEA EAX,DWORD PTR DS:[ECX+453F80]
0048E24D 2BC1 SUB EAX,ECX
0048E24F EB 01 JMP SHORT de_start.0048E252
0048E251 9A F2EB019A FF3>CALL FAR 30FF:9A01EBF2 ; 远调用
0048E258 F2: PREFIX REPNE: ; 多余的前缀
0048E259 EB 01 JMP SHORT de_start.0048E25C
0048E25B 9A 83D89BF2 EB0>CALL FAR 01EB:F29BD883 ; 远调用
0048E262 9A B87A6742 005>CALL FAR 5800:42677AB8 ; 远调用
0048E269 E9 BD0F0000 JMP de_start.0048F22B
0048E26E 59 POP ECX
0048E26F E9 59030000 JMP de_start.0048E5CD
0048E274 36:EB 01 JMP SHORT de_start.0048E278 ; 多余的前缀
0048E277 F3: PREFIX REP: ; 多余的前缀
0048E278 BE B0E74400 MOV ESI,de_start.0044E7B0
0048E27D F3: PREFIX REP: ; 多余的前缀
0048E27E EB 02 JMP SHORT de_start.0048E282
0048E280 CD 20 INT 20
0048E282 0BF1 OR ESI,ECX
0048E284 50 PUSH EAX
0048E285 83DE 31 SBB ESI,31
0048E288 F2: PREFIX REPNE: ; 多余的前缀
0048E289 EB 01 JMP SHORT de_start.0048E28C
0048E28B C7 ??? ; 未知命令
0048E28C BE 06404000 MOV ESI,de_start.00404006
0048E291 5E POP ESI
0048E292 ^ E9 E4FDFFFF JMP de_start.0048E07B
0048E297 8D9C0B DE274100 LEA EBX,DWORD PTR DS:[EBX+ECX+4127DE]
0048E29E EB 01 JMP SHORT de_start.0048E2A1
0048E2A0 F0:F2: LOCK PREFIX REPNE: ; 不允许锁定前缀
0048E2A2 EB 01 JMP SHORT de_start.0048E2A5
0048E2A4 9A 8D5C0B6E 36E>CALL FAR EB36:6E0B5C8D ; 远调用
0048E2AB 010F ADD DWORD PTR DS:[EDI],ECX
0048E2AD 8D5C20 77 LEA EBX,DWORD PTR DS:[EAX+77]
0048E2B1 8D5C23 89 LEA EBX,DWORD PTR DS:[EBX-77]
0048E2B5 ^ E9 6CFFFFFF JMP de_start.0048E226
0048E2BA E8 8559F7FF CALL de_start.00403C44
0048E2BF E9 6F030000 JMP de_start.0048E633
0048E2C4 EB 02 JMP SHORT de_start.0048E2C8
0048E2C6 CD 20 INT 20
0048E2C8 F3: PREFIX REP: ; 多余的前缀
0048E2C9 EB 02 JMP SHORT de_start.0048E2CD
0048E2CB CD 20 INT 20
0048E2CD 8D4C28 78 LEA ECX,DWORD PTR DS:[EAX+EBP+78]
0048E2D1 83E9 78 SUB ECX,78
0048E2D4 C1D9 B9 RCR ECX,0B9 ; 移位常量超出 1..31 的范围
0048E2D7 334C24 28 XOR ECX,DWORD PTR SS:[ESP+28]
0048E2DB 83E9 C3 SUB ECX,-3D
0048E2DE EB 01 JMP SHORT de_start.0048E2E1
0048E2E0 E8 83C925F3 CALL F36EAC68
0048E2E5 EB 02 JMP SHORT de_start.0048E2E9
0048E2E7 CD 20 INT 20
0048E2E9 8D8C10 0B000000 LEA ECX,DWORD PTR DS:[EAX+EDX+B]
0048E2F0 2BCA SUB ECX,EDX
0048E2F2 EB 01 JMP SHORT de_start.0048E2F5
0048E2F4 F0:2BC8 LOCK SUB ECX,EAX ; 不允许锁定前缀
0048E2F7 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0048E2F9 5E POP ESI
0048E2FA E9 EC090000 JMP de_start.0048ECEB
0048E2FF E9 6D010000 JMP de_start.0048E471
0048E304 C3 RETN
0048E305 31C0 XOR EAX,EAX
0048E307 8705 00304500 XCHG DWORD PTR DS:[453000],EAX
0048E30D F7D8 NEG EAX
0048E30F 19C0 SBB EAX,EAX
0048E311 40 INC EAX
0048E312 EB 02 JMP SHORT de_start.0048E316
0048E314 CD 20 INT 20
0048E316 81DF 2D557EC3 SBB EDI,C37E552D
0048E31C 6A 60 PUSH 60
0048E31E 66:9C PUSHFW
0048E320 53 PUSH EBX
0048E321 81F3 B826F4B8 XOR EBX,B8F426B8
0048E327 8BDC MOV EBX,ESP
0048E329 83C3 06 ADD EBX,6
0048E32C 51 PUSH ECX
0048E32D 52 PUSH EDX
0048E32E 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048E332 F2: PREFIX REPNE: ; 多余的前缀
0048E333 EB 01 JMP SHORT de_start.0048E336
0048E335 E8 33542428 CALL 286D376D
0048E33A 3E:EB 02 JMP SHORT de_start.0048E33F ; 多余的前缀
0048E33D CD 20 INT 20
0048E33F 8BD4 MOV EDX,ESP
0048E341 EB 02 JMP SHORT de_start.0048E345
0048E343 CD 20 INT 20
0048E345 83C2 04 ADD EDX,4
0048E348 F2: PREFIX REPNE: ; 多余的前缀
0048E349 EB 01 JMP SHORT de_start.0048E34C
0048E34B E8 57337C24 CALL 24C516A7
0048E350 0833 OR BYTE PTR DS:[EBX],DH
0048E352 7C 24 JL SHORT de_start.0048E378
0048E354 2826 SUB BYTE PTR DS:[ESI],AH
0048E356 EB 02 JMP SHORT de_start.0048E35A
0048E358 CD 20 INT 20
0048E35A 8DBC35 586E4800 LEA EDI,DWORD PTR SS:[EBP+ESI+486E58]
0048E361 F3: PREFIX REP: ; 多余的前缀
0048E362 EB 02 JMP SHORT de_start.0048E366
0048E364 CD 20 INT 20
0048E366 2BFE SUB EDI,ESI
0048E368 8DBC08 34564500 LEA EDI,DWORD PTR DS:[EAX+ECX+455634]
0048E36F 2BF9 SUB EDI,ECX
0048E371 2BF8 SUB EDI,EAX
0048E373 57 PUSH EDI
0048E374 8F02 POP DWORD PTR DS:[EDX]
0048E376 5F POP EDI
0048E377 5A POP EDX
0048E378 8F03 POP DWORD PTR DS:[EBX]
0048E37A 5B POP EBX
0048E37B 66:9D POPFW
0048E37D C1C7 C1 ROL EDI,0C1 ; 移位常量超出 1..31 的范围
0048E380 36:EB 01 JMP SHORT de_start.0048E384 ; 多余的前缀
0048E383 F2: PREFIX REPNE: ; 多余的前缀
0048E384 83C7 64 ADD EDI,64
0048E387 5F POP EDI
0048E388 8B5F 18 MOV EBX,DWORD PTR DS:[EDI+18]
0048E38B 8B6F 14 MOV EBP,DWORD PTR DS:[EDI+14]
0048E38E E9 29030000 JMP de_start.0048E6BC
0048E393 5F POP EDI
0048E394 5E POP ESI
0048E395 5B POP EBX
0048E396 5D POP EBP
0048E397 C3 RETN
0048E398 C705 14504500 F>MOV DWORD PTR DS:[455014],de_start.00401>; JMP 到 kernel32.RaiseException
0048E3A2 C705 18504500 0>MOV DWORD PTR DS:[455018],de_start.00401>; JMP 到 ntdll.RtlUnwind
0048E3AC A3 3C564500 MOV DWORD PTR DS:[45563C],EAX
0048E3B1 33C0 XOR EAX,EAX
0048E3B3 A3 40564500 MOV DWORD PTR DS:[455640],EAX
0048E3B8 8915 44564500 MOV DWORD PTR DS:[455644],EDX
0048E3BE 8B42 04 MOV EAX,DWORD PTR DS:[EDX+4]
0048E3C1 A3 2C504500 MOV DWORD PTR DS:[45502C],EAX
0048E3C6 E8 C156F7FF CALL de_start.00403A8C
0048E3CB E9 B30B0000 JMP de_start.0048EF83
0048E3D0 E8 0726FCFF CALL de_start.004509DC ; 启动筐出现
0048E3D5 E9 BE010000 JMP de_start.0048E598
0048E3DA E8 7D59F7FF CALL de_start.00403D5C
0048E3DF ^ E9 2EFDFFFF JMP de_start.0048E112
0048E3E4 C640 5B 00 MOV BYTE PTR DS:[EAX+5B],0
0048E3E8 E9 4D070000 JMP de_start.0048EB3A
0048E3ED 8B43 30 MOV EAX,DWORD PTR DS:[EBX+30]
0048E3F0 85C0 TEST EAX,EAX
0048E3F2 E9 420E0000 JMP de_start.0048F239
0048E3F7 13C3 ADC EAX,EBX
0048E3F9 13C3 ADC EAX,EBX
0048E3FB 8D87 24404500 LEA EAX,DWORD PTR DS:[EDI+454024]
0048E401 2BC7 SUB EAX,EDI
0048E403 FF30 PUSH DWORD PTR DS:[EAX]
0048E405 B8 3AA44200 MOV EAX,de_start.0042A43A
0048E40A 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E40E 58 POP EAX
0048E40F ^ E9 55FDFFFF JMP de_start.0048E169
0048E414 C3 RETN
0048E415 ^ E9 E6FBFFFF JMP de_start.0048E000
0048E41A 81EF BAF6D01D SUB EDI,1DD0F6BA
0048E420 FF7424 0C PUSH DWORD PTR SS:[ESP+C]
0048E424 66:9C PUSHFW
0048E426 56 PUSH ESI
0048E427 36:EB 01 JMP SHORT de_start.0048E42B ; 多余的前缀
0048E42A - E9 8B742430 JMP 306D58BA
0048E42F 81C6 02F6992B ADD ESI,2B99F602
0048E435 8BF4 MOV ESI,ESP
0048E437 F3: PREFIX REP: ; 多余的前缀
0048E438 EB 02 JMP SHORT de_start.0048E43C
0048E43A CD 20 INT 20
0048E43C 8D741E 06 LEA ESI,DWORD PTR DS:[ESI+EBX+6]
0048E440 2BF3 SUB ESI,EBX
0048E442 51 PUSH ECX
0048E443 83E9 9B SUB ECX,-65
0048E446 B9 EE0E4800 MOV ECX,de_start.00480EEE
0048E44B 8D8C22 44504500 LEA ECX,DWORD PTR DS:[EDX+455044]
0048E452 2BCA SUB ECX,EDX
0048E454 890E MOV DWORD PTR DS:[ESI],ECX
0048E456 59 POP ECX
0048E457 5E POP ESI
0048E458 66:9D POPFW
0048E45A F3: PREFIX REP: ; 多余的前缀
0048E45B EB 02 JMP SHORT de_start.0048E45F
0048E45D CD 20 INT 20
0048E45F 03F9 ADD EDI,ECX
0048E461 5F POP EDI
0048E462 807B 28 00 CMP BYTE PTR DS:[EBX+28],0
0048E466 0F85 2A0D0000 JNZ de_start.0048F196
0048E46C E9 D30D0000 JMP de_start.0048F244
0048E471 2E:EB 01 JMP SHORT de_start.0048E475 ; 多余的前缀
0048E474 9A 83C01A81 F08>CALL FAR 86F0:811AC083 ; 远调用
0048E47B 22FA AND BH,DL
0048E47D 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令
0048E47E EB 01 JMP SHORT de_start.0048E481
0048E480 9A 64FF3500 000>CALL FAR 0000:0035FF64 ; 远调用
0048E487 00F2 ADD DL,DH
0048E489 EB 01 JMP SHORT de_start.0048E48C
0048E48B 6966 9C 5581DD6>IMUL ESP,DWORD PTR DS:[ESI-64],62DD8155
0048E492 D3E9 SHR ECX,CL
0048E494 95 XCHG EAX,EBP
0048E495 65:EB 01 JMP SHORT de_start.0048E499 ; 多余的前缀
0048E498 9A 8BEC64EB 02C>CALL FAR CD02:EB64EC8B ; 远调用
0048E49F 208D 6C05062B AND BYTE PTR SS:[EBP+2B06056C],CL
0048E4A5 E8 EB01F268 CALL 693AE695
0048E4AA AA STOS BYTE PTR ES:[EDI]
0048E4AB 43 INC EBX
0048E4AC 97 XCHG EAX,EDI
0048E4AD C557 EB LDS EDX,FWORD PTR DS:[EDI-15] ; 段寄存器更改
0048E4B0 02CD ADD CL,CH
0048E4B2 208D BC112078 AND BYTE PTR SS:[EBP+782011BC],CL
0048E4B8 48 DEC EAX
0048E4B9 008B FC83C704 ADD BYTE PTR DS:[EBX+4C783FC],CL
0048E4BF 26:EB 02 JMP SHORT de_start.0048E4C4 ; 多余的前缀
0048E4C2 CD 20 INT 20
0048E4C4 C707 A4304500 MOV DWORD PTR DS:[EDI],de_start.004530A4
0048E4CA 5F POP EDI
0048E4CB EB 01 JMP SHORT de_start.0048E4CE
0048E4CD C7 ??? ; 未知命令
0048E4CE 8F4425 00 POP DWORD PTR SS:[EBP]
0048E4D2 5D POP EBP
0048E4D3 2E:EB 01 JMP SHORT de_start.0048E4D7 ; 多余的前缀
0048E4D6 9A 669D0BC3 58E>CALL FAR E958:C30B9D66 ; 远调用
0048E4DD B9 09000050 MOV ECX,50000009
0048E4E2 E8 3D2DF7FF CALL de_start.00401224 ; JMP 到 kernel32.ExitProcess
0048E4E7 E9 430C0000 JMP de_start.0048F12F
0048E4EC 8B53 10 MOV EDX,DWORD PTR DS:[EBX+10]
0048E4EF 8B42 10 MOV EAX,DWORD PTR DS:[EDX+10]
0048E4F2 3B42 04 CMP EAX,DWORD PTR DS:[EDX+4]
0048E4F5 E9 580D0000 JMP de_start.0048F252
0048E4FA 51 PUSH ECX
0048E4FB 53 PUSH EBX
0048E4FC 56 PUSH ESI
0048E4FD 57 PUSH EDI
0048E4FE ^ E9 F5FBFFFF JMP de_start.0048E0F8
0048E503 4B DEC EBX
0048E504 895F 0C MOV DWORD PTR DS:[EDI+C],EBX
0048E507 8B44DE 04 MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
0048E50B 85C0 TEST EAX,EAX
0048E50D E9 4B0D0000 JMP de_start.0048F25D
0048E512 81E2 2A5689E1 AND EDX,E189562A
0048E518 EB 02 JMP SHORT de_start.0048E51C
0048E51A CD 20 INT 20
0048E51C 81F2 4F7DA70E XOR EDX,0EA77D4F
0048E522 8D9425 80674400 LEA EDX,DWORD PTR SS:[EBP+446780]
0048E529 2BD5 SUB EDX,EBP
0048E52B 8B12 MOV EDX,DWORD PTR DS:[EDX]
0048E52D E8 564DF7FF CALL de_start.00403288
0048E532 E9 010A0000 JMP de_start.0048EF38
0048E537 81D2 2E732449 ADC EDX,4924732E
0048E53D 81DA C60470BA SBB EDX,BA7004C6
0048E543 23D3 AND EDX,EBX
0048E545 8D9439 A4304500 LEA EDX,DWORD PTR DS:[ECX+EDI+4530A4]
0048E54C 2BD7 SUB EDX,EDI
0048E54E 2BD1 SUB EDX,ECX
0048E550 ^ E9 63FBFFFF JMP de_start.0048E0B8
0048E555 2E:EB 01 JMP SHORT de_start.0048E559 ; 多余的前缀
0048E558 698B 1BE9BC05 0>IMUL ECX,DWORD PTR DS:[EBX+5BCE91B],92FF>
0048E562 94 XCHG EAX,ESP
0048E563 0000 ADD BYTE PTR DS:[EAX],AL
0048E565 005B C3 ADD BYTE PTR DS:[EBX-3D],BL
0048E568 ^ E9 C5FCFFFF JMP de_start.0048E232
0048E56D A3 A8304500 MOV DWORD PTR DS:[4530A8],EAX
0048E572 33C0 XOR EAX,EAX
0048E574 A3 AC304500 MOV DWORD PTR DS:[4530AC],EAX
0048E579 33C0 XOR EAX,EAX
0048E57B A3 B0304500 MOV DWORD PTR DS:[4530B0],EAX
0048E580 E8 CF76F7FF CALL de_start.00405C54
0048E585 ^ E9 ADFFFFFF JMP de_start.0048E537
0048E58A FF30 PUSH DWORD PTR DS:[EAX]
0048E58C C1D8 41 RCR EAX,41 ; 移位常量超出 1..31 的范围
0048E58F 83D8 BD SBB EAX,-43
0048E592 58 POP EAX
0048E593 ^ E9 4CFEFFFF JMP de_start.0048E3E4
0048E598 23C1 AND EAX,ECX
0048E59A 8D4411 A7 LEA EAX,DWORD PTR DS:[ECX+EDX-59]
0048E59E 2BC2 SUB EAX,EDX
0048E5A0 3E:EB 02 JMP SHORT de_start.0048E5A5 ; 多余的前缀
0048E5A3 CD 20 INT 20
0048E5A5 83C8 0F OR EAX,0F
0048E5A8 B8 56954800 MOV EAX,de_start.00489556
0048E5AD 8D8435 24404500 LEA EAX,DWORD PTR SS:[EBP+ESI+454024]
0048E5B4 2BC6 SUB EAX,ESI
0048E5B6 2BC5 SUB EAX,EBP
0048E5B8 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048E5BA ^ E9 CBFFFFFF JMP de_start.0048E58A
0048E5BF E9 A40C0000 JMP de_start.0048F268
0048E5C4 FFD0 CALL EAX
0048E5C6 85DB TEST EBX,EBX
0048E5C8 E9 A90C0000 JMP de_start.0048F276
0048E5CD 64:8910 MOV DWORD PTR FS:[EAX],EDX
0048E5D0 E9 42050000 JMP de_start.0048EB17
0048E5D5 EB 01 JMP SHORT de_start.0048E5D8
0048E5D7 F0:335C24 28 LOCK XOR EBX,DWORD PTR SS:[ESP+28] ; 不允许锁定前缀
0048E5DC BB 620B4500 MOV EBX,de_start.00450B62
0048E5E1 83EB E9 SUB EBX,-17
0048E5E4 F2: PREFIX REPNE: ; 多余的前缀
0048E5E5 EB 01 JMP SHORT de_start.0048E5E8
0048E5E7 0F035C24 18 LSL EBX,DWORD PTR SS:[ESP+18]
0048E5EC 8D9C20 803F4500 LEA EBX,DWORD PTR DS:[EAX+453F80]
0048E5F3 2BD8 SUB EBX,EAX
0048E5F5 8B1B MOV EBX,DWORD PTR DS:[EBX]
0048E5F7 ^ E9 59FFFFFF JMP de_start.0048E555
0048E5FC EB 01 JMP SHORT de_start.0048E5FF
0048E5FE C7 ??? ; 未知命令
0048E5FF FF30 PUSH DWORD PTR DS:[EAX]
0048E601 C1D0 D7 RCL EAX,0D7 ; 移位常量超出 1..31 的范围
0048E604 EB 01 JMP SHORT de_start.0048E607
0048E606 9A B8B2D540 005>CALL FAR 5800:40D5B2B8 ; 远调用
0048E60D E9 E2060000 JMP de_start.0048ECF4
0048E612 C3 RETN
0048E613 53 PUSH EBX
0048E614 E9 560B0000 JMP de_start.0048F16F
0048E619 BF BECA4300 MOV EDI,de_start.0043CABE
0048E61E 037C24 18 ADD EDI,DWORD PTR SS:[ESP+18]
0048E622 EB 02 JMP SHORT de_start.0048E626
0048E624 CD 20 INT 20
0048E626 13FB ADC EDI,EBX
0048E628 8D7B 32 LEA EDI,DWORD PTR DS:[EBX+32]
0048E62B 8D7F CE LEA EDI,DWORD PTR DS:[EDI-32]
0048E62E ^ E9 91FCFFFF JMP de_start.0048E2C4
0048E633 E8 9856F7FF CALL de_start.00403CD0
0048E638 E9 A7060000 JMP de_start.0048ECE4
0048E63D EB 02 JMP SHORT de_start.0048E641
0048E63F CD 20 INT 20
0048E641 8D8428 262C4700 LEA EAX,DWORD PTR DS:[EAX+EBP+472C26]
0048E648 36:EB 01 JMP SHORT de_start.0048E64C ; 多余的前缀
0048E64B C7 ??? ; 未知命令
0048E64C FF35 24404500 PUSH DWORD PTR DS:[454024] ; de_start.00455BDC
0048E652 EB 02 JMP SHORT de_start.0048E656
0048E654 CD 20 INT 20
0048E656 0BC6 OR EAX,ESI
0048E658 58 POP EAX
0048E659 ^ E9 9EFFFFFF JMP de_start.0048E5FC
0048E65E 897E 44 MOV DWORD PTR DS:[ESI+44],EDI
0048E661 5F POP EDI
0048E662 5E POP ESI
0048E663 E9 76060000 JMP de_start.0048ECDE
0048E668 3E:EB 02 JMP SHORT de_start.0048E66D ; 多余的前缀
0048E66B CD 20 INT 20
0048E66D 8D7C4B 2F LEA EDI,DWORD PTR DS:[EBX+ECX*2+2F]
0048E671 83EF 2F SUB EDI,2F
0048E674 2BF9 SUB EDI,ECX
0048E676 23FF AND EDI,EDI
0048E678 8D7B 3B LEA EDI,DWORD PTR DS:[EBX+3B]
0048E67B 8D7C0F C5 LEA EDI,DWORD PTR DS:[EDI+ECX-3B]
0048E67F 2BF9 SUB EDI,ECX
0048E681 B8 2E254A00 MOV EAX,4A252E
0048E686 83E8 B3 SUB EAX,-4D
0048E689 EB 01 JMP SHORT de_start.0048E68C
0048E68B F3: PREFIX REP: ; 多余的前缀
0048E68C C1D0 D1 RCL EAX,0D1 ; 移位常量超出 1..31 的范围
0048E68F C1C0 4D ROL EAX,4D ; 移位常量超出 1..31 的范围
0048E692 EB 02 JMP SHORT de_start.0048E696
0048E694 CD 20 INT 20
0048E696 81C8 9B75B3D6 OR EAX,D6B3759B
0048E69C 8D440F 53 LEA EAX,DWORD PTR DS:[EDI+ECX+53]
0048E6A0 2BC1 SUB EAX,ECX
0048E6A2 8D4408 AD LEA EAX,DWORD PTR DS:[EAX+ECX-53]
0048E6A6 2BC1 SUB EAX,ECX
0048E6A8 E8 8795FAFF CALL de_start.00437C34
0048E6AD ^ E9 ACFFFFFF JMP de_start.0048E65E
0048E6B2 E8 A523FCFF CALL de_start.00450A5C
0048E6B7 ^ E9 1EFDFFFF JMP de_start.0048E3DA
0048E6BC FF77 1C PUSH DWORD PTR DS:[EDI+1C]
0048E6BF FF77 20 PUSH DWORD PTR DS:[EDI+20]
0048E6C2 26:EB 02 JMP SHORT de_start.0048E6C7 ; 多余的前缀
0048E6C5 CD 20 INT 20
0048E6C7 81D6 883A3E02 ADC ESI,23E3A88
0048E6CD FF37 PUSH DWORD PTR DS:[EDI]
0048E6CF 337424 28 XOR ESI,DWORD PTR SS:[ESP+28]
0048E6D3 337424 08 XOR ESI,DWORD PTR SS:[ESP+8]
0048E6D7 5E POP ESI
0048E6D8 E9 71050000 JMP de_start.0048EC4E
0048E6DD 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0048E6E0 8918 MOV DWORD PTR DS:[EAX],EBX
0048E6E2 33C0 XOR EAX,EAX
0048E6E4 55 PUSH EBP
0048E6E5 68 506E94EE PUSH EE946E50
0048E6EA 66:9C PUSHFW
0048E6EC 53 PUSH EBX
0048E6ED 81EB A887A41B SUB EBX,1BA487A8
0048E6F3 8BDC MOV EBX,ESP
0048E6F5 F2: PREFIX REPNE: ; 多余的前缀
0048E6F6 EB 01 JMP SHORT de_start.0048E6F9
0048E6F8 9A 8D5C3B06 2BD>CALL FAR DF2B:063B5C8D ; 远调用
0048E6FF 57 PUSH EDI
0048E700 BF F2844800 MOV EDI,de_start.004884F2
0048E705 BF EA884800 MOV EDI,de_start.004888EA
0048E70A 03FD ADD EDI,EBP
0048E70C EB 01 JMP SHORT de_start.0048E70F
0048E70E F0:8DBC08 1A0A4>LOCK LEA EDI,DWORD PTR DS:[EAX+ECX+450A1>; 不允许锁定前缀
0048E716 2BF9 SUB EDI,ECX
0048E718 2BF8 SUB EDI,EAX
0048E71A 57 PUSH EDI
0048E71B 8F03 POP DWORD PTR DS:[EBX]
0048E71D 5F POP EDI
0048E71E 5B POP EBX
0048E71F 66:9D POPFW
0048E721 64:FF30 PUSH DWORD PTR FS:[EAX]
0048E724 64:8920 MOV DWORD PTR FS:[EAX],ESP
0048E727 26:EB 02 JMP SHORT de_start.0048E72C ; 多余的前缀
0048E72A CD 20 INT 20
0048E72C 81E1 AEEA73F6 AND ECX,F673EAAE
0048E732 56 PUSH ESI
0048E733 F2: PREFIX REPNE: ; 多余的前缀
0048E734 EB 01 JMP SHORT de_start.0048E737
0048E736 F0:B9 C6C24700 LOCK MOV ECX,de_start.0047C2C6 ; 不允许锁定前缀
0048E73C 36:EB 01 JMP SHORT de_start.0048E740 ; 多余的前缀
0048E73F - E9 83F1DE59 JMP 5A27D8C7
0048E744 E9 1E040000 JMP de_start.0048EB67
0048E749 55 PUSH EBP
0048E74A 8D6C11 7F LEA EBP,DWORD PTR DS:[ECX+EDX+7F]
0048E74E 2BEA SUB EBP,EDX
0048E750 8BEC MOV EBP,ESP
0048E752 53 PUSH EBX
0048E753 56 PUSH ESI
0048E754 57 PUSH EDI
0048E755 33F9 XOR EDI,ECX
0048E757 EB 01 JMP SHORT de_start.0048E75A
0048E759 9A F2EB010F 68C>CALL FAR CA68:0F01EBF2 ; 远调用
0048E760 D6 SALC
0048E761 44 INC ESP
0048E762 00F3 ADD BL,DH
0048E764 EB 02 JMP SHORT de_start.0048E768
0048E766 CD 20 INT 20
0048E768 66:9C PUSHFW
0048E76A 51 PUSH ECX
0048E76B EB 02 JMP SHORT de_start.0048E76F
0048E76D CD 20 INT 20
0048E76F 8D8C26 B2634700 LEA ECX,DWORD PTR DS:[ESI+4763B2]
0048E776 334C24 28 XOR ECX,DWORD PTR SS:[ESP+28]
0048E77A 334C24 08 XOR ECX,DWORD PTR SS:[ESP+8]
0048E77E 334C24 08 XOR ECX,DWORD PTR SS:[ESP+8]
0048E782 B9 FA794200 MOV ECX,de_start.004279FA
0048E787 8D4C04 18 LEA ECX,DWORD PTR SS:[ESP+EAX+18]
0048E78B F3: PREFIX REP: ; 多余的前缀
0048E78C EB 02 JMP SHORT de_start.0048E790
0048E78E CD 20 INT 20
0048E790 2BC8 SUB ECX,EAX
0048E792 8D4C29 E8 LEA ECX,DWORD PTR DS:[ECX+EBP-18]
0048E796 2BCD SUB ECX,EBP
0048E798 8D4C01 06 LEA ECX,DWORD PTR DS:[ECX+EAX+6]
0048E79C 2BC8 SUB ECX,EAX
0048E79E 50 PUSH EAX
0048E79F 2BC1 SUB EAX,ECX
0048E7A1 C1C8 0F ROR EAX,0F
0048E7A4 EB 01 JMP SHORT de_start.0048E7A7
0048E7A6 E8 33442408 CALL 086D2BDE
0048E7AB EB 02 JMP SHORT de_start.0048E7AF
0048E7AD CD 20 INT 20
0048E7AF 8D8435 34564500 LEA EAX,DWORD PTR SS:[EBP+ESI+455634]
0048E7B6 2E:EB 01 JMP SHORT de_start.0048E7BA ; 多余的前缀
0048E7B9 F3: PREFIX REP: ; 多余的前缀
0048E7BA 2BC6 SUB EAX,ESI
0048E7BC 2BC5 SUB EAX,EBP
0048E7BE 8901 MOV DWORD PTR DS:[ECX],EAX
0048E7C0 58 POP EAX
0048E7C1 59 POP ECX
0048E7C2 66:9D POPFW
0048E7C4 81D7 5885D8AD ADC EDI,ADD88558
0048E7CA 5F POP EDI
0048E7CB 8B47 08 MOV EAX,DWORD PTR DS:[EDI+8]
0048E7CE 85C0 TEST EAX,EAX
0048E7D0 E9 AC0A0000 JMP de_start.0048F281
0048E7D5 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048E7D7 ^ E9 D6FEFFFF JMP de_start.0048E6B2
0048E7DC 23D9 AND EBX,ECX
0048E7DE 81DB 5296B9C4 SBB EBX,C4B99652
0048E7E4 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048E7E8 83EB 33 SUB EBX,33
0048E7EB 3E:EB 02 JMP SHORT de_start.0048E7F0 ; 多余的前缀
0048E7EE CD 20 INT 20
0048E7F0 8D9C35 D0CDC2F0 LEA EBX,DWORD PTR SS:[EBP+ESI+F0C2CDD0]
0048E7F7 56 PUSH ESI
0048E7F8 57 PUSH EDI
0048E7F9 EB 02 JMP SHORT de_start.0048E7FD
0048E7FB CD 20 INT 20
0048E7FD 52 PUSH EDX
0048E7FE C1D2 0F RCL EDX,0F
0048E801 C1D2 AB RCL EDX,0AB ; 移位常量超出 1..31 的范围
0048E804 68 861361D4 PUSH D4611386
0048E809 EB 01 JMP SHORT de_start.0048E80C
0048E80B F3:66: PREFIX REP: ; 多余的前缀
0048E80D 9C PUSHFD
0048E80E 57 PUSH EDI
0048E80F 81EF 0C797092 SUB EDI,9270790C
0048E815 8BFC MOV EDI,ESP
0048E817 F2: PREFIX REPNE: ; 多余的前缀
0048E818 EB 01 JMP SHORT de_start.0048E81B
0048E81A 9A 8D7C1F06 2BF>CALL FAR FB2B:061F7C8D ; 远调用
0048E821 53 PUSH EBX
0048E822 8D5C35 83 LEA EBX,DWORD PTR SS:[EBP+ESI-7D]
0048E826 2BDE SUB EBX,ESI
0048E828 8D9C21 B297D276 LEA EBX,DWORD PTR DS:[ECX+76D297B2]
0048E82F 2BD9 SUB EBX,ECX
0048E831 891F MOV DWORD PTR DS:[EDI],EBX
0048E833 5B POP EBX
0048E834 5F POP EDI
0048E835 66:9D POPFW
0048E837 81E2 1C6FB3D6 AND EDX,D6B36F1C
0048E83D 5A POP EDX
0048E83E C1CA 91 ROR EDX,91 ; 移位常量超出 1..31 的范围
0048E841 F7D2 NOT EDX
0048E843 52 PUSH EDX
0048E844 81EF 3699C018 SUB EDI,18C09936
0048E84A 5F POP EDI
0048E84B 81F7 89B642CE XOR EDI,CE42B689
0048E851 F7DF NEG EDI
0048E853 57 PUSH EDI
0048E854 81CE 3051AB04 OR ESI,4AB5130
0048E85A 5E POP ESI
0048E85B C1C6 F7 ROL ESI,0F7 ; 移位常量超出 1..31 的范围
0048E85E 26:EB 02 JMP SHORT de_start.0048E863 ; 多余的前缀
0048E861 CD 20 INT 20
0048E863 33D7 XOR EDX,EDI
0048E865 EB 02 JMP SHORT de_start.0048E869
0048E867 CD 20 INT 20
0048E869 81DA 65F8D354 SBB EDX,54D3F865
0048E86F 8D56 48 LEA EDX,DWORD PTR DS:[ESI+48]
0048E872 57 PUSH EDI
0048E873 51 PUSH ECX
0048E874 53 PUSH EBX
0048E875 8D7C75 74 LEA EDI,DWORD PTR SS:[EBP+ESI*2+74]
0048E879 2E:EB 01 JMP SHORT de_start.0048E87D ; 多余的前缀
0048E87C E8 8D7C078C CALL 8C50650E
0048E881 2BF8 SUB EDI,EAX
0048E883 BF BE754800 MOV EDI,de_start.004875BE
0048E888 C1DF 7B RCR EDI,7B ; 移位常量超出 1..31 的范围
0048E88B 8DBC26 64088FD5 LEA EDI,DWORD PTR DS:[ESI+D58F0864]
0048E892 2BFE SUB EDI,ESI
0048E894 57 PUSH EDI
0048E895 83DB 3F SBB EBX,3F
0048E898 EB 01 JMP SHORT de_start.0048E89B
0048E89A F2: PREFIX REPNE: ; 多余的前缀
0048E89B 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048E89F 5B POP EBX
0048E8A0 81C3 8DF1DEAC ADD EBX,ACDEF18D
0048E8A6 F7DB NEG EBX
0048E8A8 EB 01 JMP SHORT de_start.0048E8AB
0048E8AA 9A 334C2408 F2E>CALL FAR EBF2:08244C33 ; 远调用
0048E8B1 01F3 ADD EBX,ESI
0048E8B3 C1D9 CB RCR ECX,0CB ; 移位常量超出 1..31 的范围
0048E8B6 F3: PREFIX REP: ; 多余的前缀
0048E8B7 EB 02 JMP SHORT de_start.0048E8BB
0048E8B9 CD 20 INT 20
0048E8BB 81E9 D4F79892 SUB ECX,9298F7D4
0048E8C1 8D4B 22 LEA ECX,DWORD PTR DS:[EBX+22]
0048E8C4 8D49 DE LEA ECX,DWORD PTR DS:[ECX-22]
0048E8C7 C1C1 A1 ROL ECX,0A1 ; 移位常量超出 1..31 的范围
0048E8CA 81DF F846D741 SBB EDI,41D746F8
0048E8D0 EB 01 JMP SHORT de_start.0048E8D3
0048E8D2 - E9 51EB010F JMP 0F4AD428
0048E8D7 BF 562D4200 MOV EDI,de_start.00422D56
0048E8DC C1DF 87 RCR EDI,87 ; 移位常量超出 1..31 的范围
0048E8DF 5F POP EDI
0048E8E0 81EF F30B24FB SUB EDI,FB240BF3
0048E8E6 8D547A 46 LEA EDX,DWORD PTR DS:[EDX+EDI*2+46]
0048E8EA 83EA 46 SUB EDX,46
0048E8ED 2BD7 SUB EDX,EDI
0048E8EF BB 1A5A4100 MOV EBX,de_start.00415A1A
0048E8F4 C1DB C9 RCR EBX,0C9 ; 移位常量超出 1..31 的范围
0048E8F7 5B POP EBX
0048E8F8 0BCB OR ECX,EBX
0048E8FA 59 POP ECX
0048E8FB 037C24 18 ADD EDI,DWORD PTR SS:[ESP+18]
0048E8FF C1D7 AF RCL EDI,0AF ; 移位常量超出 1..31 的范围
0048E902 5F POP EDI
0048E903 F3: PREFIX REP: ; 多余的前缀
0048E904 EB 02 JMP SHORT de_start.0048E908
0048E906 CD 20 INT 20
0048E908 8D540A B4 LEA EDX,DWORD PTR DS:[EDX+ECX-4C]
0048E90C EB 01 JMP SHORT de_start.0048E90F
0048E90E 9A 565751C1 C6F>CALL FAR F3C6:C1515756 ; 远调用
0048E915 83EE 4F SUB ESI,4F
0048E918 F3: PREFIX REP: ; 多余的前缀
0048E919 EB 02 JMP SHORT de_start.0048E91D
0048E91B CD 20 INT 20
0048E91D EB 01 JMP SHORT de_start.0048E920
0048E91F F2: PREFIX REPNE: ; 多余的前缀
0048E920 68 FFFFFFE4 PUSH E4FFFFFF
0048E925 83DE E3 SBB ESI,-1D
0048E928 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048E92C 5E POP ESI
0048E92D 87CE XCHG ESI,ECX
0048E92F C1C9 57 ROR ECX,57 ; 移位常量超出 1..31 的范围
0048E932 337C24 28 XOR EDI,DWORD PTR SS:[ESP+28]
0048E936 F2: PREFIX REPNE: ; 多余的前缀
0048E937 EB 01 JMP SHORT de_start.0048E93A
0048E939 9A 83EF07F3 EB0>CALL FAR 02EB:F307EF83 ; 远调用
0048E940 CD 20 INT 20
0048E942 8BF9 MOV EDI,ECX
0048E944 83EF CE SUB EDI,-32
0048E947 3E:EB 02 JMP SHORT de_start.0048E94C ; 多余的前缀
0048E94A CD 20 INT 20
0048E94C 13F5 ADC ESI,EBP
0048E94E 81CE 36DC7ED1 OR ESI,D17EDC36
0048E954 F3: PREFIX REP: ; 多余的前缀
0048E955 EB 02 JMP SHORT de_start.0048E959
0048E957 CD 20 INT 20
0048E959 8DB435 78284400 LEA ESI,DWORD PTR SS:[EBP+ESI+442878]
0048E960 8D740F 25 LEA ESI,DWORD PTR DS:[EDI+ECX+25]
0048E964 2BF1 SUB ESI,ECX
0048E966 83EE 25 SUB ESI,25
0048E969 83C6 2C ADD ESI,2C
0048E96C EB 02 JMP SHORT de_start.0048E970
0048E96E CD 20 INT 20
0048E970 2BD6 SUB EDX,ESI
0048E972 034C24 38 ADD ECX,DWORD PTR SS:[ESP+38]
0048E976 F2: PREFIX REPNE: ; 多余的前缀
0048E977 EB 01 JMP SHORT de_start.0048E97A
0048E979 9A B972F948 005>CALL FAR 5900:48F972B9 ; 远调用
0048E980 23FB AND EDI,EBX
0048E982 5F POP EDI
0048E983 C1C6 C3 ROL ESI,0C3 ; 移位常量超出 1..31 的范围
0048E986 BE 3EE44400 MOV ESI,de_start.0044E43E
0048E98B 5E POP ESI
0048E98C 2BD1 SUB EDX,ECX
0048E98E 2BDA SUB EBX,EDX
0048E990 C1DA 63 RCR EDX,63 ; 移位常量超出 1..31 的范围
0048E993 F2: PREFIX REPNE: ; 多余的前缀
0048E994 EB 01 JMP SHORT de_start.0048E997
0048E996 0FC1CA XADD EDX,ECX
0048E999 C55A 81 LDS EBX,FWORD PTR DS:[EDX-7F] ; 段寄存器更改
0048E99C E7 18 OUT 18,EAX ; I/O 命令
0048E99E 40 INC EAX
0048E99F 0AC4 OR AL,AH
0048E9A1 5F POP EDI
0048E9A2 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048E9A6 83EE 4B SUB ESI,4B
0048E9A9 5E POP ESI
0048E9AA 2BDE SUB EBX,ESI
0048E9AC 2BDD SUB EBX,EBP
0048E9AE 99 CDQ
0048E9AF F7FB IDIV EBX
0048E9B1 C1CB A5 ROR EBX,0A5 ; 移位常量超出 1..31 的范围
0048E9B4 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048E9B8 26:EB 02 JMP SHORT de_start.0048E9BD ; 多余的前缀
0048E9BB CD 20 INT 20
0048E9BD F2: PREFIX REPNE: ; 多余的前缀
0048E9BE EB 01 JMP SHORT de_start.0048E9C1
0048E9C0 9A 335C2428 C1C>CALL FAR CBC1:28245C33 ; 远调用
0048E9C7 51 PUSH ECX
0048E9C8 13D9 ADC EBX,ECX
0048E9CA 65:EB 01 JMP SHORT de_start.0048E9CE ; 多余的前缀
0048E9CD 9A 8D5C280D 2BD>CALL FAR DD2B:0D285C8D ; 远调用
0048E9D4 8D5C23 F3 LEA EBX,DWORD PTR DS:[EBX-D]
0048E9D8 49 DEC ECX
0048E9D9 85DB TEST EBX,EBX
0048E9DB 0F85 D1030000 JNZ de_start.0048EDB2
0048E9E1 B1 1C MOV CL,1C
0048E9E3 64:EB 02 JMP SHORT de_start.0048E9E8 ; 多余的前缀
0048E9E6 CD 20 INT 20
0048E9E8 81C8 3CB7F4A7 OR EAX,A7F4B73C
0048E9EE 8D444B 59 LEA EAX,DWORD PTR DS:[EBX+ECX*2+59]
0048E9F2 56 PUSH ESI
0048E9F3 57 PUSH EDI
0048E9F4 51 PUSH ECX
0048E9F5 68 048A9F10 PUSH 109F8A04
0048E9FA 66:9C PUSHFW
0048E9FC 57 PUSH EDI
0048E9FD F2: PREFIX REPNE: ; 多余的前缀
0048E9FE EB 01 JMP SHORT de_start.0048EA01
0048EA00 F3: PREFIX REP: ; 多余的前缀
0048EA01 8D7C2C 6A LEA EDI,DWORD PTR SS:[ESP+EBP+6A]
0048EA05 2BFD SUB EDI,EBP
0048EA07 F2: PREFIX REPNE: ; 多余的前缀
0048EA08 EB 01 JMP SHORT de_start.0048EA0B
0048EA0A E8 83EF6A83 CALL 83B3D992
0048EA0F C706 51528D54 MOV DWORD PTR DS:[ESI],548D5251
0048EA15 24 1B AND AL,1B
0048EA17 83EA 1B SUB EDX,1B
0048EA1A EB 02 JMP SHORT de_start.0048EA1E
0048EA1C CD 20 INT 20
0048EA1E 8D541A 04 LEA EDX,DWORD PTR DS:[EDX+EBX+4]
0048EA22 2BD3 SUB EDX,EBX
0048EA24 53 PUSH EBX
0048EA25 8D9C29 E268CA6F LEA EBX,DWORD PTR DS:[ECX+EBP+6FCA68E2]
0048EA2C 2BDD SUB EBX,EBP
0048EA2E 2BD9 SUB EBX,ECX
0048EA30 53 PUSH EBX
0048EA31 8F02 POP DWORD PTR DS:[EDX]
0048EA33 5B POP EBX
0048EA34 5A POP EDX
0048EA35 8F07 POP DWORD PTR DS:[EDI]
0048EA37 5F POP EDI
0048EA38 66:9D POPFW
0048EA3A 5E POP ESI
0048EA3B 56 PUSH ESI
0048EA3C C1C1 45 ROL ECX,45 ; 移位常量超出 1..31 的范围
0048EA3F B9 02D54A00 MOV ECX,4AD502
0048EA44 59 POP ECX
0048EA45 81F1 E368E66E XOR ECX,6EE668E3
0048EA4B 49 DEC ECX
0048EA4C EB 01 JMP SHORT de_start.0048EA4F
0048EA4E F3: PREFIX REP: ; 多余的前缀
0048EA4F BF 72674200 MOV EDI,de_start.00426772
0048EA54 F2: PREFIX REPNE: ; 多余的前缀
0048EA55 EB 01 JMP SHORT de_start.0048EA58
0048EA57 9A 037C2418 3EE>CALL FAR EB3E:18247C03 ; 远调用
0048EA5E 02CD ADD CL,CH
0048EA60 20BF 52424900 AND BYTE PTR DS:[EDI+494252],BH
0048EA66 337C24 28 XOR EDI,DWORD PTR SS:[ESP+28]
0048EA6A 8D79 3E LEA EDI,DWORD PTR DS:[ECX+3E]
0048EA6D EB 01 JMP SHORT de_start.0048EA70
0048EA6F F0:52 LOCK PUSH EDX ; 不允许锁定前缀
0048EA71 51 PUSH ECX
0048EA72 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048EA76 36:EB 01 JMP SHORT de_start.0048EA7A ; 多余的前缀
0048EA79 C7 ??? ; 未知命令
0048EA7A BA FCA24700 MOV EDX,de_start.0047A2FC
0048EA7F 68 49C49C5A PUSH 5A9CC449
0048EA84 BA E6324300 MOV EDX,de_start.004332E6
0048EA89 F2: PREFIX REPNE: ; 多余的前缀
0048EA8A EB 01 JMP SHORT de_start.0048EA8D
0048EA8C 9A C1DA555A 87C>CALL FAR CA87:5A55DAC1 ; 远调用
0048EA93 81C1 A30CCCCE ADD ECX,CECC0CA3
0048EA99 49 DEC ECX
0048EA9A 81C1 AB6C8DF3 ADD ECX,F38D6CAB
0048EAA0 F7D9 NEG ECX
0048EAA2 51 PUSH ECX
0048EAA3 EB 01 JMP SHORT de_start.0048EAA6
0048EAA5 9A 8D547568 83E>CALL FAR EA83:6875548D ; 远调用
0048EAAC 68 5A81C2B3 PUSH B3C2815A
0048EAB1 3D F61C4A2B CMP EAX,2B4A1CF6
0048EAB6 FA CLI
0048EAB7 26:EB 02 JMP SHORT de_start.0048EABC ; 多余的前缀
0048EABA CD 20 INT 20
0048EABC 03CD ADD ECX,EBP
0048EABE 59 POP ECX
0048EABF EB 01 JMP SHORT de_start.0048EAC2
0048EAC1 F3: PREFIX REP: ; 多余的前缀
0048EAC2 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048EAC6 2E:EB 01 JMP SHORT de_start.0048EACA ; 多余的前缀
0048EAC9 F0:83F2 76 LOCK XOR EDX,76 ; 不允许锁定前缀
0048EACD 5A POP EDX
0048EACE F2: PREFIX REPNE: ; 多余的前缀
0048EACF EB 01 JMP SHORT de_start.0048EAD2
0048EAD1 F2: PREFIX REPNE: ; 多余的前缀
0048EAD2 83EF 22 SUB EDI,22
0048EAD5 C1C7 D1 ROL EDI,0D1 ; 移位常量超出 1..31 的范围
0048EAD8 57 PUSH EDI
0048EAD9 64:EB 02 JMP SHORT de_start.0048EADE ; 多余的前缀
0048EADC CD 20 INT 20
0048EADE 8D3407 LEA ESI,DWORD PTR DS:[EDI+EAX]
0048EAE1 5E POP ESI
0048EAE2 C1C6 FD ROL ESI,0FD ; 移位常量超出 1..31 的范围
0048EAE5 2BC6 SUB EAX,ESI
0048EAE7 59 POP ECX
0048EAE8 5F POP EDI
0048EAE9 5E POP ESI
0048EAEA EB 01 JMP SHORT de_start.0048EAED
0048EAEC E8 8D40F213 CALL 143B2B7E
0048EAF1 C58D 840F0430 LDS ECX,FWORD PTR SS:[EBP+30040F84] ; 段寄存器更改
0048EAF7 45 INC EBP
0048EAF8 002B ADD BYTE PTR DS:[EBX],CH
0048EAFA C12B C7 SHR DWORD PTR DS:[EBX],0C7 ; 移位常量超出 1..31 的范围
0048EAFD F2: PREFIX REPNE: ; 多余的前缀
0048EAFE EB 01 JMP SHORT de_start.0048EB01
0048EB00 F0:FF30 LOCK PUSH DWORD PTR DS:[EAX] ; 不允许锁定前缀
0048EB03 B8 76AD4000 MOV EAX,de_start.0040AD76
0048EB08 F2: PREFIX REPNE: ; 多余的前缀
0048EB09 EB 01 JMP SHORT de_start.0048EB0C
0048EB0B 0FB8 ??? ; 未知命令
0048EB0D BA 87400058 MOV EDX,58004087
0048EB12 E9 AF040000 JMP de_start.0048EFC6
0048EB17 E9 0A060000 JMP de_start.0048F126
0048EB1C FFD3 CALL EBX
0048EB1E 5B POP EBX
0048EB1F C3 RETN
0048EB20 E9 0B030000 JMP de_start.0048EE30
0048EB25 8B43 10 MOV EAX,DWORD PTR DS:[EBX+10]
0048EB28 85C0 TEST EAX,EAX
0048EB2A 0F84 35060000 JE de_start.0048F165
0048EB30 E8 3F69F7FF CALL de_start.00405474
0048EB35 ^ E9 B2F9FFFF JMP de_start.0048E4EC
0048EB3A 64:EB 02 JMP SHORT de_start.0048EB3F ; 多余的前缀
0048EB3D CD 20 INT 20
0048EB3F 81E8 4E2FA4C1 SUB EAX,C1A42F4E
0048EB45 FF35 24404500 PUSH DWORD PTR DS:[454024] ; de_start.00455BDC
0048EB4B C1D0 83 RCL EAX,83 ; 移位常量超出 1..31 的范围
0048EB4E 65:EB 01 JMP SHORT de_start.0048EB52 ; 多余的前缀
0048EB51 F2: PREFIX REPNE: ; 多余的前缀
0048EB52 83E0 7E AND EAX,7E
0048EB55 58 POP EAX
0048EB56 ^ E9 7AFCFFFF JMP de_start.0048E7D5
0048EB5B 6A 00 PUSH 0
0048EB5D E8 3A70F7FF CALL de_start.00405B9C ; JMP 到 kernel32.GetModuleHandleA
0048EB62 E9 1E020000 JMP de_start.0048ED85
0048EB67 83CA FF OR EDX,FFFFFFFF
0048EB6A 83C8 7D OR EAX,7D
0048EB6D 83C8 39 OR EAX,39
0048EB70 2E:EB 01 JMP SHORT de_start.0048EB74 ; 多余的前缀
0048EB73 9A B8908B4A 00F>CALL FAR F300:4A8B90B8 ; 远调用
0048EB7A EB 02 JMP SHORT de_start.0048EB7E
0048EB7C CD 20 INT 20
0048EB7E 8D8411 40804100 LEA EAX,DWORD PTR DS:[ECX+EDX+418040]
0048EB85 2BC2 SUB EAX,EDX
0048EB87 8D4423 62 LEA EAX,DWORD PTR DS:[EBX+62]
0048EB8B EB 02 JMP SHORT de_start.0048EB8F
0048EB8D CD 20 INT 20
0048EB8F 8D40 9E LEA EAX,DWORD PTR DS:[EAX-62]
0048EB92 E9 B5010000 JMP de_start.0048ED4C
0048EB97 E9 F0060000 JMP de_start.0048F28C
0048EB9C 5B POP EBX
0048EB9D C3 RETN
0048EB9E 53 PUSH EBX
0048EB9F ^ E9 F3F6FFFF JMP de_start.0048E297
0048EBA4 EB 01 JMP SHORT de_start.0048EBA7
0048EBA6 E8 8D741189 CALL 895A6038
0048EBAB FF7424 20 PUSH DWORD PTR SS:[ESP+20]
0048EBAF 66:9C PUSHFW
0048EBB1 56 PUSH ESI
0048EBB2 83EE DF SUB ESI,-21
0048EBB5 F2: PREFIX REPNE: ; 多余的前缀
0048EBB6 EB 01 JMP SHORT de_start.0048EBB9
0048EBB8 9A 33742408 8BF>CALL FAR F48B:08247433 ; 远调用
0048EBBF 8D76 4E LEA ESI,DWORD PTR DS:[ESI+4E]
0048EBC2 52 PUSH EDX
0048EBC3 53 PUSH EBX
0048EBC4 55 PUSH EBP
0048EBC5 335424 08 XOR EDX,DWORD PTR SS:[ESP+8]
0048EBC9 83CA 15 OR EDX,15
0048EBCC EB 01 JMP SHORT de_start.0048EBCF
0048EBCE F0:8D5475 23 LOCK LEA EDX,DWORD PTR SS:[EBP+ESI*2+23] ; 不允许锁定前缀
0048EBD3 3E:EB 02 JMP SHORT de_start.0048EBD8 ; 多余的前缀
0048EBD6 CD 20 INT 20
0048EBD8 23D1 AND EDX,ECX
0048EBDA EB 01 JMP SHORT de_start.0048EBDD
0048EBDC - E9 8D9439FF JMP FF82806E
0048EBE1 BA A2662BD7 MOV EDX,D72B66A2
0048EBE6 2BD1 SUB EDX,ECX
0048EBE8 52 PUSH EDX
0048EBE9 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
0048EBED 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
0048EBF1 5D POP EBP
0048EBF2 81F5 BFBAA266 XOR EBP,66A2BABF
0048EBF8 4D DEC EBP
0048EBF9 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048EBFD BB 96684900 MOV EBX,496896
0048EC02 55 PUSH EBP
0048EC03 23DD AND EBX,EBP
0048EC05 5B POP EBX
0048EC06 83C3 6E ADD EBX,6E
0048EC09 2BD7 SUB EDX,EDI
0048EC0B 8BD3 MOV EDX,EBX
0048EC0D 83C2 9B ADD EDX,-65
0048EC10 2BF2 SUB ESI,EDX
0048EC12 EB 01 JMP SHORT de_start.0048EC15
0048EC14 6903 6C243803 IMUL EAX,DWORD PTR DS:[EBX],338246C
0048EC1A 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048EC1B 24 18 AND AL,18
0048EC1D 5D POP EBP
0048EC1E 81EB 96D8D9DA SUB EBX,DAD9D896
0048EC24 5B POP EBX
0048EC25 83DA D5 SBB EDX,-2B
0048EC28 83DA 11 SBB EDX,11
0048EC2B 5A POP EDX
0048EC2C 68 00304500 PUSH de_start.00453000
0048EC31 8F06 POP DWORD PTR DS:[ESI]
0048EC33 5E POP ESI
0048EC34 65:EB 01 JMP SHORT de_start.0048EC38 ; 多余的前缀
0048EC37 9A 669DF2EB 01C>CALL FAR C701:EBF29D66 ; 远调用
0048EC3E 8D7407 03 LEA ESI,DWORD PTR DS:[EDI+EAX+3]
0048EC42 5E POP ESI
0048EC43 ^ E9 D2F7FFFF JMP de_start.0048E41A
0048EC48 59 POP ECX
0048EC49 ^ E9 20F6FFFF JMP de_start.0048E26E
0048EC4E 034C24 18 ADD ECX,DWORD PTR SS:[ESP+18]
0048EC52 B9 9E964800 MOV ECX,de_start.0048969E
0048EC57 2E:EB 01 JMP SHORT de_start.0048EC5B ; 多余的前缀
0048EC5A 0FB9 ??? ; 未知命令
0048EC5C 8C07 MOV WORD PTR DS:[EDI],ES
0048EC5E 46 INC ESI
0048EC5F 00EB ADD BL,CH
0048EC61 02CD ADD CL,CH
0048EC63 2081 E13FEB4C AND BYTE PTR DS:[ECX+4CEB3FE1],AL
0048EC69 B4 8D MOV AH,8D
0048EC6B 8C26 MOV WORD PTR DS:[ESI],FS
0048EC6D 0B00 OR EAX,DWORD PTR DS:[EAX]
0048EC6F 0000 ADD BYTE PTR DS:[EAX],AL
0048EC71 2BCE SUB ECX,ESI
0048EC73 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0048EC75 5F POP EDI
0048EC76 5E POP ESI
0048EC77 C9 LEAVE
0048EC78 C2 0C00 RETN 0C
0048EC7B 53 PUSH EBX
0048EC7C E9 B5010000 JMP de_start.0048EE36
0048EC81 8B5F 0C MOV EBX,DWORD PTR DS:[EDI+C]
0048EC84 8B70 04 MOV ESI,DWORD PTR DS:[EAX+4]
0048EC87 33D2 XOR EDX,EDX
0048EC89 55 PUSH EBP
0048EC8A EB 02 JMP SHORT de_start.0048EC8E
0048EC8C CD 20 INT 20
0048EC8E FF7424 24 PUSH DWORD PTR SS:[ESP+24]
0048EC92 66:9C PUSHFW
0048EC94 56 PUSH ESI
0048EC95 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048EC99 BE F6104800 MOV ESI,de_start.004810F6
0048EC9E F3: PREFIX REP: ; 多余的前缀
0048EC9F EB 02 JMP SHORT de_start.0048ECA3
0048ECA1 CD 20 INT 20
0048ECA3 8BF4 MOV ESI,ESP
0048ECA5 8D76 06 LEA ESI,DWORD PTR DS:[ESI+6]
0048ECA8 52 PUSH EDX
0048ECA9 8D544B 08 LEA EDX,DWORD PTR DS:[EBX+ECX*2+8]
0048ECAD 8D52 F8 LEA EDX,DWORD PTR DS:[EDX-8]
0048ECB0 EB 01 JMP SHORT de_start.0048ECB3
0048ECB2 9A 2BD1EB02 CD2>CALL FAR 20CD:02EBD12B ; 远调用
0048ECB9 1BD6 SBB EDX,ESI
0048ECBB 8D940F 1A3B4000 LEA EDX,DWORD PTR DS:[EDI+ECX+403B1A]
0048ECC2 26:EB 02 JMP SHORT de_start.0048ECC7 ; 多余的前缀
0048ECC5 CD 20 INT 20
0048ECC7 2BD1 SUB EDX,ECX
0048ECC9 2BD7 SUB EDX,EDI
0048ECCB 8916 MOV DWORD PTR DS:[ESI],EDX
0048ECCD 5A POP EDX
0048ECCE 5E POP ESI
0048ECCF 66:9D POPFW
0048ECD1 64:FF32 PUSH DWORD PTR FS:[EDX]
0048ECD4 64:8922 MOV DWORD PTR FS:[EDX],ESP
0048ECD7 85DB TEST EBX,EBX
0048ECD9 E9 C0050000 JMP de_start.0048F29E
0048ECDE 5B POP EBX
0048ECDF E9 AF010000 JMP de_start.0048EE93
0048ECE4 33C0 XOR EAX,EAX
0048ECE6 A3 04304500 MOV DWORD PTR DS:[453004],EAX
0048ECEB 807B 28 02 CMP BYTE PTR DS:[EBX+28],2
0048ECEF E9 B5050000 JMP de_start.0048F2A9
0048ECF4 83DA EB SBB EDX,-15
0048ECF7 BA 8E4D4300 MOV EDX,de_start.00434D8E
0048ECFC FF35 44204500 PUSH DWORD PTR DS:[452044] ; de_start.00452090
0048ED02 EB 01 JMP SHORT de_start.0048ED05
0048ED04 9A 8D544745 5AE>CALL FAR E95A:4547548D ; 远调用
0048ED0B C1F6 FF SAL ESI,0FF ; 移位常量超出 1..31 的范围
0048ED0E FFFF ??? ; 未知命令
0048ED10 50 PUSH EAX
0048ED11 F4 HLT ; 特权命令
0048ED12 335C24 28 XOR EBX,DWORD PTR SS:[ESP+28]
0048ED16 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048ED1A 50 PUSH EAX
0048ED1B F3: PREFIX REP: ; 多余的前缀
0048ED1C EB 02 JMP SHORT de_start.0048ED20
0048ED1E CD 20 INT 20
0048ED20 03D9 ADD EBX,ECX
0048ED22 5B POP EBX
0048ED23 ^ E9 B5F9FFFF JMP de_start.0048E6DD
0048ED28 FF15 24504500 CALL DWORD PTR DS:[455024]
0048ED2E 81F0 A6683AE6 XOR EAX,E63A68A6
0048ED34 FF36 PUSH DWORD PTR DS:[ESI]
0048ED36 034424 18 ADD EAX,DWORD PTR SS:[ESP+18]
0048ED3A F2: PREFIX REPNE: ; 多余的前缀
0048ED3B EB 01 JMP SHORT de_start.0048ED3E
0048ED3D - 0F83 E85D58E9 JNB E9A14B2B
0048ED43 9A F7FFFFE9 680>CALL FAR 0568:E9FFFFF7 ; 远调用
0048ED4A 0000 ADD BYTE PTR DS:[EAX],AL
0048ED4C 1BFF SBB EDI,EDI
0048ED4E FF30 PUSH DWORD PTR DS:[EAX]
0048ED50 BF 0ADB4300 MOV EDI,de_start.0043DB0A
0048ED55 EB 01 JMP SHORT de_start.0048ED58
0048ED57 - E9 C1C7F75F JMP 6040B51D
0048ED5C FF57 2C CALL DWORD PTR DS:[EDI+2C]
0048ED5F 33C0 XOR EAX,EAX
0048ED61 E9 8E000000 JMP de_start.0048EDF4
0048ED66 ^ 0F84 53F8FFFF JE de_start.0048E5BF
0048ED6C E8 2F4FF7FF CALL de_start.00403CA0
0048ED71 ^ E9 49F8FFFF JMP de_start.0048E5BF
0048ED76 33C0 XOR EAX,EAX
0048ED78 8943 0C MOV DWORD PTR DS:[EBX+C],EAX
0048ED7B E8 544DF7FF CALL de_start.00403AD4
0048ED80 E9 32020000 JMP de_start.0048EFB7
0048ED85 A3 64564500 MOV DWORD PTR DS:[455664],EAX
0048ED8A 8D440B B2 LEA EAX,DWORD PTR DS:[EBX+ECX-4E]
0048ED8E 2BC1 SUB EAX,ECX
0048ED90 81E8 CE4E5395 SUB EAX,95534ECE
0048ED96 B8 06044200 MOV EAX,de_start.00420406 ; ASCII "s(j"
0048ED9B B8 BE084300 MOV EAX,de_start.004308BE
0048EDA0 8D8411 64564500 LEA EAX,DWORD PTR DS:[ECX+EDX+455664]
0048EDA7 2BC2 SUB EAX,EDX
0048EDA9 2BC1 SUB EAX,ECX
0048EDAB 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048EDAD ^ E9 BBF7FFFF JMP de_start.0048E56D
0048EDB2 81E0 F091701C AND EAX,1C7091F0
0048EDB8 F3: PREFIX REP: ; 多余的前缀
0048EDB9 EB 02 JMP SHORT de_start.0048EDBD
0048EDBB CD 20 INT 20
0048EDBD 2BC0 SUB EAX,EAX
0048EDBF EB 02 JMP SHORT de_start.0048EDC3
0048EDC1 CD 20 INT 20
0048EDC3 8D8435 58D54600 LEA EAX,DWORD PTR SS:[EBP+ESI+46D558]
0048EDCA 2BC6 SUB EAX,ESI
0048EDCC EB 02 JMP SHORT de_start.0048EDD0
0048EDCE CD 20 INT 20
0048EDD0 8D440B 04 LEA EAX,DWORD PTR DS:[EBX+ECX+4]
0048EDD4 2BC1 SUB EAX,ECX
0048EDD6 8D4428 FC LEA EAX,DWORD PTR DS:[EAX+EBP-4]
0048EDDA 2BC5 SUB EAX,EBP
0048EDDC E9 27020000 JMP de_start.0048F008
0048EDE1 85C0 TEST EAX,EAX
0048EDE3 0F84 7C030000 JE de_start.0048F165
0048EDE9 50 PUSH EAX
0048EDEA E8 5524F7FF CALL de_start.00401244 ; JMP 到 kernel32.FreeLibrary
0048EDEF E9 71030000 JMP de_start.0048F165
0048EDF4 5A POP EDX
0048EDF5 ^ E9 4EFEFFFF JMP de_start.0048EC48
0048EDFA 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
0048EDFE C1DD C9 RCR EBP,0C9 ; 移位常量超出 1..31 的范围
0048EE01 3E:EB 02 JMP SHORT de_start.0048EE06 ; 多余的前缀
0048EE04 CD 20 INT 20
0048EE06 036C24 38 ADD EBP,DWORD PTR SS:[ESP+38]
0048EE0A F2: PREFIX REPNE: ; 多余的前缀
0048EE0B EB 01 JMP SHORT de_start.0048EE0E
0048EE0D 0F33 RDPMC ; 特权命令
0048EE0F 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048EE10 24 08 AND AL,8
0048EE12 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
0048EE16 BD DAF34A00 MOV EBP,4AF3DA
0048EE1B 8D6C04 44 LEA EBP,DWORD PTR SS:[ESP+EAX+44]
0048EE1F 2BE8 SUB EBP,EAX
0048EE21 8D6C05 BC LEA EBP,DWORD PTR SS:[EBP+EAX-44]
0048EE25 65:EB 01 JMP SHORT de_start.0048EE29 ; 多余的前缀
0048EE28 F3: PREFIX REP: ; 多余的前缀
0048EE29 2BE8 SUB EBP,EAX
0048EE2B ^ E9 CAF6FFFF JMP de_start.0048E4FA
0048EE30 55 PUSH EBP
0048EE31 ^ E9 C4FFFFFF JMP de_start.0048EDFA
0048EE36 56 PUSH ESI
0048EE37 57 PUSH EDI
0048EE38 55 PUSH EBP
0048EE39 EB 01 JMP SHORT de_start.0048EE3C
0048EE3B C7 ??? ; 未知命令
0048EE3C 8D5C75 2B LEA EBX,DWORD PTR SS:[EBP+ESI*2+2B]
0048EE40 8D5C2B D5 LEA EBX,DWORD PTR DS:[EBX+EBP-2B]
0048EE44 2BDD SUB EBX,EBP
0048EE46 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048EE4A C1D3 95 RCL EBX,95 ; 移位常量超出 1..31 的范围
0048EE4D 13DD ADC EBX,EBP
0048EE4F 8D9C08 34564500 LEA EBX,DWORD PTR DS:[EAX+ECX+455634]
0048EE56 2BD9 SUB EBX,ECX
0048EE58 2BD8 SUB EBX,EAX
0048EE5A ^ E9 45FDFFFF JMP de_start.0048EBA4
0048EE5F B9 A2864000 MOV ECX,de_start.004086A2
0048EE64 C1D9 CD RCR ECX,0CD ; 移位常量超出 1..31 的范围
0048EE67 FF35 04414500 PUSH DWORD PTR DS:[454104] ; de_start.00455C0C
0048EE6D 33CD XOR ECX,EBP
0048EE6F 59 POP ECX
0048EE70 ^ E9 C8F7FFFF JMP de_start.0048E63D
0048EE75 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048EE79 C1C8 AD ROR EAX,0AD ; 移位常量超出 1..31 的范围
0048EE7C 53 PUSH EBX
0048EE7D 81F0 E03E4510 XOR EAX,10453EE0
0048EE83 58 POP EAX
0048EE84 ^ E9 89F6FFFF JMP de_start.0048E512
0048EE89 E8 D26DF7FF CALL de_start.00405C60
0048EE8E ^ E9 64F5FFFF JMP de_start.0048E3F7
0048EE93 59 POP ECX
0048EE94 5D POP EBP
0048EE95 ^ E9 7AF5FFFF JMP de_start.0048E414
0048EE9A E8 C565F7FF CALL de_start.00405464
0048EE9F ^ E9 6EF7FFFF JMP de_start.0048E612
0048EEA4 EB 02 JMP SHORT de_start.0048EEA8
0048EEA6 CD 20 INT 20
0048EEA8 81D0 476317A0 ADC EAX,A0176347
0048EEAE 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048EEB2 B8 B6B84300 MOV EAX,de_start.0043B8B6
0048EEB7 8D4423 52 LEA EAX,DWORD PTR DS:[EBX+52]
0048EEBB 8D4428 AB LEA EAX,DWORD PTR DS:[EAX+EBP-55]
0048EEBF 52 PUSH EDX
0048EEC0 51 PUSH ECX
0048EEC1 53 PUSH EBX
0048EEC2 83CA 51 OR EDX,51
0048EEC5 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048EEC9 81F2 9ECD9403 XOR EDX,394CD9E
0048EECF 2E:EB 01 JMP SHORT de_start.0048EED3 ; 多余的前缀
0048EED2 C7 ??? ; 未知命令
0048EED3 BA F25F4100 MOV EDX,de_start.00415FF2
0048EED8 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048EEDC EB 02 JMP SHORT de_start.0048EEE0
0048EEDE CD 20 INT 20
0048EEE0 8D9401 06F99407 LEA EDX,DWORD PTR DS:[ECX+EAX+794F906]
0048EEE7 2BD0 SUB EDX,EAX
0048EEE9 2BD1 SUB EDX,ECX
0048EEEB 87DA XCHG EDX,EBX
0048EEED 83EB 46 SUB EBX,46
0048EEF0 87CB XCHG EBX,ECX
0048EEF2 C1C1 F4 ROL ECX,0F4 ; 移位常量超出 1..31 的范围
0048EEF5 33D7 XOR EDX,EDI
0048EEF7 8BD1 MOV EDX,ECX
0048EEF9 81EA 4B79008C SUB EDX,8C00794B
0048EEFF 4A DEC EDX
0048EF00 03C2 ADD EAX,EDX
0048EF02 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048EF06 EB 01 JMP SHORT de_start.0048EF09
0048EF08 C7 ??? ; 未知命令
0048EF09 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048EF0D 5B POP EBX
0048EF0E F3: PREFIX REP: ; 多余的前缀
0048EF0F EB 02 JMP SHORT de_start.0048EF13
0048EF11 CD 20 INT 20
0048EF13 81C9 D98699F6 OR ECX,F69986D9
0048EF19 F3: PREFIX REP: ; 多余的前缀
0048EF1A EB 02 JMP SHORT de_start.0048EF1E
0048EF1C CD 20 INT 20
0048EF1E 59 POP ECX
0048EF1F EB 01 JMP SHORT de_start.0048EF22
0048EF21 F0:C1D2 C7 LOCK RCL EDX,0C7 ; 不允许锁定前缀
0048EF25 C1CA E3 ROR EDX,0E3 ; 移位常量超出 1..31 的范围
0048EF28 F3: PREFIX REP: ; 多余的前缀
0048EF29 EB 02 JMP SHORT de_start.0048EF2D
0048EF2B CD 20 INT 20
0048EF2D 5A POP EDX
0048EF2E EB 01 JMP SHORT de_start.0048EF31
0048EF30 F3: PREFIX REP: ; 多余的前缀
0048EF31 2BC5 SUB EAX,EBP
0048EF33 E9 69000000 JMP de_start.0048EFA1
0048EF38 84C0 TEST AL,AL
0048EF3A E9 83030000 JMP de_start.0048F2C2
0048EF3F BA D2474500 MOV EDX,de_start.004547D2
0048EF44 BA CA4D4100 MOV EDX,de_start.00414DCA
0048EF49 8B17 MOV EDX,DWORD PTR DS:[EDI]
0048EF4B 89D0 MOV EAX,EDX
0048EF4D 33D2 XOR EDX,EDX
0048EF4F 8917 MOV DWORD PTR DS:[EDI],EDX
0048EF51 81ED 4448EC05 SUB EBP,5EC4844
0048EF57 81D5 1C1B4221 ADC EBP,21421B1C
0048EF5D 8D68 08 LEA EBP,DWORD PTR DS:[EAX+8]
0048EF60 F2: PREFIX REPNE: ; 多余的前缀
0048EF61 EB 01 JMP SHORT de_start.0048EF64
0048EF63 698D 6C0DF82B E>IMUL ECX,DWORD PTR SS:[EBP+2BF80D6C],E9D>
0048EF6D 5C POP ESP
0048EF6E 0300 ADD EAX,DWORD PTR DS:[EAX]
0048EF70 0080 7B28010F ADD BYTE PTR DS:[EAX+F01287B],AL
0048EF76 8533 TEST DWORD PTR DS:[EBX],ESI
0048EF78 0000 ADD BYTE PTR DS:[EAX],AL
0048EF7A 00FF ADD BH,BH
0048EF7C 53 PUSH EBX
0048EF7D 24 E9 AND AL,0E9
0048EF7F 2B00 SUB EAX,DWORD PTR DS:[EAX]
0048EF81 0000 ADD BYTE PTR DS:[EAX],AL
0048EF83 C605 34504500 0>MOV BYTE PTR DS:[455034],0
0048EF8A E8 A54BF7FF CALL de_start.00403B34
0048EF8F E9 14020000 JMP de_start.0048F1A8
0048EF94 33C0 XOR EAX,EAX
0048EF96 5A POP EDX
0048EF97 59 POP ECX
0048EF98 59 POP ECX
0048EF99 64:8910 MOV DWORD PTR FS:[EAX],EDX
0048EF9C ^ E9 F2F3FFFF JMP de_start.0048E393
0048EFA1 EB 02 JMP SHORT de_start.0048EFA5
0048EFA3 CD 20 INT 20
0048EFA5 2BD0 SUB EDX,EAX
0048EFA7 8B10 MOV EDX,DWORD PTR DS:[EAX]
0048EFA9 ^ E9 B2F5FFFF JMP de_start.0048E560
0048EFAE 807B 28 00 CMP BYTE PTR DS:[EBX+28],0
0048EFB2 ^ E9 AFFDFFFF JMP de_start.0048ED66
0048EFB7 807B 28 01 CMP BYTE PTR DS:[EBX+28],1
0048EFBB ^ 0F86 64FBFFFF JBE de_start.0048EB25
0048EFC1 E9 15030000 JMP de_start.0048F2DB
0048EFC6 035424 38 ADD EDX,DWORD PTR SS:[ESP+38]
0048EFCA F2: PREFIX REPNE: ; 多余的前缀
0048EFCB EB 01 JMP SHORT de_start.0048EFCE
0048EFCD 0FBAA2 BF4300F3>BT DWORD PTR DS:[EDX+F30043BF],0EB
0048EFD5 02CD ADD CL,CH
0048EFD7 2050 BA AND BYTE PTR DS:[EAX-46],DL
0048EFDA 12BE 4400BA0A ADC BH,BYTE PTR DS:[ESI+ABA0044]
0048EFE0 0048 00 ADD BYTE PTR DS:[EAX],CL
0048EFE3 5A POP EDX
0048EFE4 83E2 0F AND EDX,0F
0048EFE7 8A92 8C304500 MOV DL,BYTE PTR DS:[EDX+45308C]
0048EFED 33DB XOR EBX,EBX
0048EFEF 8AD9 MOV BL,CL
0048EFF1 88141E MOV BYTE PTR DS:[ESI+EBX],DL
0048EFF4 C1E8 04 SHR EAX,4
0048EFF7 49 DEC ECX
0048EFF8 85C0 TEST EAX,EAX
0048EFFA ^ 0F85 C6FFFFFF JNZ de_start.0048EFC6
0048F000 5F POP EDI
0048F001 5E POP ESI
0048F002 5B POP EBX
0048F003 ^ E9 FCF2FFFF JMP de_start.0048E304
0048F008 83CF 9B OR EDI,FFFFFF9B
0048F00B 83EF 77 SUB EDI,77
0048F00E 52 PUSH EDX
0048F00F 66:9C PUSHFW
0048F011 55 PUSH EBP
0048F012 8DAC11 10BC4A00 LEA EBP,DWORD PTR DS:[ECX+EDX+4ABC10]
0048F019 8D6C4B 3E LEA EBP,DWORD PTR DS:[EBX+ECX*2+3E]
0048F01D F2: PREFIX REPNE: ; 多余的前缀
0048F01E EB 01 JMP SHORT de_start.0048F021
0048F020 E8 8D6C35C2 CALL C27E5CB2
0048F025 2BEE SUB EBP,ESI
0048F027 2BE9 SUB EBP,ECX
0048F029 8D6C24 20 LEA EBP,DWORD PTR SS:[ESP+20]
0048F02D 83ED 20 SUB EBP,20
0048F030 65:EB 01 JMP SHORT de_start.0048F034 ; 多余的前缀
0048F033 9A 8D6D5252 535>CALL FAR 5653:52526D8D ; 远调用
0048F03A 23F5 AND ESI,EBP
0048F03C 2E:EB 01 JMP SHORT de_start.0048F040 ; 多余的前缀
0048F03F F2: PREFIX REPNE: ; 多余的前缀
0048F040 68 C4003B81 PUSH 813B00C4
0048F045 51 PUSH ECX
0048F046 EB 01 JMP SHORT de_start.0048F049
0048F048 9A 8D4C3571 3EE>CALL FAR EB3E:71354C8D ; 远调用
0048F04F 02CD ADD CL,CH
0048F051 208D 4C118F2B AND BYTE PTR SS:[EBP+2B8F114C],CL
0048F057 CA 8BCC RETF 0CC8B ; 远返回
0048F05A 8D4C39 04 LEA ECX,DWORD PTR DS:[ECX+EDI+4]
0048F05E 2BCF SUB ECX,EDI
0048F060 57 PUSH EDI
0048F061 C1CF 29 ROR EDI,29 ; 移位常量超出 1..31 的范围
0048F064 65:EB 01 JMP SHORT de_start.0048F068 ; 多余的前缀
0048F067 C7 ??? ; 未知命令
0048F068 BF 58AB4300 MOV EDI,de_start.0043AB58
0048F06D 8DB8 BFFFFFFE LEA EDI,DWORD PTR DS:[EAX+FEFFFFBF]
0048F073 2BF8 SUB EDI,EAX
0048F075 57 PUSH EDI
0048F076 65:EB 01 JMP SHORT de_start.0048F07A ; 多余的前缀
0048F079 9A 8F41005F 598>CALL FAR 8159:5F00418F ; 远调用
0048F080 D6 SALC
0048F081 1A33 SBB DH,BYTE PTR DS:[EBX]
0048F083 99 CDQ
0048F084 45 INC EBP
0048F085 5E POP ESI
0048F086 C1CE 06 ROR ESI,6
0048F089 46 INC ESI
0048F08A 56 PUSH ESI
0048F08B 13D9 ADC EBX,ECX
0048F08D 5B POP EBX
0048F08E C1CB B1 ROR EBX,0B1 ; 移位常量超出 1..31 的范围
0048F091 53 PUSH EBX
0048F092 EB 02 JMP SHORT de_start.0048F096
0048F094 CD 20 INT 20
0048F096 8D140B LEA EDX,DWORD PTR DS:[EBX+ECX]
0048F099 5A POP EDX
0048F09A 83C2 4F ADD EDX,4F
0048F09D 64:EB 02 JMP SHORT de_start.0048F0A2 ; 多余的前缀
0048F0A0 CD 20 INT 20
0048F0A2 8D7475 77 LEA ESI,DWORD PTR SS:[EBP+ESI*2+77]
0048F0A6 EB 01 JMP SHORT de_start.0048F0A9
0048F0A8 698D 768952EB 0>IMUL ECX,DWORD PTR SS:[EBP+EB528976],16B>
0048F0B2 AC LODS BYTE PTR DS:[ESI]
0048F0B3 44 INC ESP
0048F0B4 00BE CE574100 ADD BYTE PTR DS:[ESI+4157CE],BH
0048F0BA 5E POP ESI
0048F0BB F2: PREFIX REPNE: ; 多余的前缀
0048F0BC EB 01 JMP SHORT de_start.0048F0BF
0048F0BE - E9 2BEE0374 JMP 744CDEEE
0048F0C3 24 38 AND AL,38
0048F0C5 C1D6 9B RCL ESI,9B ; 移位常量超出 1..31 的范围
0048F0C8 5E POP ESI
0048F0C9 0BDD OR EBX,EBP
0048F0CB 5B POP EBX
0048F0CC F2: PREFIX REPNE: ; 多余的前缀
0048F0CD EB 01 JMP SHORT de_start.0048F0D0
0048F0CF C703 542418F2 MOV DWORD PTR DS:[EBX],F2182454
0048F0D5 EB 01 JMP SHORT de_start.0048F0D8
0048F0D7 F2: PREFIX REPNE: ; 多余的前缀
0048F0D8 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048F0DC F3: PREFIX REP: ; 多余的前缀
0048F0DD EB 02 JMP SHORT de_start.0048F0E1
0048F0DF CD 20 INT 20
0048F0E1 5A POP EDX
0048F0E2 50 PUSH EAX
0048F0E3 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048F0E7 C1D0 73 RCL EAX,73 ; 移位常量超出 1..31 的范围
0048F0EA 8D8426 0A000000 LEA EAX,DWORD PTR DS:[ESI+A]
0048F0F1 2BC6 SUB EAX,ESI
0048F0F3 8945 00 MOV DWORD PTR SS:[EBP],EAX
0048F0F6 58 POP EAX
0048F0F7 5D POP EBP
0048F0F8 36:EB 01 JMP SHORT de_start.0048F0FC ; 多余的前缀
0048F0FB 9A 669D0BFB 5F9>CALL FAR 995F:FB0B9D66 ; 远调用
0048F102 F7FF IDIV EDI
0048F104 80C2 30 ADD DL,30
0048F107 33C0 XOR EAX,EAX
0048F109 8AC1 MOV AL,CL
0048F10B 881406 MOV BYTE PTR DS:[ESI+EAX],DL
0048F10E F3: PREFIX REP: ; 多余的前缀
0048F10F EB 02 JMP SHORT de_start.0048F113
0048F111 CD 20 INT 20
0048F113 81E0 7DD6EE92 AND EAX,92EED67D
0048F119 53 PUSH EBX
0048F11A 81E0 709A5AD5 AND EAX,D55A9A70
0048F120 58 POP EAX
0048F121 ^ E9 B6F6FFFF JMP de_start.0048E7DC
0048F126 837E 44 00 CMP DWORD PTR DS:[ESI+44],0
0048F12A ^ E9 ECF0FFFF JMP de_start.0048E21B
0048F12F 03C7 ADD EAX,EDI
0048F131 FF33 PUSH DWORD PTR DS:[EBX]
0048F133 F2: PREFIX REPNE: ; 多余的前缀
0048F134 EB 01 JMP SHORT de_start.0048F137
0048F136 9A B8469244 00F>CALL FAR F200:449246B8 ; 远调用
0048F13D EB 01 JMP SHORT de_start.0048F140
0048F13F F0:83D8 85 LOCK SBB EAX,-7B ; 不允许锁定前缀
0048F143 58 POP EAX
0048F144 56 PUSH ESI
0048F145 81C6 D83AED3A ADD ESI,3AED3AD8
0048F14B 03F7 ADD ESI,EDI
0048F14D 8D70 19 LEA ESI,DWORD PTR DS:[EAX+19]
0048F150 8D740E E7 LEA ESI,DWORD PTR DS:[ESI+ECX-19]
0048F154 2BF1 SUB ESI,ECX
0048F156 ^ E9 BEF4FFFF JMP de_start.0048E619
0048F15B E8 D48AFAFF CALL de_start.00437C34
0048F160 ^ E9 3FFDFFFF JMP de_start.0048EEA4
0048F165 E8 4249F7FF CALL de_start.00403AAC
0048F16A ^ E9 02FEFFFF JMP de_start.0048EF71
0048F16F EB 02 JMP SHORT de_start.0048F173
0048F171 CD 20 INT 20
0048F173 81D3 71654377 ADC EBX,77436571
0048F179 C1D3 A9 RCL EBX,0A9 ; 移位常量超出 1..31 的范围
0048F17C 83DB A5 SBB EBX,-5B
0048F17F 0BDD OR EBX,EBP
0048F181 8D5C08 04 LEA EBX,DWORD PTR DS:[EAX+ECX+4]
0048F185 2BD9 SUB EBX,ECX
0048F187 8D5B FC LEA EBX,DWORD PTR DS:[EBX-4]
0048F18A 33C0 XOR EAX,EAX
0048F18C A3 9C304500 MOV DWORD PTR DS:[45309C],EAX
0048F191 ^ E9 C5F9FFFF JMP de_start.0048EB5B
0048F196 833D 04304500 0>CMP DWORD PTR DS:[453004],0
0048F19D ^ 0F84 48FBFFFF JE de_start.0048ECEB
0048F1A3 ^ E9 12F1FFFF JMP de_start.0048E2BA
0048F1A8 C3 RETN
0048F1A9 53 PUSH EBX
0048F1AA 56 PUSH ESI
0048F1AB 57 PUSH EDI
0048F1AC 81F6 CA0B375D XOR ESI,5D370BCA
0048F1B2 8DB411 60464300 LEA ESI,DWORD PTR DS:[ECX+EDX+434660]
0048F1B9 65:EB 01 JMP SHORT de_start.0048F1BD ; 多余的前缀
0048F1BC C7 ??? ; 未知命令
0048F1BD 8DB425 6C304500 LEA ESI,DWORD PTR SS:[EBP+45306C]
0048F1C4 EB 02 JMP SHORT de_start.0048F1C8
0048F1C6 CD 20 INT 20
0048F1C8 2BF5 SUB ESI,EBP
0048F1CA B1 10 MOV CL,10
0048F1CC 035C24 18 ADD EBX,DWORD PTR SS:[ESP+18]
0048F1D0 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048F1D4 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048F1D8 BB D6394A00 MOV EBX,4A39D6
0048F1DD 8D9C26 00304500 LEA EBX,DWORD PTR DS:[ESI+453000]
0048F1E4 F3: PREFIX REP: ; 多余的前缀
0048F1E5 EB 02 JMP SHORT de_start.0048F1E9
0048F1E7 CD 20 INT 20
0048F1E9 2BDE SUB EBX,ESI
0048F1EB EB 01 JMP SHORT de_start.0048F1EE
0048F1ED 69FF 33BBB63B IMUL EDI,EDI,3BB6BB33
0048F1F3 43 INC EBX
0048F1F4 002E ADD BYTE PTR DS:[ESI],CH
0048F1F6 EB 01 JMP SHORT de_start.0048F1F9
0048F1F8 F2: PREFIX REPNE: ; 多余的前缀
0048F1F9 8B5C24 30 MOV EBX,DWORD PTR SS:[ESP+30]
0048F1FD 5B POP EBX
0048F1FE ^ E9 AFFBFFFF JMP de_start.0048EDB2
0048F203 0000 ADD BYTE PTR DS:[EAX],AL
0048F205 0000 ADD BYTE PTR DS:[EAX],AL
0048F207 0000 ADD BYTE PTR DS:[EAX],AL
0048F209 0000 ADD BYTE PTR DS:[EAX],AL
0048F20B 0000 ADD BYTE PTR DS:[EAX],AL
0048F20D 0000 ADD BYTE PTR DS:[EAX],AL
0048F20F 0000 ADD BYTE PTR DS:[EAX],AL
0048F211 0000 ADD BYTE PTR DS:[EAX],AL
0048F213 0000 ADD BYTE PTR DS:[EAX],AL
0048F215 0000 ADD BYTE PTR DS:[EAX],AL
0048F217 0000 ADD BYTE PTR DS:[EAX],AL
0048F219 0000 ADD BYTE PTR DS:[EAX],AL
0048F21B 0000 ADD BYTE PTR DS:[EAX],AL
0048F21D 0000 ADD BYTE PTR DS:[EAX],AL
0048F21F 000F ADD BYTE PTR DS:[EDI],CL
0048F221 8540 F3 TEST DWORD PTR DS:[EAX-D],EAX
0048F224 FFFF ??? ; 未知命令
0048F226 ^ E9 C2F1FFFF JMP de_start.0048E3ED
0048F22B 8338 00 CMP DWORD PTR DS:[EAX],0
0048F22E ^ 0F84 EAF8FFFF JE de_start.0048EB1E
0048F234 ^ E9 9CF3FFFF JMP de_start.0048E5D5
0048F239 ^ 0F84 65FCFFFF JE de_start.0048EEA4
0048F23F ^ E9 17FFFFFF JMP de_start.0048F15B
0048F244 833F 00 CMP DWORD PTR DS:[EDI],0
0048F247 ^ 0F84 49FFFFFF JE de_start.0048F196
0048F24D ^ E9 EDFCFFFF JMP de_start.0048EF3F
0048F252 ^ 0F84 0DFFFFFF JE de_start.0048F165
0048F258 ^ E9 84FBFFFF JMP de_start.0048EDE1
0048F25D ^ 0F84 63F3FFFF JE de_start.0048E5C6
0048F263 ^ E9 5CF3FFFF JMP de_start.0048E5C4
0048F268 833B 00 CMP DWORD PTR DS:[EBX],0
0048F26B ^ 0F85 BEFEFFFF JNZ de_start.0048F12F
0048F271 ^ E9 21F9FFFF JMP de_start.0048EB97
0048F276 ^ 0F8F 87F2FFFF JG de_start.0048E503
0048F27C ^ E9 13FDFFFF JMP de_start.0048EF94
0048F281 ^ 0F84 0CF1FFFF JE de_start.0048E393
0048F287 ^ E9 F5F9FFFF JMP de_start.0048EC81
0048F28C 833D 24504500 0>CMP DWORD PTR DS:[455024],0
0048F293 ^ 0F84 95FAFFFF JE de_start.0048ED2E
0048F299 ^ E9 8AFAFFFF JMP de_start.0048ED28
0048F29E ^ 0F8E F0FCFFFF JLE de_start.0048EF94
0048F2A4 ^ E9 5AF2FFFF JMP de_start.0048E503
0048F2A9 ^ 0F85 CCFAFFFF JNZ de_start.0048ED7B
0048F2AF ^ E9 93FAFFFF JMP de_start.0048ED47
0048F2B4 833E 00 CMP DWORD PTR DS:[ESI],0
0048F2B7 ^ 0F85 BEFAFFFF JNZ de_start.0048ED7B
0048F2BD ^ E9 B4FAFFFF JMP de_start.0048ED76
0048F2C2 ^ 0F84 99F3FFFF JE de_start.0048E661
0048F2C8 ^ E9 9BF3FFFF JMP de_start.0048E668
0048F2CD 833F 00 CMP DWORD PTR DS:[EDI],0
0048F2D0 ^ 0F85 69FCFFFF JNZ de_start.0048EF3F
0048F2D6 ^ E9 BBFEFFFF JMP de_start.0048F196
0048F2DB 833E 00 CMP DWORD PTR DS:[ESI],0
0048F2DE ^ 0F84 81FEFFFF JE de_start.0048F165
0048F2E4 ^ E9 3CF8FFFF JMP de_start.0048EB25
本人遇到一个破解方面提到较少的一种,就是可以在程序上非常容易的注册,但是是需要冲值的,
如下图:
用户名 用户注册
密码 用户等录
冲值卡号 冲值
进入页面就是这样的,可以在此程序上注册,但是需要冲值在可以正常运行,我该从何入手呢,
用OD打开程序,修改了入口,以下是OD载入的信息:
刚进入是这样的。
00452580 > - E9 7BBA0300 JMP de_start.0048E000 ; (初始 cpu 选择)
00452585 F2 DB F2
00452586 41 DB 41 ; CHAR 'A'
00452587 C4 DB C4
00452588 93 DB 93
00452589 96 DB 96
0045258A A4 DB A4
0045258B C1 DB C1
0045258C 0B DB 0B
0045258D 58 DB 58 ; CHAR 'X'
0045258E 26 DB 26 ; CHAR '&'
0045258F 42 DB 42 ; CHAR 'B'
00452590 34 DB 34 ; CHAR '4'
00452591 B6 DB B6
00452592 B4 DB B4
00452593 EA DB EA
00452594 9F DB 9F
00452595 32 DB 32 ; CHAR '2'
00452596 D9 DB D9
00452597 79 DB 79 ; CHAR 'y'
00452598 1F DB 1F
00452599 28 DB 28 ; CHAR '('
0045259A 93 DB 93
0045259B 48 DB 48 ; CHAR 'H'
0045259C 3B DB 3B ; CHAR ';'
0045259D D8 DB D8
0045259E BD DB BD
0045259F 91 DB 91
004525A0 74 DB 74 ; CHAR 't'
004525A1 59 DB 59 ; CHAR 'Y'
004525A2 57 DB 57 ; CHAR 'W'
004525A3 F1 DB F1
004525A4 BD DB BD
004525A5 A1 DB A1
004525A6 2B DB 2B ; CHAR '+'
004525A7 E2 DB E2
004525A8 D4 DB D4
004525A9 06 DB 06
004525AA A8 DB A8
004525AB 2D DB 2D ; CHAR '-'
004525AC 71 DB 71 ; CHAR 'q'
004525AD C1 DB C1
004525AE FB DB FB
004525AF 8E DB 8E
004525B0 69 DB 69 ; CHAR 'i'
004525B1 65 DB 65 ; CHAR 'e'
004525B2 AF DB AF
004525B3 0C DB 0C
004525B4 3D DB 3D ; CHAR '='
004525B5 4B DB 4B ; CHAR 'K'
004525B6 5E DB 5E ; CHAR '^'
004525B7 AE DB AE
004525B8 BD DB BD
004525B9 6B DB 6B ; CHAR 'k'
004525BA 4F DB 4F ; CHAR 'O'
004525BB A6 DB A6
004525BC A4 DB A4
往下走一步到这里:
0048E000 55 PUSH EBP ; (初始 cpu 选择)
0048E001 C1CD DF ROR EBP,0DF ; 移位常量超出 1..31 的范围
0048E004 BD F6D64900 MOV EBP,49D6F6
0048E009 3E:EB 02 JMP SHORT de_start.0048E00E ; 多余的前缀
0048E00C CD 20 INT 20
0048E00E 83DD 59 SBB EBP,59
0048E011 F2: PREFIX REPNE: ; 多余的前缀
0048E012 EB 01 JMP SHORT de_start.0048E015
0048E014 - E9 BDD69042 JMP 42D9B6D6
0048E019 008D 6C246E8D ADD BYTE PTR SS:[EBP+8D6E246C],CL
0048E01F 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048E020 05 922BE883 ADD EAX,83E82B92
0048E025 C4F0 LES ESI,EAX ; 非法使用寄存器
0048E027 034424 18 ADD EAX,DWORD PTR SS:[ESP+18]
0048E02B 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048E02F 64:EB 02 JMP SHORT de_start.0048E034 ; 多余的前缀
0048E032 CD 20 INT 20
0048E034 6A 70 PUSH 70
0048E036 F2: PREFIX REPNE: ; 多余的前缀
0048E037 EB 01 JMP SHORT de_start.0048E03A
0048E039 F2:66: PREFIX REPNE: ; 多余的前缀
0048E03B 9C PUSHFD
0048E03C 51 PUSH ECX
0048E03D 81D1 A6F73C6F ADC ECX,6F3CF7A6
0048E043 EB 01 JMP SHORT de_start.0048E046
0048E045 0F8B CC83C106 JPO 070A6417
0048E04B 52 PUSH EDX
0048E04C 64:EB 02 JMP SHORT de_start.0048E051 ; 多余的前缀
0048E04F CD 20 INT 20
0048E051 81D2 825E0F45 ADC EDX,450F5E82
0048E057 2BD1 SUB EDX,ECX
0048E059 8D942F 80234500 LEA EDX,DWORD PTR DS:[EDI+EBP+452380]
0048E060 2BD5 SUB EDX,EBP
0048E062 2BD7 SUB EDX,EDI
0048E064 52 PUSH EDX
0048E065 8F01 POP DWORD PTR DS:[ECX]
0048E067 5A POP EDX
0048E068 59 POP ECX
0048E069 66:9D POPFW
0048E06B C1C8 F7 ROR EAX,0F7 ; 移位常量超出 1..31 的范围
0048E06E 65:EB 01 JMP SHORT de_start.0048E072 ; 多余的前缀
0048E071 9A C1E8E258 E90>CALL FAR 0EE9:58E2E8C1 ; 远调用
0048E078 0E PUSH CS
0048E079 0000 ADD BYTE PTR DS:[EAX],AL
0048E07B 334424 28 XOR EAX,DWORD PTR SS:[ESP+28]
0048E07F 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E083 3E:EB 02 JMP SHORT de_start.0048E088 ; 多余的前缀
0048E086 CD 20 INT 20
0048E088 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048E08C B8 D6C34600 MOV EAX,de_start.0046C3D6 ; ?
0048E091 64:EB 02 JMP SHORT de_start.0048E096 ; 多余的前缀
0048E094 CD 20 INT 20
0048E096 F3: PREFIX REP: ; 多余的前缀
0048E097 EB 02 JMP SHORT de_start.0048E09B
0048E099 CD 20 INT 20
0048E09B 8D843A 8A504800 LEA EAX,DWORD PTR DS:[EDX+EDI+48508A]
0048E0A2 8D442B 2A LEA EAX,DWORD PTR DS:[EBX+EBP+2A]
0048E0A6 64:EB 02 JMP SHORT de_start.0048E0AB ; 多余的前缀
0048E0A9 CD 20 INT 20
0048E0AB 2BC5 SUB EAX,EBP
0048E0AD 8D4410 D6 LEA EAX,DWORD PTR DS:[EAX+EDX-2A]
0048E0B1 2BC2 SUB EAX,EDX
0048E0B3 E9 570C0000 JMP de_start.0048ED0F
0048E0B8 F3: PREFIX REP: ; 多余的前缀
0048E0B9 EB 02 JMP SHORT de_start.0048E0BD
0048E0BB CD 20 INT 20
0048E0BD 81F0 B51C63AF XOR EAX,AF631CB5
0048E0C3 B8 DA3E4800 MOV EAX,de_start.00483EDA
0048E0C8 EB 01 JMP SHORT de_start.0048E0CB
0048E0CA 69B8 3E584200 3>IMUL EDI,DWORD PTR DS:[EAX+42583E],CD02E>
0048E0D4 208D 4475B38D AND BYTE PTR SS:[EBP+8DB37544],CL
0048E0DA 44 INC ESP
0048E0DB 0B70 2B OR ESI,DWORD PTR DS:[EAX+2B]
0048E0DE C136 EB SAL DWORD PTR DS:[ESI],0EB ; 移位常量超出 1..31 的范围
0048E0E1 010F ADD DWORD PTR DS:[EDI],ECX
0048E0E3 3E:EB 02 JMP SHORT de_start.0048E0E8 ; 多余的前缀
0048E0E6 CD 20 INT 20
0048E0E8 8D4408 90 LEA EAX,DWORD PTR DS:[EAX+ECX-70]
0048E0EC 2BC1 SUB EAX,ECX
0048E0EE E8 A15AF7FF CALL de_start.00403B94
0048E0F3 E9 A40A0000 JMP de_start.0048EB9C
0048E0F8 894D FC MOV DWORD PTR SS:[EBP-4],ECX
0048E0FB 81DB 6EC06037 SBB EBX,3760C06E
0048E101 F2: PREFIX REPNE: ; 多余的前缀
0048E102 EB 01 JMP SHORT de_start.0048E105
0048E104 F3: PREFIX REP: ; 多余的前缀
0048E105 52 PUSH EDX
0048E106 C1CB 23 ROR EBX,23 ; 移位常量超出 1..31 的范围
0048E109 83CB 7F OR EBX,7F
0048E10C 5B POP EBX
0048E10D E9 62010000 JMP de_start.0048E274
0048E112 56 PUSH ESI
0048E113 66:9C PUSHFW
0048E115 51 PUSH ECX
0048E116 81C1 46A70F2A ADD ECX,2A0FA746
0048E11C 0BCD OR ECX,EBP
0048E11E B9 A6164200 MOV ECX,de_start.004216A6
0048E123 034C24 38 ADD ECX,DWORD PTR SS:[ESP+38]
0048E127 64:EB 02 JMP SHORT de_start.0048E12C ; 多余的前缀
0048E12A CD 20 INT 20
0048E12C 8D4C14 33 LEA ECX,DWORD PTR SS:[ESP+EDX+33]
0048E130 2BCA SUB ECX,EDX
0048E132 83E9 33 SUB ECX,33
0048E135 8D4C11 06 LEA ECX,DWORD PTR DS:[ECX+EDX+6]
0048E139 2BCA SUB ECX,EDX
0048E13B 2E:EB 01 JMP SHORT de_start.0048E13F ; 多余的前缀
0048E13E E8 552EEB01 CALL 02340F98
0048E143 C7 ??? ; 未知命令
0048E144 8B6C24 30 MOV EBP,DWORD PTR SS:[ESP+30]
0048E148 33E9 XOR EBP,ECX
0048E14A 33EF XOR EBP,EDI
0048E14C 8DAC1E D0254500 LEA EBP,DWORD PTR DS:[ESI+EBX+4525D0]
0048E153 EB 01 JMP SHORT de_start.0048E156
0048E155 9A 2BEB2BEE F2E>CALL FAR EBF2:EE2BEB2B ; 远调用
0048E15C 01F3 ADD EBX,ESI
0048E15E 55 PUSH EBP
0048E15F 8F01 POP DWORD PTR DS:[ECX]
0048E161 5D POP EBP
0048E162 59 POP ECX
0048E163 66:9D POPFW
0048E165 C3 RETN
0048E166 58 POP EAX
0048E167 D1FB SAR EBX,1
0048E169 EB 01 JMP SHORT de_start.0048E16C
0048E16B 9A 2EEB0169 FF3>CALL FAR 34FF:6901EB2E ; 远调用
0048E172 2026 AND BYTE PTR DS:[ESI],AH
0048E174 EB 02 JMP SHORT de_start.0048E178
0048E176 CD 20 INT 20
0048E178 8D444B 7D LEA EAX,DWORD PTR DS:[EBX+ECX*2+7D]
0048E17C F2: PREFIX REPNE: ; 多余的前缀
0048E17D EB 01 JMP SHORT de_start.0048E180
0048E17F 9A 5165EB01 9A5>CALL FAR 569A:01EB6551 ; 远调用
0048E186 55 PUSH EBP
0048E187 BE B7FA35C1 MOV ESI,C135FAB7
0048E18C BD C2A84800 MOV EBP,de_start.0048A8C2
0048E191 83DD DD SBB EBP,-23
0048E194 56 PUSH ESI
0048E195 0BEF OR EBP,EDI
0048E197 5D POP EBP
0048E198 81ED 1F20C4BD SUB EBP,BDC4201F
0048E19E 4D DEC EBP
0048E19F 81F6 1A97C98A XOR ESI,8AC9971A
0048E1A5 8BF5 MOV ESI,EBP
0048E1A7 C1CE C6 ROR ESI,0C6 ; 移位常量超出 1..31 的范围
0048E1AA 46 INC ESI
0048E1AB 81D1 32F310B1 ADC ECX,B110F332
0048E1B1 8BCE MOV ECX,ESI
0048E1B3 81C1 B538F2A3 ADD ECX,A3F238B5
0048E1B9 51 PUSH ECX
0048E1BA 23F1 AND ESI,ECX
0048E1BC 5E POP ESI
0048E1BD 2BC6 SUB EAX,ESI
0048E1BF EB 02 JMP SHORT de_start.0048E1C3
0048E1C1 CD 20 INT 20
0048E1C3 5D POP EBP
0048E1C4 5E POP ESI
0048E1C5 59 POP ECX
0048E1C6 F2: PREFIX REPNE: ; 多余的前缀
0048E1C7 EB 01 JMP SHORT de_start.0048E1CA
0048E1C9 9A 8D440886 565>CALL FAR 5756:8608448D ; 远调用
0048E1D0 EB 01 JMP SHORT de_start.0048E1D3
0048E1D2 6952 8D 9426480>IMUL EDX,DWORD PTR DS:[EDX-73],3482694
0048E1D9 CC INT3
0048E1DA 15 F3EB02CD ADC EAX,CD02EBF3
0048E1DF 202B AND BYTE PTR DS:[EBX],CH
0048E1E1 D6 SALC
0048E1E2 81C2 63779860 ADD EDX,60987763
0048E1E8 BF 8AF34500 MOV EDI,de_start.0045F38A
0048E1ED 337C24 08 XOR EDI,DWORD PTR SS:[ESP+8]
0048E1F1 8BFA MOV EDI,EDX
0048E1F3 81C7 91859B89 ADD EDI,899B8591
0048E1F9 F7DF NEG EDI
0048E1FB 87F7 XCHG EDI,ESI
0048E1FD 83F6 D9 XOR ESI,FFFFFFD9
0048E200 56 PUSH ESI
0048E201 0BD1 OR EDX,ECX
0048E203 5A POP EDX
0048E204 03C2 ADD EAX,EDX
0048E206 5A POP EDX
0048E207 5F POP EDI
0048E208 26:EB 02 JMP SHORT de_start.0048E20D ; 多余的前缀
0048E20B CD 20 INT 20
0048E20D 5E POP ESI
0048E20E 2BC1 SUB EAX,ECX
0048E210 58 POP EAX
0048E211 E8 AE27FCFF CALL de_start.004509C4
0048E216 E9 440C0000 JMP de_start.0048EE5F
0048E21B 0F85 40040000 JNZ de_start.0048E661
0048E221 E9 4F0C0000 JMP de_start.0048EE75
0048E226 83BB 80010000 0>CMP DWORD PTR DS:[EBX+180],0
0048E22D E9 EE0F0000 JMP de_start.0048F220
0048E232 53 PUSH EBX
0048E233 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E237 B8 DA0C4300 MOV EAX,de_start.00430CDA
0048E23C F3: PREFIX REP: ; 多余的前缀
0048E23D EB 02 JMP SHORT de_start.0048E241
0048E23F CD 20 INT 20
0048E241 8D4435 BB LEA EAX,DWORD PTR SS:[EBP+ESI-45]
0048E245 2BC6 SUB EAX,ESI
0048E247 8D81 803F4500 LEA EAX,DWORD PTR DS:[ECX+453F80]
0048E24D 2BC1 SUB EAX,ECX
0048E24F EB 01 JMP SHORT de_start.0048E252
0048E251 9A F2EB019A FF3>CALL FAR 30FF:9A01EBF2 ; 远调用
0048E258 F2: PREFIX REPNE: ; 多余的前缀
0048E259 EB 01 JMP SHORT de_start.0048E25C
0048E25B 9A 83D89BF2 EB0>CALL FAR 01EB:F29BD883 ; 远调用
0048E262 9A B87A6742 005>CALL FAR 5800:42677AB8 ; 远调用
0048E269 E9 BD0F0000 JMP de_start.0048F22B
0048E26E 59 POP ECX
0048E26F E9 59030000 JMP de_start.0048E5CD
0048E274 36:EB 01 JMP SHORT de_start.0048E278 ; 多余的前缀
0048E277 F3: PREFIX REP: ; 多余的前缀
0048E278 BE B0E74400 MOV ESI,de_start.0044E7B0
0048E27D F3: PREFIX REP: ; 多余的前缀
0048E27E EB 02 JMP SHORT de_start.0048E282
0048E280 CD 20 INT 20
0048E282 0BF1 OR ESI,ECX
0048E284 50 PUSH EAX
0048E285 83DE 31 SBB ESI,31
0048E288 F2: PREFIX REPNE: ; 多余的前缀
0048E289 EB 01 JMP SHORT de_start.0048E28C
0048E28B C7 ??? ; 未知命令
0048E28C BE 06404000 MOV ESI,de_start.00404006
0048E291 5E POP ESI
0048E292 ^ E9 E4FDFFFF JMP de_start.0048E07B
0048E297 8D9C0B DE274100 LEA EBX,DWORD PTR DS:[EBX+ECX+4127DE]
0048E29E EB 01 JMP SHORT de_start.0048E2A1
0048E2A0 F0:F2: LOCK PREFIX REPNE: ; 不允许锁定前缀
0048E2A2 EB 01 JMP SHORT de_start.0048E2A5
0048E2A4 9A 8D5C0B6E 36E>CALL FAR EB36:6E0B5C8D ; 远调用
0048E2AB 010F ADD DWORD PTR DS:[EDI],ECX
0048E2AD 8D5C20 77 LEA EBX,DWORD PTR DS:[EAX+77]
0048E2B1 8D5C23 89 LEA EBX,DWORD PTR DS:[EBX-77]
0048E2B5 ^ E9 6CFFFFFF JMP de_start.0048E226
0048E2BA E8 8559F7FF CALL de_start.00403C44
0048E2BF E9 6F030000 JMP de_start.0048E633
0048E2C4 EB 02 JMP SHORT de_start.0048E2C8
0048E2C6 CD 20 INT 20
0048E2C8 F3: PREFIX REP: ; 多余的前缀
0048E2C9 EB 02 JMP SHORT de_start.0048E2CD
0048E2CB CD 20 INT 20
0048E2CD 8D4C28 78 LEA ECX,DWORD PTR DS:[EAX+EBP+78]
0048E2D1 83E9 78 SUB ECX,78
0048E2D4 C1D9 B9 RCR ECX,0B9 ; 移位常量超出 1..31 的范围
0048E2D7 334C24 28 XOR ECX,DWORD PTR SS:[ESP+28]
0048E2DB 83E9 C3 SUB ECX,-3D
0048E2DE EB 01 JMP SHORT de_start.0048E2E1
0048E2E0 E8 83C925F3 CALL F36EAC68
0048E2E5 EB 02 JMP SHORT de_start.0048E2E9
0048E2E7 CD 20 INT 20
0048E2E9 8D8C10 0B000000 LEA ECX,DWORD PTR DS:[EAX+EDX+B]
0048E2F0 2BCA SUB ECX,EDX
0048E2F2 EB 01 JMP SHORT de_start.0048E2F5
0048E2F4 F0:2BC8 LOCK SUB ECX,EAX ; 不允许锁定前缀
0048E2F7 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0048E2F9 5E POP ESI
0048E2FA E9 EC090000 JMP de_start.0048ECEB
0048E2FF E9 6D010000 JMP de_start.0048E471
0048E304 C3 RETN
0048E305 31C0 XOR EAX,EAX
0048E307 8705 00304500 XCHG DWORD PTR DS:[453000],EAX
0048E30D F7D8 NEG EAX
0048E30F 19C0 SBB EAX,EAX
0048E311 40 INC EAX
0048E312 EB 02 JMP SHORT de_start.0048E316
0048E314 CD 20 INT 20
0048E316 81DF 2D557EC3 SBB EDI,C37E552D
0048E31C 6A 60 PUSH 60
0048E31E 66:9C PUSHFW
0048E320 53 PUSH EBX
0048E321 81F3 B826F4B8 XOR EBX,B8F426B8
0048E327 8BDC MOV EBX,ESP
0048E329 83C3 06 ADD EBX,6
0048E32C 51 PUSH ECX
0048E32D 52 PUSH EDX
0048E32E 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048E332 F2: PREFIX REPNE: ; 多余的前缀
0048E333 EB 01 JMP SHORT de_start.0048E336
0048E335 E8 33542428 CALL 286D376D
0048E33A 3E:EB 02 JMP SHORT de_start.0048E33F ; 多余的前缀
0048E33D CD 20 INT 20
0048E33F 8BD4 MOV EDX,ESP
0048E341 EB 02 JMP SHORT de_start.0048E345
0048E343 CD 20 INT 20
0048E345 83C2 04 ADD EDX,4
0048E348 F2: PREFIX REPNE: ; 多余的前缀
0048E349 EB 01 JMP SHORT de_start.0048E34C
0048E34B E8 57337C24 CALL 24C516A7
0048E350 0833 OR BYTE PTR DS:[EBX],DH
0048E352 7C 24 JL SHORT de_start.0048E378
0048E354 2826 SUB BYTE PTR DS:[ESI],AH
0048E356 EB 02 JMP SHORT de_start.0048E35A
0048E358 CD 20 INT 20
0048E35A 8DBC35 586E4800 LEA EDI,DWORD PTR SS:[EBP+ESI+486E58]
0048E361 F3: PREFIX REP: ; 多余的前缀
0048E362 EB 02 JMP SHORT de_start.0048E366
0048E364 CD 20 INT 20
0048E366 2BFE SUB EDI,ESI
0048E368 8DBC08 34564500 LEA EDI,DWORD PTR DS:[EAX+ECX+455634]
0048E36F 2BF9 SUB EDI,ECX
0048E371 2BF8 SUB EDI,EAX
0048E373 57 PUSH EDI
0048E374 8F02 POP DWORD PTR DS:[EDX]
0048E376 5F POP EDI
0048E377 5A POP EDX
0048E378 8F03 POP DWORD PTR DS:[EBX]
0048E37A 5B POP EBX
0048E37B 66:9D POPFW
0048E37D C1C7 C1 ROL EDI,0C1 ; 移位常量超出 1..31 的范围
0048E380 36:EB 01 JMP SHORT de_start.0048E384 ; 多余的前缀
0048E383 F2: PREFIX REPNE: ; 多余的前缀
0048E384 83C7 64 ADD EDI,64
0048E387 5F POP EDI
0048E388 8B5F 18 MOV EBX,DWORD PTR DS:[EDI+18]
0048E38B 8B6F 14 MOV EBP,DWORD PTR DS:[EDI+14]
0048E38E E9 29030000 JMP de_start.0048E6BC
0048E393 5F POP EDI
0048E394 5E POP ESI
0048E395 5B POP EBX
0048E396 5D POP EBP
0048E397 C3 RETN
0048E398 C705 14504500 F>MOV DWORD PTR DS:[455014],de_start.00401>; JMP 到 kernel32.RaiseException
0048E3A2 C705 18504500 0>MOV DWORD PTR DS:[455018],de_start.00401>; JMP 到 ntdll.RtlUnwind
0048E3AC A3 3C564500 MOV DWORD PTR DS:[45563C],EAX
0048E3B1 33C0 XOR EAX,EAX
0048E3B3 A3 40564500 MOV DWORD PTR DS:[455640],EAX
0048E3B8 8915 44564500 MOV DWORD PTR DS:[455644],EDX
0048E3BE 8B42 04 MOV EAX,DWORD PTR DS:[EDX+4]
0048E3C1 A3 2C504500 MOV DWORD PTR DS:[45502C],EAX
0048E3C6 E8 C156F7FF CALL de_start.00403A8C
0048E3CB E9 B30B0000 JMP de_start.0048EF83
0048E3D0 E8 0726FCFF CALL de_start.004509DC ; 启动筐出现
0048E3D5 E9 BE010000 JMP de_start.0048E598
0048E3DA E8 7D59F7FF CALL de_start.00403D5C
0048E3DF ^ E9 2EFDFFFF JMP de_start.0048E112
0048E3E4 C640 5B 00 MOV BYTE PTR DS:[EAX+5B],0
0048E3E8 E9 4D070000 JMP de_start.0048EB3A
0048E3ED 8B43 30 MOV EAX,DWORD PTR DS:[EBX+30]
0048E3F0 85C0 TEST EAX,EAX
0048E3F2 E9 420E0000 JMP de_start.0048F239
0048E3F7 13C3 ADC EAX,EBX
0048E3F9 13C3 ADC EAX,EBX
0048E3FB 8D87 24404500 LEA EAX,DWORD PTR DS:[EDI+454024]
0048E401 2BC7 SUB EAX,EDI
0048E403 FF30 PUSH DWORD PTR DS:[EAX]
0048E405 B8 3AA44200 MOV EAX,de_start.0042A43A
0048E40A 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048E40E 58 POP EAX
0048E40F ^ E9 55FDFFFF JMP de_start.0048E169
0048E414 C3 RETN
0048E415 ^ E9 E6FBFFFF JMP de_start.0048E000
0048E41A 81EF BAF6D01D SUB EDI,1DD0F6BA
0048E420 FF7424 0C PUSH DWORD PTR SS:[ESP+C]
0048E424 66:9C PUSHFW
0048E426 56 PUSH ESI
0048E427 36:EB 01 JMP SHORT de_start.0048E42B ; 多余的前缀
0048E42A - E9 8B742430 JMP 306D58BA
0048E42F 81C6 02F6992B ADD ESI,2B99F602
0048E435 8BF4 MOV ESI,ESP
0048E437 F3: PREFIX REP: ; 多余的前缀
0048E438 EB 02 JMP SHORT de_start.0048E43C
0048E43A CD 20 INT 20
0048E43C 8D741E 06 LEA ESI,DWORD PTR DS:[ESI+EBX+6]
0048E440 2BF3 SUB ESI,EBX
0048E442 51 PUSH ECX
0048E443 83E9 9B SUB ECX,-65
0048E446 B9 EE0E4800 MOV ECX,de_start.00480EEE
0048E44B 8D8C22 44504500 LEA ECX,DWORD PTR DS:[EDX+455044]
0048E452 2BCA SUB ECX,EDX
0048E454 890E MOV DWORD PTR DS:[ESI],ECX
0048E456 59 POP ECX
0048E457 5E POP ESI
0048E458 66:9D POPFW
0048E45A F3: PREFIX REP: ; 多余的前缀
0048E45B EB 02 JMP SHORT de_start.0048E45F
0048E45D CD 20 INT 20
0048E45F 03F9 ADD EDI,ECX
0048E461 5F POP EDI
0048E462 807B 28 00 CMP BYTE PTR DS:[EBX+28],0
0048E466 0F85 2A0D0000 JNZ de_start.0048F196
0048E46C E9 D30D0000 JMP de_start.0048F244
0048E471 2E:EB 01 JMP SHORT de_start.0048E475 ; 多余的前缀
0048E474 9A 83C01A81 F08>CALL FAR 86F0:811AC083 ; 远调用
0048E47B 22FA AND BH,DL
0048E47D 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令
0048E47E EB 01 JMP SHORT de_start.0048E481
0048E480 9A 64FF3500 000>CALL FAR 0000:0035FF64 ; 远调用
0048E487 00F2 ADD DL,DH
0048E489 EB 01 JMP SHORT de_start.0048E48C
0048E48B 6966 9C 5581DD6>IMUL ESP,DWORD PTR DS:[ESI-64],62DD8155
0048E492 D3E9 SHR ECX,CL
0048E494 95 XCHG EAX,EBP
0048E495 65:EB 01 JMP SHORT de_start.0048E499 ; 多余的前缀
0048E498 9A 8BEC64EB 02C>CALL FAR CD02:EB64EC8B ; 远调用
0048E49F 208D 6C05062B AND BYTE PTR SS:[EBP+2B06056C],CL
0048E4A5 E8 EB01F268 CALL 693AE695
0048E4AA AA STOS BYTE PTR ES:[EDI]
0048E4AB 43 INC EBX
0048E4AC 97 XCHG EAX,EDI
0048E4AD C557 EB LDS EDX,FWORD PTR DS:[EDI-15] ; 段寄存器更改
0048E4B0 02CD ADD CL,CH
0048E4B2 208D BC112078 AND BYTE PTR SS:[EBP+782011BC],CL
0048E4B8 48 DEC EAX
0048E4B9 008B FC83C704 ADD BYTE PTR DS:[EBX+4C783FC],CL
0048E4BF 26:EB 02 JMP SHORT de_start.0048E4C4 ; 多余的前缀
0048E4C2 CD 20 INT 20
0048E4C4 C707 A4304500 MOV DWORD PTR DS:[EDI],de_start.004530A4
0048E4CA 5F POP EDI
0048E4CB EB 01 JMP SHORT de_start.0048E4CE
0048E4CD C7 ??? ; 未知命令
0048E4CE 8F4425 00 POP DWORD PTR SS:[EBP]
0048E4D2 5D POP EBP
0048E4D3 2E:EB 01 JMP SHORT de_start.0048E4D7 ; 多余的前缀
0048E4D6 9A 669D0BC3 58E>CALL FAR E958:C30B9D66 ; 远调用
0048E4DD B9 09000050 MOV ECX,50000009
0048E4E2 E8 3D2DF7FF CALL de_start.00401224 ; JMP 到 kernel32.ExitProcess
0048E4E7 E9 430C0000 JMP de_start.0048F12F
0048E4EC 8B53 10 MOV EDX,DWORD PTR DS:[EBX+10]
0048E4EF 8B42 10 MOV EAX,DWORD PTR DS:[EDX+10]
0048E4F2 3B42 04 CMP EAX,DWORD PTR DS:[EDX+4]
0048E4F5 E9 580D0000 JMP de_start.0048F252
0048E4FA 51 PUSH ECX
0048E4FB 53 PUSH EBX
0048E4FC 56 PUSH ESI
0048E4FD 57 PUSH EDI
0048E4FE ^ E9 F5FBFFFF JMP de_start.0048E0F8
0048E503 4B DEC EBX
0048E504 895F 0C MOV DWORD PTR DS:[EDI+C],EBX
0048E507 8B44DE 04 MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
0048E50B 85C0 TEST EAX,EAX
0048E50D E9 4B0D0000 JMP de_start.0048F25D
0048E512 81E2 2A5689E1 AND EDX,E189562A
0048E518 EB 02 JMP SHORT de_start.0048E51C
0048E51A CD 20 INT 20
0048E51C 81F2 4F7DA70E XOR EDX,0EA77D4F
0048E522 8D9425 80674400 LEA EDX,DWORD PTR SS:[EBP+446780]
0048E529 2BD5 SUB EDX,EBP
0048E52B 8B12 MOV EDX,DWORD PTR DS:[EDX]
0048E52D E8 564DF7FF CALL de_start.00403288
0048E532 E9 010A0000 JMP de_start.0048EF38
0048E537 81D2 2E732449 ADC EDX,4924732E
0048E53D 81DA C60470BA SBB EDX,BA7004C6
0048E543 23D3 AND EDX,EBX
0048E545 8D9439 A4304500 LEA EDX,DWORD PTR DS:[ECX+EDI+4530A4]
0048E54C 2BD7 SUB EDX,EDI
0048E54E 2BD1 SUB EDX,ECX
0048E550 ^ E9 63FBFFFF JMP de_start.0048E0B8
0048E555 2E:EB 01 JMP SHORT de_start.0048E559 ; 多余的前缀
0048E558 698B 1BE9BC05 0>IMUL ECX,DWORD PTR DS:[EBX+5BCE91B],92FF>
0048E562 94 XCHG EAX,ESP
0048E563 0000 ADD BYTE PTR DS:[EAX],AL
0048E565 005B C3 ADD BYTE PTR DS:[EBX-3D],BL
0048E568 ^ E9 C5FCFFFF JMP de_start.0048E232
0048E56D A3 A8304500 MOV DWORD PTR DS:[4530A8],EAX
0048E572 33C0 XOR EAX,EAX
0048E574 A3 AC304500 MOV DWORD PTR DS:[4530AC],EAX
0048E579 33C0 XOR EAX,EAX
0048E57B A3 B0304500 MOV DWORD PTR DS:[4530B0],EAX
0048E580 E8 CF76F7FF CALL de_start.00405C54
0048E585 ^ E9 ADFFFFFF JMP de_start.0048E537
0048E58A FF30 PUSH DWORD PTR DS:[EAX]
0048E58C C1D8 41 RCR EAX,41 ; 移位常量超出 1..31 的范围
0048E58F 83D8 BD SBB EAX,-43
0048E592 58 POP EAX
0048E593 ^ E9 4CFEFFFF JMP de_start.0048E3E4
0048E598 23C1 AND EAX,ECX
0048E59A 8D4411 A7 LEA EAX,DWORD PTR DS:[ECX+EDX-59]
0048E59E 2BC2 SUB EAX,EDX
0048E5A0 3E:EB 02 JMP SHORT de_start.0048E5A5 ; 多余的前缀
0048E5A3 CD 20 INT 20
0048E5A5 83C8 0F OR EAX,0F
0048E5A8 B8 56954800 MOV EAX,de_start.00489556
0048E5AD 8D8435 24404500 LEA EAX,DWORD PTR SS:[EBP+ESI+454024]
0048E5B4 2BC6 SUB EAX,ESI
0048E5B6 2BC5 SUB EAX,EBP
0048E5B8 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048E5BA ^ E9 CBFFFFFF JMP de_start.0048E58A
0048E5BF E9 A40C0000 JMP de_start.0048F268
0048E5C4 FFD0 CALL EAX
0048E5C6 85DB TEST EBX,EBX
0048E5C8 E9 A90C0000 JMP de_start.0048F276
0048E5CD 64:8910 MOV DWORD PTR FS:[EAX],EDX
0048E5D0 E9 42050000 JMP de_start.0048EB17
0048E5D5 EB 01 JMP SHORT de_start.0048E5D8
0048E5D7 F0:335C24 28 LOCK XOR EBX,DWORD PTR SS:[ESP+28] ; 不允许锁定前缀
0048E5DC BB 620B4500 MOV EBX,de_start.00450B62
0048E5E1 83EB E9 SUB EBX,-17
0048E5E4 F2: PREFIX REPNE: ; 多余的前缀
0048E5E5 EB 01 JMP SHORT de_start.0048E5E8
0048E5E7 0F035C24 18 LSL EBX,DWORD PTR SS:[ESP+18]
0048E5EC 8D9C20 803F4500 LEA EBX,DWORD PTR DS:[EAX+453F80]
0048E5F3 2BD8 SUB EBX,EAX
0048E5F5 8B1B MOV EBX,DWORD PTR DS:[EBX]
0048E5F7 ^ E9 59FFFFFF JMP de_start.0048E555
0048E5FC EB 01 JMP SHORT de_start.0048E5FF
0048E5FE C7 ??? ; 未知命令
0048E5FF FF30 PUSH DWORD PTR DS:[EAX]
0048E601 C1D0 D7 RCL EAX,0D7 ; 移位常量超出 1..31 的范围
0048E604 EB 01 JMP SHORT de_start.0048E607
0048E606 9A B8B2D540 005>CALL FAR 5800:40D5B2B8 ; 远调用
0048E60D E9 E2060000 JMP de_start.0048ECF4
0048E612 C3 RETN
0048E613 53 PUSH EBX
0048E614 E9 560B0000 JMP de_start.0048F16F
0048E619 BF BECA4300 MOV EDI,de_start.0043CABE
0048E61E 037C24 18 ADD EDI,DWORD PTR SS:[ESP+18]
0048E622 EB 02 JMP SHORT de_start.0048E626
0048E624 CD 20 INT 20
0048E626 13FB ADC EDI,EBX
0048E628 8D7B 32 LEA EDI,DWORD PTR DS:[EBX+32]
0048E62B 8D7F CE LEA EDI,DWORD PTR DS:[EDI-32]
0048E62E ^ E9 91FCFFFF JMP de_start.0048E2C4
0048E633 E8 9856F7FF CALL de_start.00403CD0
0048E638 E9 A7060000 JMP de_start.0048ECE4
0048E63D EB 02 JMP SHORT de_start.0048E641
0048E63F CD 20 INT 20
0048E641 8D8428 262C4700 LEA EAX,DWORD PTR DS:[EAX+EBP+472C26]
0048E648 36:EB 01 JMP SHORT de_start.0048E64C ; 多余的前缀
0048E64B C7 ??? ; 未知命令
0048E64C FF35 24404500 PUSH DWORD PTR DS:[454024] ; de_start.00455BDC
0048E652 EB 02 JMP SHORT de_start.0048E656
0048E654 CD 20 INT 20
0048E656 0BC6 OR EAX,ESI
0048E658 58 POP EAX
0048E659 ^ E9 9EFFFFFF JMP de_start.0048E5FC
0048E65E 897E 44 MOV DWORD PTR DS:[ESI+44],EDI
0048E661 5F POP EDI
0048E662 5E POP ESI
0048E663 E9 76060000 JMP de_start.0048ECDE
0048E668 3E:EB 02 JMP SHORT de_start.0048E66D ; 多余的前缀
0048E66B CD 20 INT 20
0048E66D 8D7C4B 2F LEA EDI,DWORD PTR DS:[EBX+ECX*2+2F]
0048E671 83EF 2F SUB EDI,2F
0048E674 2BF9 SUB EDI,ECX
0048E676 23FF AND EDI,EDI
0048E678 8D7B 3B LEA EDI,DWORD PTR DS:[EBX+3B]
0048E67B 8D7C0F C5 LEA EDI,DWORD PTR DS:[EDI+ECX-3B]
0048E67F 2BF9 SUB EDI,ECX
0048E681 B8 2E254A00 MOV EAX,4A252E
0048E686 83E8 B3 SUB EAX,-4D
0048E689 EB 01 JMP SHORT de_start.0048E68C
0048E68B F3: PREFIX REP: ; 多余的前缀
0048E68C C1D0 D1 RCL EAX,0D1 ; 移位常量超出 1..31 的范围
0048E68F C1C0 4D ROL EAX,4D ; 移位常量超出 1..31 的范围
0048E692 EB 02 JMP SHORT de_start.0048E696
0048E694 CD 20 INT 20
0048E696 81C8 9B75B3D6 OR EAX,D6B3759B
0048E69C 8D440F 53 LEA EAX,DWORD PTR DS:[EDI+ECX+53]
0048E6A0 2BC1 SUB EAX,ECX
0048E6A2 8D4408 AD LEA EAX,DWORD PTR DS:[EAX+ECX-53]
0048E6A6 2BC1 SUB EAX,ECX
0048E6A8 E8 8795FAFF CALL de_start.00437C34
0048E6AD ^ E9 ACFFFFFF JMP de_start.0048E65E
0048E6B2 E8 A523FCFF CALL de_start.00450A5C
0048E6B7 ^ E9 1EFDFFFF JMP de_start.0048E3DA
0048E6BC FF77 1C PUSH DWORD PTR DS:[EDI+1C]
0048E6BF FF77 20 PUSH DWORD PTR DS:[EDI+20]
0048E6C2 26:EB 02 JMP SHORT de_start.0048E6C7 ; 多余的前缀
0048E6C5 CD 20 INT 20
0048E6C7 81D6 883A3E02 ADC ESI,23E3A88
0048E6CD FF37 PUSH DWORD PTR DS:[EDI]
0048E6CF 337424 28 XOR ESI,DWORD PTR SS:[ESP+28]
0048E6D3 337424 08 XOR ESI,DWORD PTR SS:[ESP+8]
0048E6D7 5E POP ESI
0048E6D8 E9 71050000 JMP de_start.0048EC4E
0048E6DD 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0048E6E0 8918 MOV DWORD PTR DS:[EAX],EBX
0048E6E2 33C0 XOR EAX,EAX
0048E6E4 55 PUSH EBP
0048E6E5 68 506E94EE PUSH EE946E50
0048E6EA 66:9C PUSHFW
0048E6EC 53 PUSH EBX
0048E6ED 81EB A887A41B SUB EBX,1BA487A8
0048E6F3 8BDC MOV EBX,ESP
0048E6F5 F2: PREFIX REPNE: ; 多余的前缀
0048E6F6 EB 01 JMP SHORT de_start.0048E6F9
0048E6F8 9A 8D5C3B06 2BD>CALL FAR DF2B:063B5C8D ; 远调用
0048E6FF 57 PUSH EDI
0048E700 BF F2844800 MOV EDI,de_start.004884F2
0048E705 BF EA884800 MOV EDI,de_start.004888EA
0048E70A 03FD ADD EDI,EBP
0048E70C EB 01 JMP SHORT de_start.0048E70F
0048E70E F0:8DBC08 1A0A4>LOCK LEA EDI,DWORD PTR DS:[EAX+ECX+450A1>; 不允许锁定前缀
0048E716 2BF9 SUB EDI,ECX
0048E718 2BF8 SUB EDI,EAX
0048E71A 57 PUSH EDI
0048E71B 8F03 POP DWORD PTR DS:[EBX]
0048E71D 5F POP EDI
0048E71E 5B POP EBX
0048E71F 66:9D POPFW
0048E721 64:FF30 PUSH DWORD PTR FS:[EAX]
0048E724 64:8920 MOV DWORD PTR FS:[EAX],ESP
0048E727 26:EB 02 JMP SHORT de_start.0048E72C ; 多余的前缀
0048E72A CD 20 INT 20
0048E72C 81E1 AEEA73F6 AND ECX,F673EAAE
0048E732 56 PUSH ESI
0048E733 F2: PREFIX REPNE: ; 多余的前缀
0048E734 EB 01 JMP SHORT de_start.0048E737
0048E736 F0:B9 C6C24700 LOCK MOV ECX,de_start.0047C2C6 ; 不允许锁定前缀
0048E73C 36:EB 01 JMP SHORT de_start.0048E740 ; 多余的前缀
0048E73F - E9 83F1DE59 JMP 5A27D8C7
0048E744 E9 1E040000 JMP de_start.0048EB67
0048E749 55 PUSH EBP
0048E74A 8D6C11 7F LEA EBP,DWORD PTR DS:[ECX+EDX+7F]
0048E74E 2BEA SUB EBP,EDX
0048E750 8BEC MOV EBP,ESP
0048E752 53 PUSH EBX
0048E753 56 PUSH ESI
0048E754 57 PUSH EDI
0048E755 33F9 XOR EDI,ECX
0048E757 EB 01 JMP SHORT de_start.0048E75A
0048E759 9A F2EB010F 68C>CALL FAR CA68:0F01EBF2 ; 远调用
0048E760 D6 SALC
0048E761 44 INC ESP
0048E762 00F3 ADD BL,DH
0048E764 EB 02 JMP SHORT de_start.0048E768
0048E766 CD 20 INT 20
0048E768 66:9C PUSHFW
0048E76A 51 PUSH ECX
0048E76B EB 02 JMP SHORT de_start.0048E76F
0048E76D CD 20 INT 20
0048E76F 8D8C26 B2634700 LEA ECX,DWORD PTR DS:[ESI+4763B2]
0048E776 334C24 28 XOR ECX,DWORD PTR SS:[ESP+28]
0048E77A 334C24 08 XOR ECX,DWORD PTR SS:[ESP+8]
0048E77E 334C24 08 XOR ECX,DWORD PTR SS:[ESP+8]
0048E782 B9 FA794200 MOV ECX,de_start.004279FA
0048E787 8D4C04 18 LEA ECX,DWORD PTR SS:[ESP+EAX+18]
0048E78B F3: PREFIX REP: ; 多余的前缀
0048E78C EB 02 JMP SHORT de_start.0048E790
0048E78E CD 20 INT 20
0048E790 2BC8 SUB ECX,EAX
0048E792 8D4C29 E8 LEA ECX,DWORD PTR DS:[ECX+EBP-18]
0048E796 2BCD SUB ECX,EBP
0048E798 8D4C01 06 LEA ECX,DWORD PTR DS:[ECX+EAX+6]
0048E79C 2BC8 SUB ECX,EAX
0048E79E 50 PUSH EAX
0048E79F 2BC1 SUB EAX,ECX
0048E7A1 C1C8 0F ROR EAX,0F
0048E7A4 EB 01 JMP SHORT de_start.0048E7A7
0048E7A6 E8 33442408 CALL 086D2BDE
0048E7AB EB 02 JMP SHORT de_start.0048E7AF
0048E7AD CD 20 INT 20
0048E7AF 8D8435 34564500 LEA EAX,DWORD PTR SS:[EBP+ESI+455634]
0048E7B6 2E:EB 01 JMP SHORT de_start.0048E7BA ; 多余的前缀
0048E7B9 F3: PREFIX REP: ; 多余的前缀
0048E7BA 2BC6 SUB EAX,ESI
0048E7BC 2BC5 SUB EAX,EBP
0048E7BE 8901 MOV DWORD PTR DS:[ECX],EAX
0048E7C0 58 POP EAX
0048E7C1 59 POP ECX
0048E7C2 66:9D POPFW
0048E7C4 81D7 5885D8AD ADC EDI,ADD88558
0048E7CA 5F POP EDI
0048E7CB 8B47 08 MOV EAX,DWORD PTR DS:[EDI+8]
0048E7CE 85C0 TEST EAX,EAX
0048E7D0 E9 AC0A0000 JMP de_start.0048F281
0048E7D5 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048E7D7 ^ E9 D6FEFFFF JMP de_start.0048E6B2
0048E7DC 23D9 AND EBX,ECX
0048E7DE 81DB 5296B9C4 SBB EBX,C4B99652
0048E7E4 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048E7E8 83EB 33 SUB EBX,33
0048E7EB 3E:EB 02 JMP SHORT de_start.0048E7F0 ; 多余的前缀
0048E7EE CD 20 INT 20
0048E7F0 8D9C35 D0CDC2F0 LEA EBX,DWORD PTR SS:[EBP+ESI+F0C2CDD0]
0048E7F7 56 PUSH ESI
0048E7F8 57 PUSH EDI
0048E7F9 EB 02 JMP SHORT de_start.0048E7FD
0048E7FB CD 20 INT 20
0048E7FD 52 PUSH EDX
0048E7FE C1D2 0F RCL EDX,0F
0048E801 C1D2 AB RCL EDX,0AB ; 移位常量超出 1..31 的范围
0048E804 68 861361D4 PUSH D4611386
0048E809 EB 01 JMP SHORT de_start.0048E80C
0048E80B F3:66: PREFIX REP: ; 多余的前缀
0048E80D 9C PUSHFD
0048E80E 57 PUSH EDI
0048E80F 81EF 0C797092 SUB EDI,9270790C
0048E815 8BFC MOV EDI,ESP
0048E817 F2: PREFIX REPNE: ; 多余的前缀
0048E818 EB 01 JMP SHORT de_start.0048E81B
0048E81A 9A 8D7C1F06 2BF>CALL FAR FB2B:061F7C8D ; 远调用
0048E821 53 PUSH EBX
0048E822 8D5C35 83 LEA EBX,DWORD PTR SS:[EBP+ESI-7D]
0048E826 2BDE SUB EBX,ESI
0048E828 8D9C21 B297D276 LEA EBX,DWORD PTR DS:[ECX+76D297B2]
0048E82F 2BD9 SUB EBX,ECX
0048E831 891F MOV DWORD PTR DS:[EDI],EBX
0048E833 5B POP EBX
0048E834 5F POP EDI
0048E835 66:9D POPFW
0048E837 81E2 1C6FB3D6 AND EDX,D6B36F1C
0048E83D 5A POP EDX
0048E83E C1CA 91 ROR EDX,91 ; 移位常量超出 1..31 的范围
0048E841 F7D2 NOT EDX
0048E843 52 PUSH EDX
0048E844 81EF 3699C018 SUB EDI,18C09936
0048E84A 5F POP EDI
0048E84B 81F7 89B642CE XOR EDI,CE42B689
0048E851 F7DF NEG EDI
0048E853 57 PUSH EDI
0048E854 81CE 3051AB04 OR ESI,4AB5130
0048E85A 5E POP ESI
0048E85B C1C6 F7 ROL ESI,0F7 ; 移位常量超出 1..31 的范围
0048E85E 26:EB 02 JMP SHORT de_start.0048E863 ; 多余的前缀
0048E861 CD 20 INT 20
0048E863 33D7 XOR EDX,EDI
0048E865 EB 02 JMP SHORT de_start.0048E869
0048E867 CD 20 INT 20
0048E869 81DA 65F8D354 SBB EDX,54D3F865
0048E86F 8D56 48 LEA EDX,DWORD PTR DS:[ESI+48]
0048E872 57 PUSH EDI
0048E873 51 PUSH ECX
0048E874 53 PUSH EBX
0048E875 8D7C75 74 LEA EDI,DWORD PTR SS:[EBP+ESI*2+74]
0048E879 2E:EB 01 JMP SHORT de_start.0048E87D ; 多余的前缀
0048E87C E8 8D7C078C CALL 8C50650E
0048E881 2BF8 SUB EDI,EAX
0048E883 BF BE754800 MOV EDI,de_start.004875BE
0048E888 C1DF 7B RCR EDI,7B ; 移位常量超出 1..31 的范围
0048E88B 8DBC26 64088FD5 LEA EDI,DWORD PTR DS:[ESI+D58F0864]
0048E892 2BFE SUB EDI,ESI
0048E894 57 PUSH EDI
0048E895 83DB 3F SBB EBX,3F
0048E898 EB 01 JMP SHORT de_start.0048E89B
0048E89A F2: PREFIX REPNE: ; 多余的前缀
0048E89B 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048E89F 5B POP EBX
0048E8A0 81C3 8DF1DEAC ADD EBX,ACDEF18D
0048E8A6 F7DB NEG EBX
0048E8A8 EB 01 JMP SHORT de_start.0048E8AB
0048E8AA 9A 334C2408 F2E>CALL FAR EBF2:08244C33 ; 远调用
0048E8B1 01F3 ADD EBX,ESI
0048E8B3 C1D9 CB RCR ECX,0CB ; 移位常量超出 1..31 的范围
0048E8B6 F3: PREFIX REP: ; 多余的前缀
0048E8B7 EB 02 JMP SHORT de_start.0048E8BB
0048E8B9 CD 20 INT 20
0048E8BB 81E9 D4F79892 SUB ECX,9298F7D4
0048E8C1 8D4B 22 LEA ECX,DWORD PTR DS:[EBX+22]
0048E8C4 8D49 DE LEA ECX,DWORD PTR DS:[ECX-22]
0048E8C7 C1C1 A1 ROL ECX,0A1 ; 移位常量超出 1..31 的范围
0048E8CA 81DF F846D741 SBB EDI,41D746F8
0048E8D0 EB 01 JMP SHORT de_start.0048E8D3
0048E8D2 - E9 51EB010F JMP 0F4AD428
0048E8D7 BF 562D4200 MOV EDI,de_start.00422D56
0048E8DC C1DF 87 RCR EDI,87 ; 移位常量超出 1..31 的范围
0048E8DF 5F POP EDI
0048E8E0 81EF F30B24FB SUB EDI,FB240BF3
0048E8E6 8D547A 46 LEA EDX,DWORD PTR DS:[EDX+EDI*2+46]
0048E8EA 83EA 46 SUB EDX,46
0048E8ED 2BD7 SUB EDX,EDI
0048E8EF BB 1A5A4100 MOV EBX,de_start.00415A1A
0048E8F4 C1DB C9 RCR EBX,0C9 ; 移位常量超出 1..31 的范围
0048E8F7 5B POP EBX
0048E8F8 0BCB OR ECX,EBX
0048E8FA 59 POP ECX
0048E8FB 037C24 18 ADD EDI,DWORD PTR SS:[ESP+18]
0048E8FF C1D7 AF RCL EDI,0AF ; 移位常量超出 1..31 的范围
0048E902 5F POP EDI
0048E903 F3: PREFIX REP: ; 多余的前缀
0048E904 EB 02 JMP SHORT de_start.0048E908
0048E906 CD 20 INT 20
0048E908 8D540A B4 LEA EDX,DWORD PTR DS:[EDX+ECX-4C]
0048E90C EB 01 JMP SHORT de_start.0048E90F
0048E90E 9A 565751C1 C6F>CALL FAR F3C6:C1515756 ; 远调用
0048E915 83EE 4F SUB ESI,4F
0048E918 F3: PREFIX REP: ; 多余的前缀
0048E919 EB 02 JMP SHORT de_start.0048E91D
0048E91B CD 20 INT 20
0048E91D EB 01 JMP SHORT de_start.0048E920
0048E91F F2: PREFIX REPNE: ; 多余的前缀
0048E920 68 FFFFFFE4 PUSH E4FFFFFF
0048E925 83DE E3 SBB ESI,-1D
0048E928 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048E92C 5E POP ESI
0048E92D 87CE XCHG ESI,ECX
0048E92F C1C9 57 ROR ECX,57 ; 移位常量超出 1..31 的范围
0048E932 337C24 28 XOR EDI,DWORD PTR SS:[ESP+28]
0048E936 F2: PREFIX REPNE: ; 多余的前缀
0048E937 EB 01 JMP SHORT de_start.0048E93A
0048E939 9A 83EF07F3 EB0>CALL FAR 02EB:F307EF83 ; 远调用
0048E940 CD 20 INT 20
0048E942 8BF9 MOV EDI,ECX
0048E944 83EF CE SUB EDI,-32
0048E947 3E:EB 02 JMP SHORT de_start.0048E94C ; 多余的前缀
0048E94A CD 20 INT 20
0048E94C 13F5 ADC ESI,EBP
0048E94E 81CE 36DC7ED1 OR ESI,D17EDC36
0048E954 F3: PREFIX REP: ; 多余的前缀
0048E955 EB 02 JMP SHORT de_start.0048E959
0048E957 CD 20 INT 20
0048E959 8DB435 78284400 LEA ESI,DWORD PTR SS:[EBP+ESI+442878]
0048E960 8D740F 25 LEA ESI,DWORD PTR DS:[EDI+ECX+25]
0048E964 2BF1 SUB ESI,ECX
0048E966 83EE 25 SUB ESI,25
0048E969 83C6 2C ADD ESI,2C
0048E96C EB 02 JMP SHORT de_start.0048E970
0048E96E CD 20 INT 20
0048E970 2BD6 SUB EDX,ESI
0048E972 034C24 38 ADD ECX,DWORD PTR SS:[ESP+38]
0048E976 F2: PREFIX REPNE: ; 多余的前缀
0048E977 EB 01 JMP SHORT de_start.0048E97A
0048E979 9A B972F948 005>CALL FAR 5900:48F972B9 ; 远调用
0048E980 23FB AND EDI,EBX
0048E982 5F POP EDI
0048E983 C1C6 C3 ROL ESI,0C3 ; 移位常量超出 1..31 的范围
0048E986 BE 3EE44400 MOV ESI,de_start.0044E43E
0048E98B 5E POP ESI
0048E98C 2BD1 SUB EDX,ECX
0048E98E 2BDA SUB EBX,EDX
0048E990 C1DA 63 RCR EDX,63 ; 移位常量超出 1..31 的范围
0048E993 F2: PREFIX REPNE: ; 多余的前缀
0048E994 EB 01 JMP SHORT de_start.0048E997
0048E996 0FC1CA XADD EDX,ECX
0048E999 C55A 81 LDS EBX,FWORD PTR DS:[EDX-7F] ; 段寄存器更改
0048E99C E7 18 OUT 18,EAX ; I/O 命令
0048E99E 40 INC EAX
0048E99F 0AC4 OR AL,AH
0048E9A1 5F POP EDI
0048E9A2 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048E9A6 83EE 4B SUB ESI,4B
0048E9A9 5E POP ESI
0048E9AA 2BDE SUB EBX,ESI
0048E9AC 2BDD SUB EBX,EBP
0048E9AE 99 CDQ
0048E9AF F7FB IDIV EBX
0048E9B1 C1CB A5 ROR EBX,0A5 ; 移位常量超出 1..31 的范围
0048E9B4 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048E9B8 26:EB 02 JMP SHORT de_start.0048E9BD ; 多余的前缀
0048E9BB CD 20 INT 20
0048E9BD F2: PREFIX REPNE: ; 多余的前缀
0048E9BE EB 01 JMP SHORT de_start.0048E9C1
0048E9C0 9A 335C2428 C1C>CALL FAR CBC1:28245C33 ; 远调用
0048E9C7 51 PUSH ECX
0048E9C8 13D9 ADC EBX,ECX
0048E9CA 65:EB 01 JMP SHORT de_start.0048E9CE ; 多余的前缀
0048E9CD 9A 8D5C280D 2BD>CALL FAR DD2B:0D285C8D ; 远调用
0048E9D4 8D5C23 F3 LEA EBX,DWORD PTR DS:[EBX-D]
0048E9D8 49 DEC ECX
0048E9D9 85DB TEST EBX,EBX
0048E9DB 0F85 D1030000 JNZ de_start.0048EDB2
0048E9E1 B1 1C MOV CL,1C
0048E9E3 64:EB 02 JMP SHORT de_start.0048E9E8 ; 多余的前缀
0048E9E6 CD 20 INT 20
0048E9E8 81C8 3CB7F4A7 OR EAX,A7F4B73C
0048E9EE 8D444B 59 LEA EAX,DWORD PTR DS:[EBX+ECX*2+59]
0048E9F2 56 PUSH ESI
0048E9F3 57 PUSH EDI
0048E9F4 51 PUSH ECX
0048E9F5 68 048A9F10 PUSH 109F8A04
0048E9FA 66:9C PUSHFW
0048E9FC 57 PUSH EDI
0048E9FD F2: PREFIX REPNE: ; 多余的前缀
0048E9FE EB 01 JMP SHORT de_start.0048EA01
0048EA00 F3: PREFIX REP: ; 多余的前缀
0048EA01 8D7C2C 6A LEA EDI,DWORD PTR SS:[ESP+EBP+6A]
0048EA05 2BFD SUB EDI,EBP
0048EA07 F2: PREFIX REPNE: ; 多余的前缀
0048EA08 EB 01 JMP SHORT de_start.0048EA0B
0048EA0A E8 83EF6A83 CALL 83B3D992
0048EA0F C706 51528D54 MOV DWORD PTR DS:[ESI],548D5251
0048EA15 24 1B AND AL,1B
0048EA17 83EA 1B SUB EDX,1B
0048EA1A EB 02 JMP SHORT de_start.0048EA1E
0048EA1C CD 20 INT 20
0048EA1E 8D541A 04 LEA EDX,DWORD PTR DS:[EDX+EBX+4]
0048EA22 2BD3 SUB EDX,EBX
0048EA24 53 PUSH EBX
0048EA25 8D9C29 E268CA6F LEA EBX,DWORD PTR DS:[ECX+EBP+6FCA68E2]
0048EA2C 2BDD SUB EBX,EBP
0048EA2E 2BD9 SUB EBX,ECX
0048EA30 53 PUSH EBX
0048EA31 8F02 POP DWORD PTR DS:[EDX]
0048EA33 5B POP EBX
0048EA34 5A POP EDX
0048EA35 8F07 POP DWORD PTR DS:[EDI]
0048EA37 5F POP EDI
0048EA38 66:9D POPFW
0048EA3A 5E POP ESI
0048EA3B 56 PUSH ESI
0048EA3C C1C1 45 ROL ECX,45 ; 移位常量超出 1..31 的范围
0048EA3F B9 02D54A00 MOV ECX,4AD502
0048EA44 59 POP ECX
0048EA45 81F1 E368E66E XOR ECX,6EE668E3
0048EA4B 49 DEC ECX
0048EA4C EB 01 JMP SHORT de_start.0048EA4F
0048EA4E F3: PREFIX REP: ; 多余的前缀
0048EA4F BF 72674200 MOV EDI,de_start.00426772
0048EA54 F2: PREFIX REPNE: ; 多余的前缀
0048EA55 EB 01 JMP SHORT de_start.0048EA58
0048EA57 9A 037C2418 3EE>CALL FAR EB3E:18247C03 ; 远调用
0048EA5E 02CD ADD CL,CH
0048EA60 20BF 52424900 AND BYTE PTR DS:[EDI+494252],BH
0048EA66 337C24 28 XOR EDI,DWORD PTR SS:[ESP+28]
0048EA6A 8D79 3E LEA EDI,DWORD PTR DS:[ECX+3E]
0048EA6D EB 01 JMP SHORT de_start.0048EA70
0048EA6F F0:52 LOCK PUSH EDX ; 不允许锁定前缀
0048EA71 51 PUSH ECX
0048EA72 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048EA76 36:EB 01 JMP SHORT de_start.0048EA7A ; 多余的前缀
0048EA79 C7 ??? ; 未知命令
0048EA7A BA FCA24700 MOV EDX,de_start.0047A2FC
0048EA7F 68 49C49C5A PUSH 5A9CC449
0048EA84 BA E6324300 MOV EDX,de_start.004332E6
0048EA89 F2: PREFIX REPNE: ; 多余的前缀
0048EA8A EB 01 JMP SHORT de_start.0048EA8D
0048EA8C 9A C1DA555A 87C>CALL FAR CA87:5A55DAC1 ; 远调用
0048EA93 81C1 A30CCCCE ADD ECX,CECC0CA3
0048EA99 49 DEC ECX
0048EA9A 81C1 AB6C8DF3 ADD ECX,F38D6CAB
0048EAA0 F7D9 NEG ECX
0048EAA2 51 PUSH ECX
0048EAA3 EB 01 JMP SHORT de_start.0048EAA6
0048EAA5 9A 8D547568 83E>CALL FAR EA83:6875548D ; 远调用
0048EAAC 68 5A81C2B3 PUSH B3C2815A
0048EAB1 3D F61C4A2B CMP EAX,2B4A1CF6
0048EAB6 FA CLI
0048EAB7 26:EB 02 JMP SHORT de_start.0048EABC ; 多余的前缀
0048EABA CD 20 INT 20
0048EABC 03CD ADD ECX,EBP
0048EABE 59 POP ECX
0048EABF EB 01 JMP SHORT de_start.0048EAC2
0048EAC1 F3: PREFIX REP: ; 多余的前缀
0048EAC2 035424 18 ADD EDX,DWORD PTR SS:[ESP+18]
0048EAC6 2E:EB 01 JMP SHORT de_start.0048EACA ; 多余的前缀
0048EAC9 F0:83F2 76 LOCK XOR EDX,76 ; 不允许锁定前缀
0048EACD 5A POP EDX
0048EACE F2: PREFIX REPNE: ; 多余的前缀
0048EACF EB 01 JMP SHORT de_start.0048EAD2
0048EAD1 F2: PREFIX REPNE: ; 多余的前缀
0048EAD2 83EF 22 SUB EDI,22
0048EAD5 C1C7 D1 ROL EDI,0D1 ; 移位常量超出 1..31 的范围
0048EAD8 57 PUSH EDI
0048EAD9 64:EB 02 JMP SHORT de_start.0048EADE ; 多余的前缀
0048EADC CD 20 INT 20
0048EADE 8D3407 LEA ESI,DWORD PTR DS:[EDI+EAX]
0048EAE1 5E POP ESI
0048EAE2 C1C6 FD ROL ESI,0FD ; 移位常量超出 1..31 的范围
0048EAE5 2BC6 SUB EAX,ESI
0048EAE7 59 POP ECX
0048EAE8 5F POP EDI
0048EAE9 5E POP ESI
0048EAEA EB 01 JMP SHORT de_start.0048EAED
0048EAEC E8 8D40F213 CALL 143B2B7E
0048EAF1 C58D 840F0430 LDS ECX,FWORD PTR SS:[EBP+30040F84] ; 段寄存器更改
0048EAF7 45 INC EBP
0048EAF8 002B ADD BYTE PTR DS:[EBX],CH
0048EAFA C12B C7 SHR DWORD PTR DS:[EBX],0C7 ; 移位常量超出 1..31 的范围
0048EAFD F2: PREFIX REPNE: ; 多余的前缀
0048EAFE EB 01 JMP SHORT de_start.0048EB01
0048EB00 F0:FF30 LOCK PUSH DWORD PTR DS:[EAX] ; 不允许锁定前缀
0048EB03 B8 76AD4000 MOV EAX,de_start.0040AD76
0048EB08 F2: PREFIX REPNE: ; 多余的前缀
0048EB09 EB 01 JMP SHORT de_start.0048EB0C
0048EB0B 0FB8 ??? ; 未知命令
0048EB0D BA 87400058 MOV EDX,58004087
0048EB12 E9 AF040000 JMP de_start.0048EFC6
0048EB17 E9 0A060000 JMP de_start.0048F126
0048EB1C FFD3 CALL EBX
0048EB1E 5B POP EBX
0048EB1F C3 RETN
0048EB20 E9 0B030000 JMP de_start.0048EE30
0048EB25 8B43 10 MOV EAX,DWORD PTR DS:[EBX+10]
0048EB28 85C0 TEST EAX,EAX
0048EB2A 0F84 35060000 JE de_start.0048F165
0048EB30 E8 3F69F7FF CALL de_start.00405474
0048EB35 ^ E9 B2F9FFFF JMP de_start.0048E4EC
0048EB3A 64:EB 02 JMP SHORT de_start.0048EB3F ; 多余的前缀
0048EB3D CD 20 INT 20
0048EB3F 81E8 4E2FA4C1 SUB EAX,C1A42F4E
0048EB45 FF35 24404500 PUSH DWORD PTR DS:[454024] ; de_start.00455BDC
0048EB4B C1D0 83 RCL EAX,83 ; 移位常量超出 1..31 的范围
0048EB4E 65:EB 01 JMP SHORT de_start.0048EB52 ; 多余的前缀
0048EB51 F2: PREFIX REPNE: ; 多余的前缀
0048EB52 83E0 7E AND EAX,7E
0048EB55 58 POP EAX
0048EB56 ^ E9 7AFCFFFF JMP de_start.0048E7D5
0048EB5B 6A 00 PUSH 0
0048EB5D E8 3A70F7FF CALL de_start.00405B9C ; JMP 到 kernel32.GetModuleHandleA
0048EB62 E9 1E020000 JMP de_start.0048ED85
0048EB67 83CA FF OR EDX,FFFFFFFF
0048EB6A 83C8 7D OR EAX,7D
0048EB6D 83C8 39 OR EAX,39
0048EB70 2E:EB 01 JMP SHORT de_start.0048EB74 ; 多余的前缀
0048EB73 9A B8908B4A 00F>CALL FAR F300:4A8B90B8 ; 远调用
0048EB7A EB 02 JMP SHORT de_start.0048EB7E
0048EB7C CD 20 INT 20
0048EB7E 8D8411 40804100 LEA EAX,DWORD PTR DS:[ECX+EDX+418040]
0048EB85 2BC2 SUB EAX,EDX
0048EB87 8D4423 62 LEA EAX,DWORD PTR DS:[EBX+62]
0048EB8B EB 02 JMP SHORT de_start.0048EB8F
0048EB8D CD 20 INT 20
0048EB8F 8D40 9E LEA EAX,DWORD PTR DS:[EAX-62]
0048EB92 E9 B5010000 JMP de_start.0048ED4C
0048EB97 E9 F0060000 JMP de_start.0048F28C
0048EB9C 5B POP EBX
0048EB9D C3 RETN
0048EB9E 53 PUSH EBX
0048EB9F ^ E9 F3F6FFFF JMP de_start.0048E297
0048EBA4 EB 01 JMP SHORT de_start.0048EBA7
0048EBA6 E8 8D741189 CALL 895A6038
0048EBAB FF7424 20 PUSH DWORD PTR SS:[ESP+20]
0048EBAF 66:9C PUSHFW
0048EBB1 56 PUSH ESI
0048EBB2 83EE DF SUB ESI,-21
0048EBB5 F2: PREFIX REPNE: ; 多余的前缀
0048EBB6 EB 01 JMP SHORT de_start.0048EBB9
0048EBB8 9A 33742408 8BF>CALL FAR F48B:08247433 ; 远调用
0048EBBF 8D76 4E LEA ESI,DWORD PTR DS:[ESI+4E]
0048EBC2 52 PUSH EDX
0048EBC3 53 PUSH EBX
0048EBC4 55 PUSH EBP
0048EBC5 335424 08 XOR EDX,DWORD PTR SS:[ESP+8]
0048EBC9 83CA 15 OR EDX,15
0048EBCC EB 01 JMP SHORT de_start.0048EBCF
0048EBCE F0:8D5475 23 LOCK LEA EDX,DWORD PTR SS:[EBP+ESI*2+23] ; 不允许锁定前缀
0048EBD3 3E:EB 02 JMP SHORT de_start.0048EBD8 ; 多余的前缀
0048EBD6 CD 20 INT 20
0048EBD8 23D1 AND EDX,ECX
0048EBDA EB 01 JMP SHORT de_start.0048EBDD
0048EBDC - E9 8D9439FF JMP FF82806E
0048EBE1 BA A2662BD7 MOV EDX,D72B66A2
0048EBE6 2BD1 SUB EDX,ECX
0048EBE8 52 PUSH EDX
0048EBE9 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
0048EBED 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
0048EBF1 5D POP EBP
0048EBF2 81F5 BFBAA266 XOR EBP,66A2BABF
0048EBF8 4D DEC EBP
0048EBF9 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048EBFD BB 96684900 MOV EBX,496896
0048EC02 55 PUSH EBP
0048EC03 23DD AND EBX,EBP
0048EC05 5B POP EBX
0048EC06 83C3 6E ADD EBX,6E
0048EC09 2BD7 SUB EDX,EDI
0048EC0B 8BD3 MOV EDX,EBX
0048EC0D 83C2 9B ADD EDX,-65
0048EC10 2BF2 SUB ESI,EDX
0048EC12 EB 01 JMP SHORT de_start.0048EC15
0048EC14 6903 6C243803 IMUL EAX,DWORD PTR DS:[EBX],338246C
0048EC1A 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048EC1B 24 18 AND AL,18
0048EC1D 5D POP EBP
0048EC1E 81EB 96D8D9DA SUB EBX,DAD9D896
0048EC24 5B POP EBX
0048EC25 83DA D5 SBB EDX,-2B
0048EC28 83DA 11 SBB EDX,11
0048EC2B 5A POP EDX
0048EC2C 68 00304500 PUSH de_start.00453000
0048EC31 8F06 POP DWORD PTR DS:[ESI]
0048EC33 5E POP ESI
0048EC34 65:EB 01 JMP SHORT de_start.0048EC38 ; 多余的前缀
0048EC37 9A 669DF2EB 01C>CALL FAR C701:EBF29D66 ; 远调用
0048EC3E 8D7407 03 LEA ESI,DWORD PTR DS:[EDI+EAX+3]
0048EC42 5E POP ESI
0048EC43 ^ E9 D2F7FFFF JMP de_start.0048E41A
0048EC48 59 POP ECX
0048EC49 ^ E9 20F6FFFF JMP de_start.0048E26E
0048EC4E 034C24 18 ADD ECX,DWORD PTR SS:[ESP+18]
0048EC52 B9 9E964800 MOV ECX,de_start.0048969E
0048EC57 2E:EB 01 JMP SHORT de_start.0048EC5B ; 多余的前缀
0048EC5A 0FB9 ??? ; 未知命令
0048EC5C 8C07 MOV WORD PTR DS:[EDI],ES
0048EC5E 46 INC ESI
0048EC5F 00EB ADD BL,CH
0048EC61 02CD ADD CL,CH
0048EC63 2081 E13FEB4C AND BYTE PTR DS:[ECX+4CEB3FE1],AL
0048EC69 B4 8D MOV AH,8D
0048EC6B 8C26 MOV WORD PTR DS:[ESI],FS
0048EC6D 0B00 OR EAX,DWORD PTR DS:[EAX]
0048EC6F 0000 ADD BYTE PTR DS:[EAX],AL
0048EC71 2BCE SUB ECX,ESI
0048EC73 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0048EC75 5F POP EDI
0048EC76 5E POP ESI
0048EC77 C9 LEAVE
0048EC78 C2 0C00 RETN 0C
0048EC7B 53 PUSH EBX
0048EC7C E9 B5010000 JMP de_start.0048EE36
0048EC81 8B5F 0C MOV EBX,DWORD PTR DS:[EDI+C]
0048EC84 8B70 04 MOV ESI,DWORD PTR DS:[EAX+4]
0048EC87 33D2 XOR EDX,EDX
0048EC89 55 PUSH EBP
0048EC8A EB 02 JMP SHORT de_start.0048EC8E
0048EC8C CD 20 INT 20
0048EC8E FF7424 24 PUSH DWORD PTR SS:[ESP+24]
0048EC92 66:9C PUSHFW
0048EC94 56 PUSH ESI
0048EC95 037424 38 ADD ESI,DWORD PTR SS:[ESP+38]
0048EC99 BE F6104800 MOV ESI,de_start.004810F6
0048EC9E F3: PREFIX REP: ; 多余的前缀
0048EC9F EB 02 JMP SHORT de_start.0048ECA3
0048ECA1 CD 20 INT 20
0048ECA3 8BF4 MOV ESI,ESP
0048ECA5 8D76 06 LEA ESI,DWORD PTR DS:[ESI+6]
0048ECA8 52 PUSH EDX
0048ECA9 8D544B 08 LEA EDX,DWORD PTR DS:[EBX+ECX*2+8]
0048ECAD 8D52 F8 LEA EDX,DWORD PTR DS:[EDX-8]
0048ECB0 EB 01 JMP SHORT de_start.0048ECB3
0048ECB2 9A 2BD1EB02 CD2>CALL FAR 20CD:02EBD12B ; 远调用
0048ECB9 1BD6 SBB EDX,ESI
0048ECBB 8D940F 1A3B4000 LEA EDX,DWORD PTR DS:[EDI+ECX+403B1A]
0048ECC2 26:EB 02 JMP SHORT de_start.0048ECC7 ; 多余的前缀
0048ECC5 CD 20 INT 20
0048ECC7 2BD1 SUB EDX,ECX
0048ECC9 2BD7 SUB EDX,EDI
0048ECCB 8916 MOV DWORD PTR DS:[ESI],EDX
0048ECCD 5A POP EDX
0048ECCE 5E POP ESI
0048ECCF 66:9D POPFW
0048ECD1 64:FF32 PUSH DWORD PTR FS:[EDX]
0048ECD4 64:8922 MOV DWORD PTR FS:[EDX],ESP
0048ECD7 85DB TEST EBX,EBX
0048ECD9 E9 C0050000 JMP de_start.0048F29E
0048ECDE 5B POP EBX
0048ECDF E9 AF010000 JMP de_start.0048EE93
0048ECE4 33C0 XOR EAX,EAX
0048ECE6 A3 04304500 MOV DWORD PTR DS:[453004],EAX
0048ECEB 807B 28 02 CMP BYTE PTR DS:[EBX+28],2
0048ECEF E9 B5050000 JMP de_start.0048F2A9
0048ECF4 83DA EB SBB EDX,-15
0048ECF7 BA 8E4D4300 MOV EDX,de_start.00434D8E
0048ECFC FF35 44204500 PUSH DWORD PTR DS:[452044] ; de_start.00452090
0048ED02 EB 01 JMP SHORT de_start.0048ED05
0048ED04 9A 8D544745 5AE>CALL FAR E95A:4547548D ; 远调用
0048ED0B C1F6 FF SAL ESI,0FF ; 移位常量超出 1..31 的范围
0048ED0E FFFF ??? ; 未知命令
0048ED10 50 PUSH EAX
0048ED11 F4 HLT ; 特权命令
0048ED12 335C24 28 XOR EBX,DWORD PTR SS:[ESP+28]
0048ED16 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048ED1A 50 PUSH EAX
0048ED1B F3: PREFIX REP: ; 多余的前缀
0048ED1C EB 02 JMP SHORT de_start.0048ED20
0048ED1E CD 20 INT 20
0048ED20 03D9 ADD EBX,ECX
0048ED22 5B POP EBX
0048ED23 ^ E9 B5F9FFFF JMP de_start.0048E6DD
0048ED28 FF15 24504500 CALL DWORD PTR DS:[455024]
0048ED2E 81F0 A6683AE6 XOR EAX,E63A68A6
0048ED34 FF36 PUSH DWORD PTR DS:[ESI]
0048ED36 034424 18 ADD EAX,DWORD PTR SS:[ESP+18]
0048ED3A F2: PREFIX REPNE: ; 多余的前缀
0048ED3B EB 01 JMP SHORT de_start.0048ED3E
0048ED3D - 0F83 E85D58E9 JNB E9A14B2B
0048ED43 9A F7FFFFE9 680>CALL FAR 0568:E9FFFFF7 ; 远调用
0048ED4A 0000 ADD BYTE PTR DS:[EAX],AL
0048ED4C 1BFF SBB EDI,EDI
0048ED4E FF30 PUSH DWORD PTR DS:[EAX]
0048ED50 BF 0ADB4300 MOV EDI,de_start.0043DB0A
0048ED55 EB 01 JMP SHORT de_start.0048ED58
0048ED57 - E9 C1C7F75F JMP 6040B51D
0048ED5C FF57 2C CALL DWORD PTR DS:[EDI+2C]
0048ED5F 33C0 XOR EAX,EAX
0048ED61 E9 8E000000 JMP de_start.0048EDF4
0048ED66 ^ 0F84 53F8FFFF JE de_start.0048E5BF
0048ED6C E8 2F4FF7FF CALL de_start.00403CA0
0048ED71 ^ E9 49F8FFFF JMP de_start.0048E5BF
0048ED76 33C0 XOR EAX,EAX
0048ED78 8943 0C MOV DWORD PTR DS:[EBX+C],EAX
0048ED7B E8 544DF7FF CALL de_start.00403AD4
0048ED80 E9 32020000 JMP de_start.0048EFB7
0048ED85 A3 64564500 MOV DWORD PTR DS:[455664],EAX
0048ED8A 8D440B B2 LEA EAX,DWORD PTR DS:[EBX+ECX-4E]
0048ED8E 2BC1 SUB EAX,ECX
0048ED90 81E8 CE4E5395 SUB EAX,95534ECE
0048ED96 B8 06044200 MOV EAX,de_start.00420406 ; ASCII "s(j"
0048ED9B B8 BE084300 MOV EAX,de_start.004308BE
0048EDA0 8D8411 64564500 LEA EAX,DWORD PTR DS:[ECX+EDX+455664]
0048EDA7 2BC2 SUB EAX,EDX
0048EDA9 2BC1 SUB EAX,ECX
0048EDAB 8B00 MOV EAX,DWORD PTR DS:[EAX]
0048EDAD ^ E9 BBF7FFFF JMP de_start.0048E56D
0048EDB2 81E0 F091701C AND EAX,1C7091F0
0048EDB8 F3: PREFIX REP: ; 多余的前缀
0048EDB9 EB 02 JMP SHORT de_start.0048EDBD
0048EDBB CD 20 INT 20
0048EDBD 2BC0 SUB EAX,EAX
0048EDBF EB 02 JMP SHORT de_start.0048EDC3
0048EDC1 CD 20 INT 20
0048EDC3 8D8435 58D54600 LEA EAX,DWORD PTR SS:[EBP+ESI+46D558]
0048EDCA 2BC6 SUB EAX,ESI
0048EDCC EB 02 JMP SHORT de_start.0048EDD0
0048EDCE CD 20 INT 20
0048EDD0 8D440B 04 LEA EAX,DWORD PTR DS:[EBX+ECX+4]
0048EDD4 2BC1 SUB EAX,ECX
0048EDD6 8D4428 FC LEA EAX,DWORD PTR DS:[EAX+EBP-4]
0048EDDA 2BC5 SUB EAX,EBP
0048EDDC E9 27020000 JMP de_start.0048F008
0048EDE1 85C0 TEST EAX,EAX
0048EDE3 0F84 7C030000 JE de_start.0048F165
0048EDE9 50 PUSH EAX
0048EDEA E8 5524F7FF CALL de_start.00401244 ; JMP 到 kernel32.FreeLibrary
0048EDEF E9 71030000 JMP de_start.0048F165
0048EDF4 5A POP EDX
0048EDF5 ^ E9 4EFEFFFF JMP de_start.0048EC48
0048EDFA 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
0048EDFE C1DD C9 RCR EBP,0C9 ; 移位常量超出 1..31 的范围
0048EE01 3E:EB 02 JMP SHORT de_start.0048EE06 ; 多余的前缀
0048EE04 CD 20 INT 20
0048EE06 036C24 38 ADD EBP,DWORD PTR SS:[ESP+38]
0048EE0A F2: PREFIX REPNE: ; 多余的前缀
0048EE0B EB 01 JMP SHORT de_start.0048EE0E
0048EE0D 0F33 RDPMC ; 特权命令
0048EE0F 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0048EE10 24 08 AND AL,8
0048EE12 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
0048EE16 BD DAF34A00 MOV EBP,4AF3DA
0048EE1B 8D6C04 44 LEA EBP,DWORD PTR SS:[ESP+EAX+44]
0048EE1F 2BE8 SUB EBP,EAX
0048EE21 8D6C05 BC LEA EBP,DWORD PTR SS:[EBP+EAX-44]
0048EE25 65:EB 01 JMP SHORT de_start.0048EE29 ; 多余的前缀
0048EE28 F3: PREFIX REP: ; 多余的前缀
0048EE29 2BE8 SUB EBP,EAX
0048EE2B ^ E9 CAF6FFFF JMP de_start.0048E4FA
0048EE30 55 PUSH EBP
0048EE31 ^ E9 C4FFFFFF JMP de_start.0048EDFA
0048EE36 56 PUSH ESI
0048EE37 57 PUSH EDI
0048EE38 55 PUSH EBP
0048EE39 EB 01 JMP SHORT de_start.0048EE3C
0048EE3B C7 ??? ; 未知命令
0048EE3C 8D5C75 2B LEA EBX,DWORD PTR SS:[EBP+ESI*2+2B]
0048EE40 8D5C2B D5 LEA EBX,DWORD PTR DS:[EBX+EBP-2B]
0048EE44 2BDD SUB EBX,EBP
0048EE46 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048EE4A C1D3 95 RCL EBX,95 ; 移位常量超出 1..31 的范围
0048EE4D 13DD ADC EBX,EBP
0048EE4F 8D9C08 34564500 LEA EBX,DWORD PTR DS:[EAX+ECX+455634]
0048EE56 2BD9 SUB EBX,ECX
0048EE58 2BD8 SUB EBX,EAX
0048EE5A ^ E9 45FDFFFF JMP de_start.0048EBA4
0048EE5F B9 A2864000 MOV ECX,de_start.004086A2
0048EE64 C1D9 CD RCR ECX,0CD ; 移位常量超出 1..31 的范围
0048EE67 FF35 04414500 PUSH DWORD PTR DS:[454104] ; de_start.00455C0C
0048EE6D 33CD XOR ECX,EBP
0048EE6F 59 POP ECX
0048EE70 ^ E9 C8F7FFFF JMP de_start.0048E63D
0048EE75 334424 08 XOR EAX,DWORD PTR SS:[ESP+8]
0048EE79 C1C8 AD ROR EAX,0AD ; 移位常量超出 1..31 的范围
0048EE7C 53 PUSH EBX
0048EE7D 81F0 E03E4510 XOR EAX,10453EE0
0048EE83 58 POP EAX
0048EE84 ^ E9 89F6FFFF JMP de_start.0048E512
0048EE89 E8 D26DF7FF CALL de_start.00405C60
0048EE8E ^ E9 64F5FFFF JMP de_start.0048E3F7
0048EE93 59 POP ECX
0048EE94 5D POP EBP
0048EE95 ^ E9 7AF5FFFF JMP de_start.0048E414
0048EE9A E8 C565F7FF CALL de_start.00405464
0048EE9F ^ E9 6EF7FFFF JMP de_start.0048E612
0048EEA4 EB 02 JMP SHORT de_start.0048EEA8
0048EEA6 CD 20 INT 20
0048EEA8 81D0 476317A0 ADC EAX,A0176347
0048EEAE 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048EEB2 B8 B6B84300 MOV EAX,de_start.0043B8B6
0048EEB7 8D4423 52 LEA EAX,DWORD PTR DS:[EBX+52]
0048EEBB 8D4428 AB LEA EAX,DWORD PTR DS:[EAX+EBP-55]
0048EEBF 52 PUSH EDX
0048EEC0 51 PUSH ECX
0048EEC1 53 PUSH EBX
0048EEC2 83CA 51 OR EDX,51
0048EEC5 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048EEC9 81F2 9ECD9403 XOR EDX,394CD9E
0048EECF 2E:EB 01 JMP SHORT de_start.0048EED3 ; 多余的前缀
0048EED2 C7 ??? ; 未知命令
0048EED3 BA F25F4100 MOV EDX,de_start.00415FF2
0048EED8 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048EEDC EB 02 JMP SHORT de_start.0048EEE0
0048EEDE CD 20 INT 20
0048EEE0 8D9401 06F99407 LEA EDX,DWORD PTR DS:[ECX+EAX+794F906]
0048EEE7 2BD0 SUB EDX,EAX
0048EEE9 2BD1 SUB EDX,ECX
0048EEEB 87DA XCHG EDX,EBX
0048EEED 83EB 46 SUB EBX,46
0048EEF0 87CB XCHG EBX,ECX
0048EEF2 C1C1 F4 ROL ECX,0F4 ; 移位常量超出 1..31 的范围
0048EEF5 33D7 XOR EDX,EDI
0048EEF7 8BD1 MOV EDX,ECX
0048EEF9 81EA 4B79008C SUB EDX,8C00794B
0048EEFF 4A DEC EDX
0048EF00 03C2 ADD EAX,EDX
0048EF02 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048EF06 EB 01 JMP SHORT de_start.0048EF09
0048EF08 C7 ??? ; 未知命令
0048EF09 335C24 08 XOR EBX,DWORD PTR SS:[ESP+8]
0048EF0D 5B POP EBX
0048EF0E F3: PREFIX REP: ; 多余的前缀
0048EF0F EB 02 JMP SHORT de_start.0048EF13
0048EF11 CD 20 INT 20
0048EF13 81C9 D98699F6 OR ECX,F69986D9
0048EF19 F3: PREFIX REP: ; 多余的前缀
0048EF1A EB 02 JMP SHORT de_start.0048EF1E
0048EF1C CD 20 INT 20
0048EF1E 59 POP ECX
0048EF1F EB 01 JMP SHORT de_start.0048EF22
0048EF21 F0:C1D2 C7 LOCK RCL EDX,0C7 ; 不允许锁定前缀
0048EF25 C1CA E3 ROR EDX,0E3 ; 移位常量超出 1..31 的范围
0048EF28 F3: PREFIX REP: ; 多余的前缀
0048EF29 EB 02 JMP SHORT de_start.0048EF2D
0048EF2B CD 20 INT 20
0048EF2D 5A POP EDX
0048EF2E EB 01 JMP SHORT de_start.0048EF31
0048EF30 F3: PREFIX REP: ; 多余的前缀
0048EF31 2BC5 SUB EAX,EBP
0048EF33 E9 69000000 JMP de_start.0048EFA1
0048EF38 84C0 TEST AL,AL
0048EF3A E9 83030000 JMP de_start.0048F2C2
0048EF3F BA D2474500 MOV EDX,de_start.004547D2
0048EF44 BA CA4D4100 MOV EDX,de_start.00414DCA
0048EF49 8B17 MOV EDX,DWORD PTR DS:[EDI]
0048EF4B 89D0 MOV EAX,EDX
0048EF4D 33D2 XOR EDX,EDX
0048EF4F 8917 MOV DWORD PTR DS:[EDI],EDX
0048EF51 81ED 4448EC05 SUB EBP,5EC4844
0048EF57 81D5 1C1B4221 ADC EBP,21421B1C
0048EF5D 8D68 08 LEA EBP,DWORD PTR DS:[EAX+8]
0048EF60 F2: PREFIX REPNE: ; 多余的前缀
0048EF61 EB 01 JMP SHORT de_start.0048EF64
0048EF63 698D 6C0DF82B E>IMUL ECX,DWORD PTR SS:[EBP+2BF80D6C],E9D>
0048EF6D 5C POP ESP
0048EF6E 0300 ADD EAX,DWORD PTR DS:[EAX]
0048EF70 0080 7B28010F ADD BYTE PTR DS:[EAX+F01287B],AL
0048EF76 8533 TEST DWORD PTR DS:[EBX],ESI
0048EF78 0000 ADD BYTE PTR DS:[EAX],AL
0048EF7A 00FF ADD BH,BH
0048EF7C 53 PUSH EBX
0048EF7D 24 E9 AND AL,0E9
0048EF7F 2B00 SUB EAX,DWORD PTR DS:[EAX]
0048EF81 0000 ADD BYTE PTR DS:[EAX],AL
0048EF83 C605 34504500 0>MOV BYTE PTR DS:[455034],0
0048EF8A E8 A54BF7FF CALL de_start.00403B34
0048EF8F E9 14020000 JMP de_start.0048F1A8
0048EF94 33C0 XOR EAX,EAX
0048EF96 5A POP EDX
0048EF97 59 POP ECX
0048EF98 59 POP ECX
0048EF99 64:8910 MOV DWORD PTR FS:[EAX],EDX
0048EF9C ^ E9 F2F3FFFF JMP de_start.0048E393
0048EFA1 EB 02 JMP SHORT de_start.0048EFA5
0048EFA3 CD 20 INT 20
0048EFA5 2BD0 SUB EDX,EAX
0048EFA7 8B10 MOV EDX,DWORD PTR DS:[EAX]
0048EFA9 ^ E9 B2F5FFFF JMP de_start.0048E560
0048EFAE 807B 28 00 CMP BYTE PTR DS:[EBX+28],0
0048EFB2 ^ E9 AFFDFFFF JMP de_start.0048ED66
0048EFB7 807B 28 01 CMP BYTE PTR DS:[EBX+28],1
0048EFBB ^ 0F86 64FBFFFF JBE de_start.0048EB25
0048EFC1 E9 15030000 JMP de_start.0048F2DB
0048EFC6 035424 38 ADD EDX,DWORD PTR SS:[ESP+38]
0048EFCA F2: PREFIX REPNE: ; 多余的前缀
0048EFCB EB 01 JMP SHORT de_start.0048EFCE
0048EFCD 0FBAA2 BF4300F3>BT DWORD PTR DS:[EDX+F30043BF],0EB
0048EFD5 02CD ADD CL,CH
0048EFD7 2050 BA AND BYTE PTR DS:[EAX-46],DL
0048EFDA 12BE 4400BA0A ADC BH,BYTE PTR DS:[ESI+ABA0044]
0048EFE0 0048 00 ADD BYTE PTR DS:[EAX],CL
0048EFE3 5A POP EDX
0048EFE4 83E2 0F AND EDX,0F
0048EFE7 8A92 8C304500 MOV DL,BYTE PTR DS:[EDX+45308C]
0048EFED 33DB XOR EBX,EBX
0048EFEF 8AD9 MOV BL,CL
0048EFF1 88141E MOV BYTE PTR DS:[ESI+EBX],DL
0048EFF4 C1E8 04 SHR EAX,4
0048EFF7 49 DEC ECX
0048EFF8 85C0 TEST EAX,EAX
0048EFFA ^ 0F85 C6FFFFFF JNZ de_start.0048EFC6
0048F000 5F POP EDI
0048F001 5E POP ESI
0048F002 5B POP EBX
0048F003 ^ E9 FCF2FFFF JMP de_start.0048E304
0048F008 83CF 9B OR EDI,FFFFFF9B
0048F00B 83EF 77 SUB EDI,77
0048F00E 52 PUSH EDX
0048F00F 66:9C PUSHFW
0048F011 55 PUSH EBP
0048F012 8DAC11 10BC4A00 LEA EBP,DWORD PTR DS:[ECX+EDX+4ABC10]
0048F019 8D6C4B 3E LEA EBP,DWORD PTR DS:[EBX+ECX*2+3E]
0048F01D F2: PREFIX REPNE: ; 多余的前缀
0048F01E EB 01 JMP SHORT de_start.0048F021
0048F020 E8 8D6C35C2 CALL C27E5CB2
0048F025 2BEE SUB EBP,ESI
0048F027 2BE9 SUB EBP,ECX
0048F029 8D6C24 20 LEA EBP,DWORD PTR SS:[ESP+20]
0048F02D 83ED 20 SUB EBP,20
0048F030 65:EB 01 JMP SHORT de_start.0048F034 ; 多余的前缀
0048F033 9A 8D6D5252 535>CALL FAR 5653:52526D8D ; 远调用
0048F03A 23F5 AND ESI,EBP
0048F03C 2E:EB 01 JMP SHORT de_start.0048F040 ; 多余的前缀
0048F03F F2: PREFIX REPNE: ; 多余的前缀
0048F040 68 C4003B81 PUSH 813B00C4
0048F045 51 PUSH ECX
0048F046 EB 01 JMP SHORT de_start.0048F049
0048F048 9A 8D4C3571 3EE>CALL FAR EB3E:71354C8D ; 远调用
0048F04F 02CD ADD CL,CH
0048F051 208D 4C118F2B AND BYTE PTR SS:[EBP+2B8F114C],CL
0048F057 CA 8BCC RETF 0CC8B ; 远返回
0048F05A 8D4C39 04 LEA ECX,DWORD PTR DS:[ECX+EDI+4]
0048F05E 2BCF SUB ECX,EDI
0048F060 57 PUSH EDI
0048F061 C1CF 29 ROR EDI,29 ; 移位常量超出 1..31 的范围
0048F064 65:EB 01 JMP SHORT de_start.0048F068 ; 多余的前缀
0048F067 C7 ??? ; 未知命令
0048F068 BF 58AB4300 MOV EDI,de_start.0043AB58
0048F06D 8DB8 BFFFFFFE LEA EDI,DWORD PTR DS:[EAX+FEFFFFBF]
0048F073 2BF8 SUB EDI,EAX
0048F075 57 PUSH EDI
0048F076 65:EB 01 JMP SHORT de_start.0048F07A ; 多余的前缀
0048F079 9A 8F41005F 598>CALL FAR 8159:5F00418F ; 远调用
0048F080 D6 SALC
0048F081 1A33 SBB DH,BYTE PTR DS:[EBX]
0048F083 99 CDQ
0048F084 45 INC EBP
0048F085 5E POP ESI
0048F086 C1CE 06 ROR ESI,6
0048F089 46 INC ESI
0048F08A 56 PUSH ESI
0048F08B 13D9 ADC EBX,ECX
0048F08D 5B POP EBX
0048F08E C1CB B1 ROR EBX,0B1 ; 移位常量超出 1..31 的范围
0048F091 53 PUSH EBX
0048F092 EB 02 JMP SHORT de_start.0048F096
0048F094 CD 20 INT 20
0048F096 8D140B LEA EDX,DWORD PTR DS:[EBX+ECX]
0048F099 5A POP EDX
0048F09A 83C2 4F ADD EDX,4F
0048F09D 64:EB 02 JMP SHORT de_start.0048F0A2 ; 多余的前缀
0048F0A0 CD 20 INT 20
0048F0A2 8D7475 77 LEA ESI,DWORD PTR SS:[EBP+ESI*2+77]
0048F0A6 EB 01 JMP SHORT de_start.0048F0A9
0048F0A8 698D 768952EB 0>IMUL ECX,DWORD PTR SS:[EBP+EB528976],16B>
0048F0B2 AC LODS BYTE PTR DS:[ESI]
0048F0B3 44 INC ESP
0048F0B4 00BE CE574100 ADD BYTE PTR DS:[ESI+4157CE],BH
0048F0BA 5E POP ESI
0048F0BB F2: PREFIX REPNE: ; 多余的前缀
0048F0BC EB 01 JMP SHORT de_start.0048F0BF
0048F0BE - E9 2BEE0374 JMP 744CDEEE
0048F0C3 24 38 AND AL,38
0048F0C5 C1D6 9B RCL ESI,9B ; 移位常量超出 1..31 的范围
0048F0C8 5E POP ESI
0048F0C9 0BDD OR EBX,EBP
0048F0CB 5B POP EBX
0048F0CC F2: PREFIX REPNE: ; 多余的前缀
0048F0CD EB 01 JMP SHORT de_start.0048F0D0
0048F0CF C703 542418F2 MOV DWORD PTR DS:[EBX],F2182454
0048F0D5 EB 01 JMP SHORT de_start.0048F0D8
0048F0D7 F2: PREFIX REPNE: ; 多余的前缀
0048F0D8 335424 28 XOR EDX,DWORD PTR SS:[ESP+28]
0048F0DC F3: PREFIX REP: ; 多余的前缀
0048F0DD EB 02 JMP SHORT de_start.0048F0E1
0048F0DF CD 20 INT 20
0048F0E1 5A POP EDX
0048F0E2 50 PUSH EAX
0048F0E3 034424 38 ADD EAX,DWORD PTR SS:[ESP+38]
0048F0E7 C1D0 73 RCL EAX,73 ; 移位常量超出 1..31 的范围
0048F0EA 8D8426 0A000000 LEA EAX,DWORD PTR DS:[ESI+A]
0048F0F1 2BC6 SUB EAX,ESI
0048F0F3 8945 00 MOV DWORD PTR SS:[EBP],EAX
0048F0F6 58 POP EAX
0048F0F7 5D POP EBP
0048F0F8 36:EB 01 JMP SHORT de_start.0048F0FC ; 多余的前缀
0048F0FB 9A 669D0BFB 5F9>CALL FAR 995F:FB0B9D66 ; 远调用
0048F102 F7FF IDIV EDI
0048F104 80C2 30 ADD DL,30
0048F107 33C0 XOR EAX,EAX
0048F109 8AC1 MOV AL,CL
0048F10B 881406 MOV BYTE PTR DS:[ESI+EAX],DL
0048F10E F3: PREFIX REP: ; 多余的前缀
0048F10F EB 02 JMP SHORT de_start.0048F113
0048F111 CD 20 INT 20
0048F113 81E0 7DD6EE92 AND EAX,92EED67D
0048F119 53 PUSH EBX
0048F11A 81E0 709A5AD5 AND EAX,D55A9A70
0048F120 58 POP EAX
0048F121 ^ E9 B6F6FFFF JMP de_start.0048E7DC
0048F126 837E 44 00 CMP DWORD PTR DS:[ESI+44],0
0048F12A ^ E9 ECF0FFFF JMP de_start.0048E21B
0048F12F 03C7 ADD EAX,EDI
0048F131 FF33 PUSH DWORD PTR DS:[EBX]
0048F133 F2: PREFIX REPNE: ; 多余的前缀
0048F134 EB 01 JMP SHORT de_start.0048F137
0048F136 9A B8469244 00F>CALL FAR F200:449246B8 ; 远调用
0048F13D EB 01 JMP SHORT de_start.0048F140
0048F13F F0:83D8 85 LOCK SBB EAX,-7B ; 不允许锁定前缀
0048F143 58 POP EAX
0048F144 56 PUSH ESI
0048F145 81C6 D83AED3A ADD ESI,3AED3AD8
0048F14B 03F7 ADD ESI,EDI
0048F14D 8D70 19 LEA ESI,DWORD PTR DS:[EAX+19]
0048F150 8D740E E7 LEA ESI,DWORD PTR DS:[ESI+ECX-19]
0048F154 2BF1 SUB ESI,ECX
0048F156 ^ E9 BEF4FFFF JMP de_start.0048E619
0048F15B E8 D48AFAFF CALL de_start.00437C34
0048F160 ^ E9 3FFDFFFF JMP de_start.0048EEA4
0048F165 E8 4249F7FF CALL de_start.00403AAC
0048F16A ^ E9 02FEFFFF JMP de_start.0048EF71
0048F16F EB 02 JMP SHORT de_start.0048F173
0048F171 CD 20 INT 20
0048F173 81D3 71654377 ADC EBX,77436571
0048F179 C1D3 A9 RCL EBX,0A9 ; 移位常量超出 1..31 的范围
0048F17C 83DB A5 SBB EBX,-5B
0048F17F 0BDD OR EBX,EBP
0048F181 8D5C08 04 LEA EBX,DWORD PTR DS:[EAX+ECX+4]
0048F185 2BD9 SUB EBX,ECX
0048F187 8D5B FC LEA EBX,DWORD PTR DS:[EBX-4]
0048F18A 33C0 XOR EAX,EAX
0048F18C A3 9C304500 MOV DWORD PTR DS:[45309C],EAX
0048F191 ^ E9 C5F9FFFF JMP de_start.0048EB5B
0048F196 833D 04304500 0>CMP DWORD PTR DS:[453004],0
0048F19D ^ 0F84 48FBFFFF JE de_start.0048ECEB
0048F1A3 ^ E9 12F1FFFF JMP de_start.0048E2BA
0048F1A8 C3 RETN
0048F1A9 53 PUSH EBX
0048F1AA 56 PUSH ESI
0048F1AB 57 PUSH EDI
0048F1AC 81F6 CA0B375D XOR ESI,5D370BCA
0048F1B2 8DB411 60464300 LEA ESI,DWORD PTR DS:[ECX+EDX+434660]
0048F1B9 65:EB 01 JMP SHORT de_start.0048F1BD ; 多余的前缀
0048F1BC C7 ??? ; 未知命令
0048F1BD 8DB425 6C304500 LEA ESI,DWORD PTR SS:[EBP+45306C]
0048F1C4 EB 02 JMP SHORT de_start.0048F1C8
0048F1C6 CD 20 INT 20
0048F1C8 2BF5 SUB ESI,EBP
0048F1CA B1 10 MOV CL,10
0048F1CC 035C24 18 ADD EBX,DWORD PTR SS:[ESP+18]
0048F1D0 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048F1D4 035C24 38 ADD EBX,DWORD PTR SS:[ESP+38]
0048F1D8 BB D6394A00 MOV EBX,4A39D6
0048F1DD 8D9C26 00304500 LEA EBX,DWORD PTR DS:[ESI+453000]
0048F1E4 F3: PREFIX REP: ; 多余的前缀
0048F1E5 EB 02 JMP SHORT de_start.0048F1E9
0048F1E7 CD 20 INT 20
0048F1E9 2BDE SUB EBX,ESI
0048F1EB EB 01 JMP SHORT de_start.0048F1EE
0048F1ED 69FF 33BBB63B IMUL EDI,EDI,3BB6BB33
0048F1F3 43 INC EBX
0048F1F4 002E ADD BYTE PTR DS:[ESI],CH
0048F1F6 EB 01 JMP SHORT de_start.0048F1F9
0048F1F8 F2: PREFIX REPNE: ; 多余的前缀
0048F1F9 8B5C24 30 MOV EBX,DWORD PTR SS:[ESP+30]
0048F1FD 5B POP EBX
0048F1FE ^ E9 AFFBFFFF JMP de_start.0048EDB2
0048F203 0000 ADD BYTE PTR DS:[EAX],AL
0048F205 0000 ADD BYTE PTR DS:[EAX],AL
0048F207 0000 ADD BYTE PTR DS:[EAX],AL
0048F209 0000 ADD BYTE PTR DS:[EAX],AL
0048F20B 0000 ADD BYTE PTR DS:[EAX],AL
0048F20D 0000 ADD BYTE PTR DS:[EAX],AL
0048F20F 0000 ADD BYTE PTR DS:[EAX],AL
0048F211 0000 ADD BYTE PTR DS:[EAX],AL
0048F213 0000 ADD BYTE PTR DS:[EAX],AL
0048F215 0000 ADD BYTE PTR DS:[EAX],AL
0048F217 0000 ADD BYTE PTR DS:[EAX],AL
0048F219 0000 ADD BYTE PTR DS:[EAX],AL
0048F21B 0000 ADD BYTE PTR DS:[EAX],AL
0048F21D 0000 ADD BYTE PTR DS:[EAX],AL
0048F21F 000F ADD BYTE PTR DS:[EDI],CL
0048F221 8540 F3 TEST DWORD PTR DS:[EAX-D],EAX
0048F224 FFFF ??? ; 未知命令
0048F226 ^ E9 C2F1FFFF JMP de_start.0048E3ED
0048F22B 8338 00 CMP DWORD PTR DS:[EAX],0
0048F22E ^ 0F84 EAF8FFFF JE de_start.0048EB1E
0048F234 ^ E9 9CF3FFFF JMP de_start.0048E5D5
0048F239 ^ 0F84 65FCFFFF JE de_start.0048EEA4
0048F23F ^ E9 17FFFFFF JMP de_start.0048F15B
0048F244 833F 00 CMP DWORD PTR DS:[EDI],0
0048F247 ^ 0F84 49FFFFFF JE de_start.0048F196
0048F24D ^ E9 EDFCFFFF JMP de_start.0048EF3F
0048F252 ^ 0F84 0DFFFFFF JE de_start.0048F165
0048F258 ^ E9 84FBFFFF JMP de_start.0048EDE1
0048F25D ^ 0F84 63F3FFFF JE de_start.0048E5C6
0048F263 ^ E9 5CF3FFFF JMP de_start.0048E5C4
0048F268 833B 00 CMP DWORD PTR DS:[EBX],0
0048F26B ^ 0F85 BEFEFFFF JNZ de_start.0048F12F
0048F271 ^ E9 21F9FFFF JMP de_start.0048EB97
0048F276 ^ 0F8F 87F2FFFF JG de_start.0048E503
0048F27C ^ E9 13FDFFFF JMP de_start.0048EF94
0048F281 ^ 0F84 0CF1FFFF JE de_start.0048E393
0048F287 ^ E9 F5F9FFFF JMP de_start.0048EC81
0048F28C 833D 24504500 0>CMP DWORD PTR DS:[455024],0
0048F293 ^ 0F84 95FAFFFF JE de_start.0048ED2E
0048F299 ^ E9 8AFAFFFF JMP de_start.0048ED28
0048F29E ^ 0F8E F0FCFFFF JLE de_start.0048EF94
0048F2A4 ^ E9 5AF2FFFF JMP de_start.0048E503
0048F2A9 ^ 0F85 CCFAFFFF JNZ de_start.0048ED7B
0048F2AF ^ E9 93FAFFFF JMP de_start.0048ED47
0048F2B4 833E 00 CMP DWORD PTR DS:[ESI],0
0048F2B7 ^ 0F85 BEFAFFFF JNZ de_start.0048ED7B
0048F2BD ^ E9 B4FAFFFF JMP de_start.0048ED76
0048F2C2 ^ 0F84 99F3FFFF JE de_start.0048E661
0048F2C8 ^ E9 9BF3FFFF JMP de_start.0048E668
0048F2CD 833F 00 CMP DWORD PTR DS:[EDI],0
0048F2D0 ^ 0F85 69FCFFFF JNZ de_start.0048EF3F
0048F2D6 ^ E9 BBFEFFFF JMP de_start.0048F196
0048F2DB 833E 00 CMP DWORD PTR DS:[ESI],0
0048F2DE ^ 0F84 81FEFFFF JE de_start.0048F165
0048F2E4 ^ E9 3CF8FFFF JMP de_start.0048EB25
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
|
|
|---|---|
|
|
先脱壳再破解
|
|
|
已经脱掉了的
|
|
|
我发的前一个主题里说了,用PEID,查壳是Version: ASProtect 2.11 SKE build 03.13 Release [1]的壳,脱了以后在查是什么也没发现
|
|
|
他的文章
赞赏
雪币:
留言:
