幻影v1.5b3脱壳分析笔记 --- ljttt开门一帖 【声明】 我写文章以交流为主，希望大家在转载时能保持文章的完整性。 [作者]: ljttt [日期]: 2000-09-15 【前言】 首先，我要这儿多谢wind[CCG]。 其中为了补充了一些说明，为了大家好理解。用 [注：]说明。我想根据其中的内容去写个脱壳机也不难。 这里有当初我分析幻影的两篇类似的分析笔记，当初为了分析方便，做了两份，各有一些说明（<--所指的内容）。互有补充。大家看看 [注：由于这是以前分析的笔记，只是为了自己分析方便，没有想到要做为文章，所以现在补充一些内容，让大家好理解] [注：开始幻影用了大量的XOR还原方法，共有223处，而且，还在其中用到对IDT表的修改，所以动态分析不太可能，静态分析也要用编个程序批处理才能得到这些内容] [注：这是我现在找的一段，和以前分析的地址不对应，但我只为了说明问题，这样的代码段大同小异，其中的说明也是我补充的] 0000003A: FA cli 0000003B: 56 push esi 0000003C: BE53BD4000 mov esi,0040BD53 00000041: 03F5 add esi,ebp 00000043: 0F010E sidt dword ptr [esi] <--取IDTR的内容 00000046: 8B7602 mov esi,dword ptr [esi+02] <--获取IDT表的基地址 00000049: 66FF4E08 dec word ptr [esi+08] <--int 1的低位偏移减一，大家应该知道这是干嘛的。 0000004D: FF8DCFB24000 dec dword ptr [ebp+0040B2CF] <--注意，这里修改了以后要XOR还原的一处内容，所以算个小干扰 00000053: 5E pop esi 00000054: B927000000 mov ecx,00000027 <--还原开始 00000059: 3006 xor byte ptr [esi],al <--al为XOR用的字节 0000005B: 46 inc esi 0000005C: 49 dec ecx 0000005D: 75FA jnz 00000059 <--还原结束 0000005F: FEC8 dec al <--变换，下一次用作XOR还原 00000061: FA cli [注：在经过以上的XOR还原后，来到这里，将XOR还原出所有幻影的代码了，以前我给大家说明的一些内容都可以在这里找到] 00412382: E800000000 call 00412387 00412387: 5D pop ebp 00412388: 8BD5 mov edx,ebp 0041238A: 81EDD4A64000 sub ebp,0040A6D4 <--EBP=412388-40A6D4=7CB4 00412390: FA cli 00412391: 58 pop eax 00412392: 80E401 and ah,01 00412395: 32C0 xor al,al 00412397: BE09A74000 mov esi,0040A709 0041239C: 03F5 add esi,ebp <--ESI=7CB4+40A709=4123BD 0041239E: B946160000 mov ecx,00001646 004123A3: 03F1 add esi,ecx 004123A5: 4E dec esi 004123A6: 8A06 mov al,byte ptr [esi] 004123A8: 324601 xor al,byte ptr [esi+01] 004123AB: 8806 mov byte ptr [esi],al 004123AD: 4E dec esi 004123AE: E2F6 loop 004123A6 <--代码还原 004123B0: FA cli 004123B1: 6681BD09A740009090 cmp word ptr [ebp+0040A709],9090 <--还原成功，则继续 004123BA: 75FE jnz 004123BA 004123BC: 90 nop 004123BD: 90 nop 004123BE: 90 nop [注：这是最后XOR还原得到的代码了,内容太多，我懒得加注释了，自己接和我以前的有关幻影的文章看吧] 004123BF: 2B95CBB24000 sub edx,dword ptr [ebp+0040B2CB] 004123C5: 81EA87530000 sub edx,00005387 004123CB: 8995D3B24000 mov dword ptr [ebp+0040B2D3],edx 004123D1: E8D7120000 call 004136AD <--加载DLL 004123D6: 83F800 cmp eax,00000000 004123D9: 7520 jnz 004123FB 004123DB: B8C0B94000 mov eax,0040B9C0 004123E0: 03C5 add eax,ebp 004123E2: BBC2B94000 mov ebx,0040B9C2 004123E7: 03DD add ebx,ebp 004123E9: 6A30 push 00000030 004123EB: 50 push eax 004123EC: 53 push ebx 004123ED: 6A00 push 00000000 004123EF: FF9500BC4000 call dword ptr [ebp+0040BC00] <--失败，显示dial.dll未找到 004123F5: FF956CBF4000 call dword ptr [ebp+0040BF6C] <--退出 004123FB: 8B8DF2B94000 mov ecx,dword ptr [ebp+0040B9F2] 00412401: 83C120 add ecx,00000020 00412404: 51 push ecx 00412405: 6A40 push 00000040 00412407: 6800201000 push 00102000 0041240C: 51 push ecx 0041240D: 6A00 push 00000000 0041240F: FF95CBBB4000 call dword ptr [ebp+0040BBCB] 00412415: 59 pop ecx 00412416: 6A40 push 00000040 00412418: 6800101000 push 00101000 0041241D: 51 push ecx 0041241E: 50 push eax 0041241F: FF95CBBB4000 call dword ptr [ebp+0040BBCB] <--申请内存 00412425: 8BD0 mov edx,eax 00412427: 8BF8 mov edi,eax 00412429: BE4D534000 mov esi,0040534D 0041242E: 03F5 add esi,ebp 00412430: 8B8DF2B94000 mov ecx,dword ptr [ebp+0040B9F2] 00412436: F3A4 repe movsb es:[edi],ds:[esi] <--搬家 00412438: B893A74000 mov eax,0040A793 0041243D: 2D4D534000 sub eax,0040534D 00412442: 03C2 add eax,edx 00412444: 50 push eax 00412445: C3 ret <--到新地址继续 -----------------------以上一段分析完毕，加载DLL，申请内存并复制代码继续执行------------------------ 00412446: BF4D534000 mov edi,0040534D 0041244B: 03FD add edi,ebp 0041244D: 8B8DF2B94000 mov ecx,dword ptr [ebp+0040B9F2] 00412453: 32C0 xor al,al 00412455: F3AA repe stosb es:[edi],al <--灭迹 00412457: E800000000 call 0041245C 0041245C: 5D pop ebp 0041245D: 81EDA9A74000 sub ebp,0040A7A9 <--EBP=41245C-40A7A9=7CB3 00412463: BEDDA74000 mov esi,0040A7DD 00412468: 03F5 add esi,ebp 0041246A: 6A00 push 00000000 0041246C: 6A00 push 00000000 0041246E: 6A00 push 00000000 00412470: 6A00 push 00000000 00412472: 6A00 push 00000000 00412474: 6A00 push 00000000 00412476: 56 push esi 00412477: FF95A3BB4000 call dword ptr [ebp+0040BBA3] <--检查跟踪 0041247D: 83F8FF cmp eax,FFFFFFFF 00412480: 7568 jnz 004124EA 00412482: 46 inc esi 00412483: 803E00 cmp byte ptr [esi],00 00412486: 75FA jnz 00412482 00412488: 46 inc esi 00412489: 803E00 cmp byte ptr [esi],00 0041248C: 75DC jnz 0041246A 0041248E: EB5A jmp 004124EA ---------------------以上一段代码分析完毕，检查跟踪-------------------------- **********************非代码区************************** 00412490: 5C pop esp 00412491: 5C pop esp 00412492: 2E5C pop esp 00412494: 54 push esp 00412495: 52 push edx 00412496: 57 push edi 00412497: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 0041249B: 5C pop esp 0041249C: 54 push esp 0041249D: 52 push edx 0041249E: 57 push edi 0041249F: 3230 xor dh,byte ptr [eax] 004124A1: 3030 xor byte ptr [eax],dh 004124A3: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124A7: 5C pop esp 004124A8: 54 push esp 004124A9: 52 push edx 004124AA: 57 push edi 004124AB: 44 inc esp 004124AC: 45 inc ebp 004124AD: 42 inc edx 004124AE: 55 push ebp 004124AF: 47 inc edi 004124B0: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124B4: 5C pop esp 004124B5: 52 push edx 004124B6: 45 inc ebp 004124B7: 47 inc edi 004124B8: 56 push esi 004124B9: 58 pop eax 004124BA: 44 inc esp 004124BB: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124BF: 5C pop esp 004124C0: 4E dec esi 004124C1: 54 push esp 004124C2: 49 dec ecx 004124C3: 43 inc ebx 004124C4: 45 inc ebp 004124C5: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124C9: 5C pop esp 004124CA: 53 push ebx 004124CB: 49 dec ecx 004124CC: 43 inc ebx 004124CD: 45 inc ebp 004124CE: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124D2: 5C pop esp 004124D3: 56 push esi 004124D4: 4B dec ebx 004124D5: 45 inc ebp 004124D6: 59 pop ecx 004124D7: 50 push eax 004124D8: 52 push edx 004124D9: 4F dec edi 004124DA: 44 inc esp 004124DB: 005C5C2E add byte ptr [esp+ebx*2+2E],bl 004124DF: 5C pop esp 004124E0: 46 inc esi 004124E1: 49 dec ecx 004124E2: 4C dec esp 004124E3: 45 inc ebp 004124E4: 56 push esi 004124E5: 58 pop eax 004124E6: 44 inc esp 004124E7: 000000 add byte ptr [eax],al *****************************非代码区结束****************************** 004124EA: 83F8FF cmp eax,FFFFFFFF 004124ED: 7406 jz 004124F5 004124EF: FF956CBF4000 call dword ptr [ebp+0040BF6C] <--有跟踪则退出 004124F5: 60 pushad <--反跟踪 004124F6: BE53BD4000 mov esi,0040BD53 004124FB: 03F5 add esi,ebp 004124FD: 0F010E sidt dword ptr [esi] 00412500: 8B7602 mov esi,dword ptr [esi+02] 00412503: 668B4608 mov ax,word ptr [esi+08] 00412507: 66052302 add ax,0223 0041250B: 66894608 mov word ptr [esi+08],ax 0041250F: 668B460E mov ax,word ptr [esi+0E] 00412513: 668B5E06 mov bx,word ptr [esi+06] 00412517: 663BC3 cmp ax,bx 0041251A: 740E jz 0041252A 0041251C: 668B4608 mov ax,word ptr [esi+08] 00412520: 668B5E18 mov bx,word ptr [esi+18] 00412524: FA cli 00412525: 663BC3 cmp ax,bx 00412528: 7400 jz 0041252A 0041252A: 668B4608 mov ax,word ptr [esi+08] 0041252E: 668B5E0E mov bx,word ptr [esi+0E] 00412532: 66898567BE4000 mov word ptr [ebp+0040BE67],ax 00412539: 66899D69BE4000 mov word ptr [ebp+0040BE69],bx 00412540: 668B4618 mov ax,word ptr [esi+18] 00412544: 668B5E1E mov bx,word ptr [esi+1E] 00412548: 6689856BBE4000 mov word ptr [ebp+0040BE6B],ax 0041254F: 66899D6DBE4000 mov word ptr [ebp+0040BE6D],bx <--对IDT的处理，反跟踪 00412556: 89AD65BD4000 mov dword ptr [ebp+0040BD65],ebp 0041255C: 8B85C7BB4000 mov eax,dword ptr [ebp+0040BBC7] 00412562: 89856FBE4000 mov dword ptr [ebp+0040BE6F],eax 00412568: E8A9140000 call 00413A16 <--内有反跟踪的代码，进入中断处理程序 0041256D: BB63BD4000 mov ebx,0040BD63 00412572: 03DD add ebx,ebp 00412574: 53 push ebx 00412575: 6A64 push 00000064 00412577: 6A63 push 00000063 00412579: 6A00 push 00000000 0041257B: FF9508BC4000 call dword ptr [ebp+0040BC08] <--SetTimer 00412581: 61 popad 00412582: 6A00 push 00000000 00412584: FF95C3BB4000 call dword ptr [ebp+0040BBC3] <--GetModuleHandle 0041258A: 89855FBD4000 mov dword ptr [ebp+0040BD5F],eax <--413A12 00412590: 80BDC8B2400001 cmp byte ptr [ebp+0040B2C8],01 <--412F7B [ebp+0040B2C8]是一个标志，可能是用来标识是否被注册版幻影加密的 00412597: 7435 jz 004125CE 00412599: BEE1B94000 mov esi,0040B9E1 0041259E: 03F5 add esi,ebp <--413694 004125A0: 56 push esi 004125A1: FF959FBB4000 call dword ptr [ebp+0040BB9F] <--GetSystemTime 004125A7: 668B85EFB94000 mov ax,word ptr [ebp+0040B9EF] <--取毫秒时间 004125AE: 240F and al,0F 004125B0: 3C02 cmp al,02 004125B2: 731A jnb 004125CE <--结果随机，用来随机显示未注册版加密。 004125B4: B8BEB94000 mov eax,0040B9BE 004125B9: 03C5 add eax,ebp <-- 004125BB: BB11B24000 mov ebx,0040B211 004125C0: 03DD add ebx,ebp <--412EC4 **************************************************************** 本软件由 幻影v1.5 未注册版本加密 This program protected by DBPE v1.5 Unregistered version Homepage: http://fsdb.yeah.net E-mail: D.Boy@126.com ***************************************************************** 004125C2: 6A30 push 00000030 004125C4: 50 push eax 004125C5: 53 push ebx 004125C6: 6A00 push 00000000 004125C8: FF9500BC4000 call dword ptr [ebp+0040BC00] <--MessageBoxA ---------------------以上一段代码分析完毕，处理反跟踪和是否被注册版幻影加密，否则将随机显示NAG窗------------- 004125CE: E862060000 call 00412C35 <--查询注册键，是否有注册信息 004125D3: 663D0100 cmp ax,0001 <--是否找到 004125D7: 7416 jz 004125EF <--找到，跳转，没有则表示第一次使用，在注册表中留下足迹 004125D9: BE60B14000 mov esi,0040B160 004125DE: 03F5 add esi,ebp <--ESI指向还原后的注册信息首地址 004125E0: 668B8589B44000 mov ax,word ptr [ebp+0040B489] <--41313C 0x60 004125E7: 668906 mov word ptr [esi],ax <--保存 004125EA: E802070000 call 00412CF1 <--创建注册键 004125EF: E87C030000 call 00412970 <--获取卷信息并且跟据注册表信息来检测软件是否已经注册 004125F4: 6689857DB44000 mov word ptr [ebp+0040B47D],ax <--40B47D卷信息标志 [ebp+0040B47D]从此开始保存了软件是否已经注册的信息。（此注册是指软件注册，而非标识幻影注册版加密） 004125FB: 663D0100 cmp ax,0001 004125FF: 0F84BF000000 jz 004126C4 <--已注册，就跳转到还原Section处 --------------------以上一段代码分析完毕，判断是否软件已经注册------------ 00412605: 83BD5DB7400000 cmp dword ptr [ebp+0040B75D],00000000 <--413410 [ebp+0040B75D]是一个标志，代码中有多处判断。但没有对其赋值的代码，只从EXE中得到。作用目前还不太清楚 0041260C: 7426 jz 00412634 <--为0，则跳走。到显示StartMessage处。 0041260E: 83BD61B7400001 cmp dword ptr [ebp+0040B761],00000001 <--413414 [ebp+0040B761]是一个标志，作用不清楚。目前没有发现赋值代码。可能是用来表示是否有Register Cub吧 00412615: 751D jnz 00412634 <--不为1，就跳转到显示StartMessage处。 00412617: E80A060000 call 00412C26 <--显示软件加的NAG信息,Register Cub ************************************* 欢迎你使用幻影 1.5 beta2， 幻影v1.5是共享软件，如果你喜欢它，希望你注册。 E-mail : ding-boy@netease.com Homepage : http://fsdb.yeah.net ************************************** 0041261C: 6689857FB44000 mov word ptr [ebp+0040B47F],ax <-413132,显示过NAG了 [ebp+0040B47F]看来从此作为一个标志了。作用不太清楚。ax返回的是按的是Try还是Register按钮。 00412623: BBC9B24000 mov ebx,0040B2C9 00412628: 03DD add ebx,ebp <--412F7C,要显示的内容，如果为"||"则表示不显示。 0041262A: 663D0200 cmp ax,0002 <--2，好象表示选择了Register按钮，则跳转到进入注册处 0041262E: 0F8444010000 jz 00412778 00412634: 6681BDF1B440007C7C cmp word ptr [ebp+0040B4F1],7C7C <--4131A4，判断是否有StartMessage显示 ***************** 欢迎 ^_^ ******************** 0041263D: 741A jz 00412659 <--没有则跳走，进入密码输入判断处 0041263F: B8BEB94000 mov eax,0040B9BE 00412644: 03C5 add eax,ebp 00412646: BBF1B44000 mov ebx,0040B4F1 0041264B: 03DD add ebx,ebp <--4131A4 ***************** 欢迎 ^_^ ******************** 0041264D: 6A30 push 00000030 0041264F: 50 push eax 00412650: 53 push ebx 00412651: 6A00 push 00000000 00412653: FF9500BC4000 call dword ptr [ebp+0040BC00] <---显示NAG窗口,Start Message ------------------以上一段代码分析未完，有几处标志作用不太清楚。------------------------------- 00412659: E8A0020000 call 004128FE <---输入密码并检测,Password很好得到，还原后的代码中有。 0041265E: BB91B84000 mov ebx,0040B891 00412663: 03DD add ebx,ebp <---413544 ******************** Invalid PassWord ****************** 00412665: 663D0000 cmp ax,0000 00412669: 0F8409010000 jz 00412778 <--密码错，跳走到注册处。 0041266F: E882010000 call 004127F6 <--检查是否过期 00412674: BB1DB64000 mov ebx,0040B61D 00412679: 03DD add ebx,ebp <--4132D0 *************************** 试用期已过。 *************************** 0041267B: 663D0000 cmp ax,0000 0041267F: 0F84F3000000 jz 00412778 <--过期，则跳走到注册处 00412685: E8C3010000 call 0041284D <--在注册表中查找注册信息，没有则创建注册信息。 0041268A: BB1DB64000 mov ebx,0040B61D <--4132D0 0041268F: 03DD add ebx,ebp *************************** 试用期已过。 *************************** 00412691: 663D0000 cmp ax,0000 00412695: 0F84DD000000 jz 00412778 <--未创建成功，则跳转到注册处 0041269B: 6683BD7DB4400000 cmp word ptr [ebp+0040B47D],0000 <--40B47D标志,是否已经成为正版用户 004126A3: 751F jnz 004126C4 <--标志有效则跳转到还原Section处 004126A5: 83BD5DB7400000 cmp dword ptr [ebp+0040B75D],00000000 <--413410 004126AC: 7416 jz 004126C4 004126AE: 6683BD7FB4400001 cmp word ptr [ebp+0040B47F],0001 <-413132,1表示按的是Try按钮 004126B6: 740C jz 004126C4 <-是，则到还原Section处 004126B8: BBC9B24000 mov ebx,0040B2C9 004126BD: 03DD add ebx,ebp <--412F7C,显示信息如果为"||"则不显示 004126BF: E9B4000000 jmp 00412778 <--到注册处 -----------------------------以上代码分析未完，还是几个标志作用不太清楚------------------ ---------------------还原各Section-------------- 004126C4: BED7B24000 mov esi,0040B2D7 004126C9: 03F5 add esi,ebp <--412F8A 004126CB: 833E00 cmp dword ptr [esi],00000000 004126CE: 746F jz 0041273F 004126D0: 8B9DD3B24000 mov ebx,dword ptr [ebp+0040B2D3] <--412F86 004126D6: 031E add ebx,dword ptr [esi] 004126D8: 8B4E04 mov ecx,dword ptr [esi+04] 004126DB: 83F900 cmp ecx,00000000 004126DE: 7505 jnz 004126E5 004126E0: 83C608 add esi,00000008 004126E3: EBE6 jmp 004126CB 004126E5: D1E9 shr ecx,1 004126E7: 668B8567B44000 mov ax,word ptr [ebp+0040B467] <--41311A, 82EE 004126EE: 66F7D0 not ax 004126F1: 663103 xor word ptr [ebx],ax 004126F4: 6648 dec ax 004126F6: 66813B3F3F cmp word ptr [ebx],3F3F 004126FB: 7518 jnz 00412715 004126FD: 817BFC44425045 cmp dword ptr [ebx-04],45504244 00412704: 750F jnz 00412715 00412706: 6683BD7DB4400001 cmp word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志 0041270E: 7505 jnz 00412715 00412710: 66C7032B2B mov word ptr [ebx],2B2B 00412715: 66817BFF3F3F cmp word ptr [ebx-01],3F3F 0041271B: 7519 jnz 00412736 0041271D: 817BFB44425045 cmp dword ptr [ebx-05],45504244 00412724: 7510 jnz 00412736 00412726: 6683BD7DB4400001 cmp word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志 0041272E: 7506 jnz 00412736 00412730: 66C743FF2B2B mov word ptr [ebx-01],2B2B 00412736: 43 inc ebx 00412737: 43 inc ebx 00412738: E2B7 loop 004126F1 0041273A: 83C608 add esi,00000008 0041273D: EB8C jmp 004126CB -------------以上一段为还原各Section，------------------------------- 0041273F: 90 nop 00412740: 89AD9FBE4000 mov dword ptr [ebp+0040BE9F],ebp 00412746: E84C030000 call 00412A97 <--作用不清 0041274B: E82D040000 call 00412B7D <--作用不清 00412750: 8B85CFB24000 mov eax,dword ptr [ebp+0040B2CF] <--412F82 00412756: 8B9DD3B24000 mov ebx,dword ptr [ebp+0040B2D3] <--412F86 0041275C: 03C3 add eax,ebx 0041275E: 8985F6B94000 mov dword ptr [ebp+0040B9F6],eax 00412764: 8BC5 mov eax,ebp 00412766: 5B pop ebx 00412767: 59 pop ecx 00412768: 5A pop edx 00412769: 5E pop esi 0041276A: 5F pop edi 0041276B: 5D pop ebp 0041276C: 9D popfd 0041276D: FFB0F6B94000 push dword ptr [eax+0040B9F6] 00412773: E90F120000 jmp 00413987 <--跳转到最后的代码处 -------未注册时跳到此处---------------- 00412778: 66813B7C7C cmp word ptr [ebx],7C7C 0041277D: 7413 jz 00412792 <--是否有信息显示，没有则跳走 0041277F: B8C0B94000 mov eax,0040B9C0 00412784: 03C5 add eax,ebp <--413673 一个空格 00412786: 6A30 push 00000030 00412788: 50 push eax 00412789: 53 push ebx 0041278A: 6A00 push 00000000 0041278C: FF9500BC4000 call dword ptr [ebp+0040BC00] <--MessageBoxA 00412792: 83BD5DB7400000 cmp dword ptr [ebp+0040B75D],00000000 <--413410 00412799: 7446 jz 004127E1 0041279B: E810010000 call 004128B0 <--输入Serial,Your Name并进行判断结果 004127A0: 6689857DB44000 mov word ptr [ebp+0040B47D],ax <--40B47D卷信息标志 004127A7: 50 push eax 004127A8: 663D0100 cmp ax,0001 004127AC: 7507 jnz 004127B5 <--不等，注册失败，跳转 004127AE: BBF5B84000 mov ebx,0040B8F5 <--4135A8,注册成功了 ****************************************** Register Successfully ****************************************** 004127B3: EB05 jmp 004127BA 004127B5: BB59B94000 mov ebx,0040B959 004127BA: 03DD add ebx,ebp <--41360C ************************** Invalid Serial NO ************************** 004127BC: 66813B7C7C cmp word ptr [ebx],7C7C <--是否为没有内容显示的标志 004127C1: 7413 jz 004127D6 <--是，则跳转 004127C3: B8C0B94000 mov eax,0040B9C0 004127C8: 03C5 add eax,ebp <--413673 一个空格 004127CA: 6A30 push 00000030 004127CC: 50 push eax 004127CD: 53 push ebx 004127CE: 6A00 push 00000000 004127D0: FF9500BC4000 call dword ptr [ebp+0040BC00] <--MessageBoxA 004127D6: 58 pop eax 004127D7: 663D0100 cmp ax,0001 004127DB: 0F84E3FEFFFF jz 004126C4 <--注册成功，就回去继续工作 004127E1: C6855DBD400000 mov byte ptr [ebp+0040BD5D],00 004127E8: 8BC5 mov eax,ebp 004127EA: 5B pop ebx 004127EB: 59 pop ecx 004127EC: 5A pop edx 004127ED: 5E pop esi 004127EE: 5F pop edi 004127EF: 5D pop ebp 004127F0: 9D popfd 004127F1: E991110000 jmp 00413987 <--从这里跳走，怕是凶多吉少 *************************主程序结束**************************************************** -----------------------------------检查是否过期------------------------ 004127F6: BEE1B94000 mov esi,0040B9E1 004127FB: 03F5 add esi,ebp <--413694 004127FD: 56 push esi 004127FE: FF959FBB4000 call dword ptr [ebp+0040BB9F] <--GetSystemTime 00412804: 668B8585B44000 mov ax,word ptr [ebp+0040B485] <--413138 0041280B: 668B9D81B44000 mov bx,word ptr [ebp+0040B481] <--413134 00412812: 663D0000 cmp ax,0000 00412816: 7430 jz 00412848 00412818: 663985E3B94000 cmp word ptr [ebp+0040B9E3],ax 0041281F: 7209 jb 0041282A 00412821: 66399DE1B94000 cmp word ptr [ebp+0040B9E1],bx 00412828: 7309 jnb 00412833 0041282A: 66399DE1B94000 cmp word ptr [ebp+0040B9E1],bx 00412831: 7606 jbe 00412839 00412833: 66B80000 mov ax,0000 00412837: EB0D jmp 00412846 00412839: 66C7857DB440000100 mov word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志 00412842: 66B80100 mov ax,0001 00412846: EB04 jmp 0041284C 00412848: 66B80100 mov ax,0001 0041284C: C3 ret -------------------------------------------------------------- ------------------------对注册表查找创建注册信息---------------------------------------------- 0041284D: 60 pushad 0041284E: 6683BD89B4400000 cmp word ptr [ebp+0040B489],0000 <--41313C 0x60 00412856: 750B jnz 00412863 00412858: 66C785FBAB40000100 mov word ptr [ebp+0040ABFB],0001 <--4128AE 过期标志 00412861: EB42 jmp 004128A5 00412863: E8CD030000 call 00412C35 <--找注册键 00412868: BE60B14000 mov esi,0040B160 <--ESI指向还原后的注册信息首地址 0041286D: 03F5 add esi,ebp 0041286F: 663D0100 cmp ax,0001 00412873: 7405 jz 0041287A <--找到则跳转 00412875: 66C7060000 mov word ptr [esi],0000 0041287A: 66833E00 cmp word ptr [esi],0000 0041287E: 7417 jz 00412897 <--没找到，或者错误则跳转 00412880: 66FF0E dec word ptr [esi] 00412883: 66C785FBAB40000100 mov word ptr [ebp+0040ABFB],0001 <--4128AE 过期标志 0041288C: 66C7857DB440000100 mov word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志 00412895: EB09 jmp 004128A0 00412897: 66C785FBAB40000000 mov word ptr [ebp+0040ABFB],0000 <--4128AE 过期标志 004128A0: E84C040000 call 00412CF1 <--创建注册信息 004128A5: 61 popad 004128A6: 668B85FBAB4000 mov ax,word ptr [ebp+0040ABFB] <--4128AE 过期标志 004128AD: C3 ret ----------------------------------------------------------------- ----------------------------非代码区------------------------------ 004128AE: 0000 add byte ptr [eax],al ------------------------------------------------------------- ---------------------------输入Serial并进行判断------------------------------------ 004128B0: E8BB000000 call 00412970 <--根据卷信息来检测是否原版用户 004128B5: 8B85A8AD4000 mov eax,dword ptr [ebp+0040ADA8] lpTotalNumberOfBytes, 004128BB: BBB0AD4000 mov ebx,0040ADB0 004128C0: 03DD add ebx,ebp <--412A63 "%lX" 004128C2: B983B14000 mov ecx,0040B183 004128C7: 03CD add ecx,ebp 004128C9: 50 push eax 004128CA: 53 push ebx ************** %lX *************** 004128CB: 51 push ecx 004128CC: FF9504BC4000 call dword ptr [ebp+0040BC04] <--wsprintfA 004128D2: 83C40C add esp,0000000C 004128D5: B865B14000 mov eax,0040B165 <--存放Your Name 004128DA: 03C5 add eax,ebp 004128DC: BB79B14000 mov ebx,0040B179 <--存放Serial No 004128E1: 03DD add ebx,ebp 004128E3: B983B14000 mov ecx,0040B183 <--转换后的序列号 004128E8: 03CD add ecx,ebp 004128EA: 51 push ecx 004128EB: 53 push ebx 004128EC: 50 push eax 004128ED: FF95BCBC4000 call dword ptr [ebp+0040BCBC] <--GetRegister 004128F3: E8F9030000 call 00412CF1 <--保存注册信息到注册表 004128F8: E873000000 call 00412970 <--根据卷信息来检测是否原版用户 004128FD: C3 ret ------------------------------------------------------------------------- -----------------------------------------检测密码Password-------------------------- 004128FE: 6683BD49B740007C cmp word ptr [ebp+0040B749],007C 00412906: 7505 jnz 0041290D 00412908: 66B80100 mov ax,0001 0041290C: C3 ret 0041290D: B89FAC4000 mov eax,0040AC9F 00412912: 03C5 add eax,ebp <--412952 00412914: 50 push eax 00412915: FF95B8BC4000 call dword ptr [ebp+0040BCB8] <--GetPassword 0041291B: BE49B74000 mov esi,0040B749 00412920: 03F5 add esi,ebp <--4133FC，保存的密码 00412922: BF9FAC4000 mov edi,0040AC9F <--412952 00412927: 03FD add edi,ebp 00412929: 668B8567B44000 mov ax,word ptr [ebp+0040B467] 00412930: 8A26 mov ah,byte ptr [esi] 00412932: 3A27 cmp ah,byte ptr [edi] 00412934: 7509 jnz 0041293F 00412936: 80FC00 cmp ah,00 00412939: 7409 jz 00412944 0041293B: 46 inc esi 0041293C: 47 inc edi 0041293D: EBF1 jmp 00412930 0041293F: 66B80000 mov ax,0000 00412943: C3 ret 00412944: 66C7857DB440000100 mov word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志 0041294D: 66B80100 mov ax,0001 00412951: C3 ret ---------------------------------------------------------- ----------------------------非代码区----------------------------------- 00412952: 0000 add byte ptr [eax],al 00412954: 0000 add byte ptr [eax],al 00412956: 0000 add byte ptr [eax],al 00412958: 0000 add byte ptr [eax],al 0041295A: 0000 add byte ptr [eax],al 0041295C: 0000 add byte ptr [eax],al 0041295E: 0000 add byte ptr [eax],al 00412960: 0000 add byte ptr [eax],al 00412962: 0000 add byte ptr [eax],al 00412964: 0000 add byte ptr [eax],al 00412966: 0000 add byte ptr [eax],al 00412968: 0000 add byte ptr [eax],al 0041296A: 0000 add byte ptr [eax],al 0041296C: 0000 add byte ptr [eax],al 0041296E: 0000 add byte ptr [eax],al --------------------------------------------------------------- --------------------------根据卷信息保存到注册表---------------------- 00412970: B810000000 mov eax,00000010 00412975: 50 push eax <--nFileSystemNameSize 00412976: B8B8AD4000 mov eax,0040ADB8 0041297B: 03C5 add eax,ebp 0041297D: 50 push eax <--lpFileSystemNameBuffer, 0041297E: B8C8AD4000 mov eax,0040ADC8 00412983: 03C5 add eax,ebp 00412985: 50 push eax <--lpFileSystemFlags, 00412986: B8CCAD4000 mov eax,0040ADCC 0041298B: 03C5 add eax,ebp 0041298D: 50 push eax <--lpMaximumComponentLength, 0041298E: B8D0AD4000 mov eax,0040ADD0 00412993: 03C5 add eax,ebp 00412995: 50 push eax <--lpVolumeSerialNumber, 00412996: B810000000 mov eax,00000010 0041299B: 50 push eax <--nVolumeNameSize, 0041299C: B8D4AD4000 mov eax,0040ADD4 004129A1: 03C5 add eax,ebp 004129A3: 50 push eax <--lpVolumeNameBuffer, 004129A4: B8B4AD4000 mov eax,0040ADB4 004129A9: 03C5 add eax,ebp <--412A67 004129AB: 50 push eax <--lpRootPathName, "C:\" 004129AC: FF95BFBB4000 call dword ptr [ebp+0040BBBF] <--GetVolumeInformationA 004129B2: B8A4AD4000 mov eax,0040ADA4 004129B7: 03C5 add eax,ebp 004129B9: BBA8AD4000 mov ebx,0040ADA8 004129BE: 03DD add ebx,ebp lpTotalNumberOfBytes, 004129C0: B9ACAD4000 mov ecx,0040ADAC 004129C5: 03CD add ecx,ebp 004129C7: C701633A5C00 mov dword ptr [ecx],005C3A63 004129CD: 50 push eax lpTotalNumberOfFreeBytes 004129CE: 53 push ebx lpTotalNumberOfBytes, 004129CF: 6A00 push 00000000 lpFreeBytesAvailableToCaller, 004129D1: 51 push ecx lpDirectoryName,"C:\" 004129D2: FF95B7BB4000 call dword ptr [ebp+0040BBB7] <--GetDiskFreeSpaceExA 004129D8: 8B85A8AD4000 mov eax,dword ptr [ebp+0040ADA8] lpTotalNumberOfBytes, 004129DE: F7D0 not eax 004129E0: 3385D0AD4000 xor eax,dword ptr [ebp+0040ADD0] lpVolumeSerialNumber, 004129E6: 8985A8AD4000 mov dword ptr [ebp+0040ADA8],eax lpTotalNumberOfBytes, 004129EC: E844020000 call 00412C35 <--查找注册表，提取数据 004129F1: B801000000 mov eax,00000001 004129F6: 33DB xor ebx,ebx 004129F8: BE65B14000 mov esi,0040B165 004129FD: 03F5 add esi,ebp <--412E18,存放Your Name 004129FF: 8A1E mov bl,byte ptr [esi] 00412A01: 80FB00 cmp bl,00 00412A04: 7405 jz 00412A0B 00412A06: F7E3 mul ebx 00412A08: 46 inc esi 00412A09: EBF4 jmp 004129FF 00412A0B: 33855DB74000 xor eax,dword ptr [ebp+0040DB75] <--413410,Register Key 00412A11: 3385A8AD4000 xor eax,dword ptr [ebp+0040ADA8] lpTotalNumberOfBytes, 00412A17: 86E0 xchg al,ah 00412A19: 8BD8 mov ebx,eax 00412A1B: BE79B14000 mov esi,0040B179 <--412E2C,存放Serial No 00412A20: 03F5 add esi,ebp 00412A22: E80E000000 call 00412A35 <--数据转换 00412A27: 3BD8 cmp ebx,eax <--比较是否正版 00412A29: 7405 jz 00412A30 00412A2B: 66B80000 mov ax,0000 00412A2F: C3 ret 00412A30: 66B80100 mov ax,0001 00412A34: C3 ret -------------------------------------------------------------------------- -------------------------字符转换成数值--------------------------------- 00412A35: 53 push ebx 00412A36: 56 push esi 00412A37: 33DB xor ebx,ebx 00412A39: 8A06 mov al,byte ptr [esi] 00412A3B: 3C39 cmp al,39 00412A3D: 7606 jbe 00412A45 00412A3F: 24CF and al,CF 00412A41: 2C37 sub al,37 00412A43: EB02 jmp 00412A47 00412A45: 240F and al,0F 00412A47: C1E304 shl ebx,04 00412A4A: 0AD8 or bl,al 00412A4C: 46 inc esi 00412A4D: 803E00 cmp byte ptr [esi],00 00412A50: 75E7 jnz 00412A39 00412A52: 8BC3 mov eax,ebx 00412A54: 5E pop esi 00412A55: 5B pop ebx 00412A56: C3 ret ---------------------------------------------------------------------- ---------------------------非代码区--------------------------------- 00412A57: 0000 add byte ptr [eax],al 00412A59: 0000 add byte ptr [eax],al 00412A5B: 0000 add byte ptr [eax],al 00412A5D: 0000 add byte ptr [eax],al 00412A5F: 633A arpl word ptr [edx],di 00412A61: 5C pop esp 00412A62: 00256C580043 add byte ptr [4300586C],ah 00412A68: 3A5C0000 cmp bl,byte ptr [eax+eax] 00412A6C: 0000 add byte ptr [eax],al 00412A6E: 0000 add byte ptr [eax],al 00412A70: 0000 add byte ptr [eax],al 00412A72: 0000 add byte ptr [eax],al 00412A74: 0000 add byte ptr [eax],al 00412A76: 0000 add byte ptr [eax],al 00412A78: 0000 add byte ptr [eax],al 00412A7A: 0000 add byte ptr [eax],al 00412A7C: 0000 add byte ptr [eax],al 00412A7E: 0000 add byte ptr [eax],al 00412A80: 0000 add byte ptr [eax],al 00412A82: 0000 add byte ptr [eax],al 00412A84: 0000 add byte ptr [eax],al 00412A86: 0000 add byte ptr [eax],al 00412A88: 0000 add byte ptr [eax],al 00412A8A: 0000 add byte ptr [eax],al 00412A8C: 0000 add byte ptr [eax],al 00412A8E: 0000 add byte ptr [eax],al 00412A90: 0000 add byte ptr [eax],al 00412A92: 0000 add byte ptr [eax],al 00412A94: 0000 add byte ptr [eax],al 00412A96: 00 ------------------------------------------------------------------ -------------------------------------------------------- 00412A97: 60 pushad 00412A98: 8B9D69B44000 mov ebx,dword ptr [ebp+0040B469] <--41311C 00412A9E: 83FB00 cmp ebx,00000000 00412AA1: 0F84A6000000 jz 00412B4D 00412AA7: 039DD3B24000 add ebx,dword ptr [ebp+0040B2D3] 00412AAD: 8B430C mov eax,dword ptr [ebx+0C] 00412AB0: 83F800 cmp eax,00000000 00412AB3: 0F8494000000 jz 00412B4D 00412AB9: 0385D3B24000 add eax,dword ptr [ebp+0040B2D3] 00412ABF: 8BF0 mov esi,eax 00412AC1: 50 push eax 00412AC2: FF9564BF4000 call dword ptr [ebp+0040BF64] 00412AC8: 89857DBA4000 mov dword ptr [ebp+0040BA7D],eax 00412ACE: 8B33 mov esi,dword ptr [ebx] 00412AD0: 8B7B10 mov edi,dword ptr [ebx+10] 00412AD3: 83FE00 cmp esi,00000000 00412AD6: 7502 jnz 00412ADA 00412AD8: 8BF7 mov esi,edi 00412ADA: 03B5D3B24000 add esi,dword ptr [ebp+0040B2D3] 00412AE0: 03BDD3B24000 add edi,dword ptr [ebp+0040B2D3] 00412AE6: 8B06 mov eax,dword ptr [esi] 00412AE8: 83F800 cmp eax,00000000 00412AEB: 7505 jnz 00412AF2 00412AED: 83C314 add ebx,00000014 00412AF0: EBBB jmp 00412AAD 00412AF2: 807E0380 cmp byte ptr [esi+03],80 00412AF6: 7514 jnz 00412B0C 00412AF8: 33C0 xor eax,eax 00412AFA: 668706 xchg word ptr [esi],ax 00412AFD: 50 push eax 00412AFE: FFB57DBA4000 push dword ptr [ebp+0040BA7D] 00412B04: FF9568BF4000 call dword ptr [ebp+0040BF68] 00412B0A: EB37 jmp 00412B43 00412B0C: 33C0 xor eax,eax 00412B0E: 8706 xchg dword ptr [esi],eax 00412B10: 0385D3B24000 add eax,dword ptr [ebp+0040B2D3] 00412B16: 83C002 add eax,00000002 00412B19: 8BC8 mov ecx,eax 00412B1B: E83B000000 call 00412B5B <---判断是否为ExitProcess字符串 00412B20: 663D0100 cmp ax,0001 00412B24: 7510 jnz 00412B36 <--不同，则跳转 00412B26: C6855DBD400001 mov byte ptr [ebp+0040BD5D],01 00412B2D: B89EBE4000 mov eax,0040BE9E 00412B32: 03C5 add eax,ebp 00412B34: EB0D jmp 00412B43 00412B36: 50 push eax 00412B37: FFB57DBA4000 push dword ptr [ebp+0040BA7D] 00412B3D: FF9568BF4000 call dword ptr [ebp+0040BF68] 00412B43: 8907 mov dword ptr [edi],eax 00412B45: 83C604 add esi,00000004 00412B48: 83C704 add edi,00000004 00412B4B: EB99 jmp 00412AE6 00412B4D: 61 popad 00412B4E: C3 ret ----------------------------------------------------- --------------------非代码区------------ 00412B4F: 45 inc ebp 00412B50: 7869 js 00412BBB 00412B52: 7450 jz 00412BA4 00412B54: 726F jb 00412BC5 00412B56: 636573 arpl word ptr [ebp+73],sp 00412B59: 7300 jnb 00412B5B ----------------------------------- ----------------判断是否为ExitProcess字符串-------------------- 00412B5B: 53 push ebx 00412B5C: 56 push esi 00412B5D: 57 push edi 00412B5E: 8BF0 mov esi,eax 00412B60: BF9CAE4000 mov edi,0040AE9C 00412B65: 03FD add edi,ebp <---412B4F ********************** ExitProcess *********************** 00412B67: 8A1E mov bl,byte ptr [esi] 00412B69: 3A1F cmp bl,byte ptr [edi] 00412B6B: 750C jnz 00412B79 00412B6D: 46 inc esi 00412B6E: 47 inc edi 00412B6F: 80FB00 cmp bl,00 00412B72: 75F3 jnz 00412B67 00412B74: B801000000 mov eax,00000001 00412B79: 5F pop edi 00412B7A: 5E pop esi 00412B7B: 5B pop ebx 00412B7C: C3 ret --------------------------------------------------- -------------------------------------------------- 00412B7D: 60 pushad 00412B7E: 33C0 xor eax,eax 00412B80: 8BB56DB44000 mov esi,dword ptr [ebp+0040B46D] 00412B86: 83FE00 cmp esi,00000000 00412B89: 7459 jz 00412BE4 00412B8B: 03B5D3B24000 add esi,dword ptr [ebp+0040B2D3] 00412B91: 668B3E mov di,word ptr [esi] 00412B94: 663B7E02 cmp di,word ptr [esi+02] 00412B98: 744A jz 00412BE4 00412B9A: 8B3E mov edi,dword ptr [esi] 00412B9C: 83FF00 cmp edi,00000000 00412B9F: 7443 jz 00412BE4 00412BA1: 03BDD3B24000 add edi,dword ptr [ebp+0040B2D3] 00412BA7: 8B4E04 mov ecx,dword ptr [esi+04] 00412BAA: 83E908 sub ecx,00000008 00412BAD: 83F900 cmp ecx,00000000 00412BB0: 7432 jz 00412BE4 00412BB2: D1E9 shr ecx,1 00412BB4: 83C608 add esi,00000008 00412BB7: 668B06 mov ax,word ptr [esi] 00412BBA: 662500F0 and ax,F000 00412BBE: 663D0030 cmp ax,3000 00412BC2: 7519 jnz 00412BDD 00412BC4: 668B06 mov ax,word ptr [esi] 00412BC7: 6625FF0F and ax,0FFF 00412BCB: 8B9D79B44000 mov ebx,dword ptr [ebp+0040B479] 00412BD1: 291C07 sub dword ptr [edi+eax],ebx 00412BD4: 8B9DD3B24000 mov ebx,dword ptr [ebp+0040B2D3] 00412BDA: 011C07 add dword ptr [edi+eax],ebx 00412BDD: 83C602 add esi,00000002 00412BE0: E2D5 loop 00412BB7 00412BE2: EBAD jmp 00412B91 00412BE4: 61 popad 00412BE5: C3 ret ---------------------------------------------------- 00412BE6: 60 pushad 00412BE7: 8BB571B44000 mov esi,dword ptr [ebp+0040B471] 00412BED: 83FE00 cmp esi,00000000 00412BF0: 7432 jz 00412C24 00412BF2: 03B5D3B24000 add esi,dword ptr [ebp+0040B2D3] 00412BF8: 8B8D75B44000 mov ecx,dword ptr [ebp+0040B475] 00412BFE: 83F900 cmp ecx,00000000 00412C01: 7421 jz 00412C24 00412C03: 8B06 mov eax,dword ptr [esi] 00412C05: 83F800 cmp eax,00000000 00412C08: 7412 jz 00412C1C 00412C0A: 2B8579B44000 sub eax,dword ptr [ebp+0040B479] 00412C10: 2020 and byte ptr [eax],ah 00412C12: 2020 and byte ptr [eax],ah 00412C14: 2032 and byte ptr [edx],dh 00412C16: 37 aaa 00412C17: 3133 xor dword ptr [ebx],esi 00412C19: 3800 cmp byte ptr [eax],al 00412C1B: 0000 add byte ptr [eax],al 00412C1D: 0000 add byte ptr [eax],al 00412C1F: 0000 add byte ptr [eax],al 00412C00: 0074218B add byte ptr [ecx-75],dh 00412C04: 06 push es 00412C05: 83F800 cmp eax,00000000 00412C08: 7412 jz 00412C1C 00412C0A: 2B8579B44000 sub eax,dword ptr [ebp+0040B479] 00412C10: 0385D3B24000 add eax,dword ptr [ebp+0040B2D3] 00412C16: C70000000000 mov dword ptr [eax],00000000 00412C1C: 83C604 add esi,00000004 00412C1F: 83E904 sub ecx,00000004 00412C22: 75DF jnz 00412C03 00412C24: 61 popad 00412C25: C3 ret ---------------------显示NAG窗口------------------------ 00412C26: B865B74000 mov eax,0040B765 00412C2B: 03C5 add eax,ebp <--413418 ************************************* 欢迎你使用幻影 1.5 beta2， 幻影v1.5是共享软件，如果你喜欢它，希望你注册。 E-mail : ding-boy@netease.com Homepage : http://fsdb.yeah.net ************************************** 00412C2D: 50 push eax 00412C2E: FF95C0BC4000 call dword ptr [ebp+0040BCC0] <--ShowTryWindow 00412C34: C3 ret --------------------------- ----------------查寻注册键，找到则进行还原并且返回1，否则返回0----------- 00412C35: 60 pushad 00412C36: 66C7855EB140000000 mov word ptr [ebp+0040B15E],0000 <--412E11 00412C3F: B848B14000 mov eax,0040B148 00412C44: 03C5 add eax,ebp <--412DFB 00412C46: BB40B14000 mov ebx,0040B140 00412C4B: 03DD add ebx,ebp <--412DF3 00412C4D: B91EB14000 mov ecx,0040B11E 00412C52: 03CD add ecx,ebp <--412DD1 ********************* wrifile\shell\open\command\config ********************** 00412C54: 50 push eax 00412C55: 53 push ebx 00412C56: 683F001F00 push 001F003F 00412C5B: 6A00 push 00000000 00412C5D: 6A00 push 00000000 00412C5F: 6A00 push 00000000 00412C61: 6A00 push 00000000 00412C63: 51 push ecx 00412C64: 6800000080 push 80000000 00412C69: FF9576BC4000 call dword ptr [ebp+0040BC76] <--RegCreateKeyA 00412C6F: 663D0000 cmp ax,0000 00412C73: 7566 jnz 00412CDB 00412C75: BE1AB14000 mov esi,0040B11A 00412C7A: 03F5 add esi,ebp <--412DCD 00412C7C: BF16B14000 mov edi,0040B116 00412C81: 03FD add edi,ebp <-- 00412C83: B860B14000 mov eax,0040B160 00412C88: 03C5 add eax,ebp <--412E13 00412C8A: BB50B14000 mov ebx,0040B150 00412C8F: 03DD add ebx,ebp <--412E03 ******************** 91 80 88 80 B8 80 99 80 EE 82 ******************** 00412C91: 8B8D40B14000 mov ecx,dword ptr [ebp+0040B140] 00412C97: 56 push esi <--412DCD "=" 00412C98: 50 push eax <--412E13 00412C99: 57 push edi 00412C9A: 6A00 push 00000000 00412C9C: 53 push ebx 00412C9D: 51 push ecx 00412C9E: FF957EBC4000 call dword ptr [ebp+0040BC7E] <--RegQueryValueEx 00412CA4: 663D0000 cmp ax,0000 00412CA8: 7531 jnz 00412CDB 00412CAA: 66C7855EB140000100 mov word ptr [ebp+0040B15E],0001 <--412E11 00412CB3: 668B8567B44000 mov ax,word ptr [ebp+0040B467] <--41311A ******************** EE 82 ******************** 00412CBA: 8AE0 mov ah,al 00412CBC: BE60B14000 mov esi,0040B160 00412CC1: 03F5 add esi,ebp <--412DE13 ************-------------------关键的还原-------------************* 00412CC3: B93D000000 mov ecx,0000003D 00412CC8: 51 push ecx 00412CC9: 8A06 mov al,byte ptr [esi] 00412CCB: 3C00 cmp al,00 00412CCD: 7402 jz 00412CD1 00412CCF: 32C4 xor al,ah 00412CD1: B104 mov cl,04 00412CD3: D2C8 ror al,cl 00412CD5: 8806 mov byte ptr [esi],al 00412CD7: 46 inc esi 00412CD8: 59 pop ecx 00412CD9: E2ED loop 00412CC8 ***************-----------------------------------******************* 00412CDB: 8B8540B14000 mov eax,dword ptr [ebp+0040B140] 00412CE1: 50 push eax 00412CE2: FF957ABC4000 call dword ptr [ebp+0040BC7A] <--RegCloseKeyA 00412CE8: 61 popad 00412CE9: 668B855EB14000 mov ax,word ptr [ebp+0040B15E] 00412CF0: C3 ret ---------------------------------------------------------------- -------------------------保存注册信息到注册表-------------------------------- 00412CF1: 60 pushad 00412CF2: 66C7855EB140000000 mov word ptr [ebp+0040B15E],0000 00412CFB: B848B14000 mov eax,0040B148 00412D00: 03C5 add eax,ebp 00412D02: BB40B14000 mov ebx,0040B140 00412D07: 03DD add ebx,ebp 00412D09: B91EB14000 mov ecx,0040B11E 00412D0E: 03CD add ecx,ebp <--412DD1 00412D10: 50 push eax 00412D11: 53 push ebx 00412D12: 683F001F00 push 001F003F 00412D17: 6A00 push 00000000 00412D19: 6A00 push 00000000 00412D1B: 6A00 push 00000000 00412D1D: 6A00 push 00000000 00412D1F: 51 push ecx <--412DD1 ***************** wrifile\shell\open\command\config ************************** 00412D20: 6800000080 push 80000000 00412D25: FF9576BC4000 call dword ptr [ebp+0040BC76] <--RegCreateKeyA 00412D2B: 663D0000 cmp ax,0000 00412D2F: 755A jnz 00412D8B 00412D31: 668B8567B44000 mov ax,word ptr [ebp+0040B467] <--41311A ******************** EE 82 ******************** 00412D38: 8AE0 mov ah,al 00412D3A: BE60B14000 mov esi,0040B160 00412D3F: 03F5 add esi,ebp 00412D41: B93D000000 mov ecx,0000003D 00412D46: 51 push ecx 00412D47: 8A06 mov al,byte ptr [esi] 00412D49: B104 mov cl,04 00412D4B: D2C0 rol al,cl 00412D4D: 3C00 cmp al,00 00412D4F: 7402 jz 00412D53 00412D51: 32C4 xor al,ah 00412D53: 8806 mov byte ptr [esi],al 00412D55: 46 inc esi 00412D56: 59 pop ecx 00412D57: E2ED loop 00412D46 00412D59: B860B14000 mov eax,0040B160 00412D5E: 03C5 add eax,ebp <--412DE13 00412D60: BB50B14000 mov ebx,0040B150 00412D65: 03DD add ebx,ebp <--412DE03 ******************** 91 80 88 80 B8 80 99 80 EE 82 ******************** 00412D67: 8B8D40B14000 mov ecx,dword ptr [ebp+0040B140] 00412D6D: 6A3D push 0000003D 00412D6F: 50 push eax 00412D70: 6A03 push 00000003 00412D72: 6A00 push 00000000 00412D74: 53 push ebx 00412D75: 51 push ecx 00412D76: FF9582BC4000 call dword ptr [ebp+0040BC82] <--RegSetValueExA 00412D7C: 663D0000 cmp ax,0000 00412D80: 7509 jnz 00412D8B 00412D82: 66C7855EB140000100 mov word ptr [ebp+0040B15E],0001 00412D8B: 8B8540B14000 mov eax,dword ptr [ebp+0040B140] 00412D91: 50 push eax 00412D92: FF957ABC4000 call dword ptr [ebp+0040BC7A] <--RegCloseKeyA 00412D98: 668B8567B44000 mov ax,word ptr [ebp+0040B467] <--41311A ******************** EE 82 ******************** 00412D9F: 8AE0 mov ah,al 00412DA1: BE60B14000 mov esi,0040B160 00412DA6: 03F5 add esi,ebp <--412DE13 00412DA8: B93D000000 mov ecx,0000003D 00412DAD: 51 push ecx 00412DAE: 8A06 mov al,byte ptr [esi] 00412DB0: 3C00 cmp al,00 00412DB2: 7402 jz 00412DB6 00412DB4: 32C4 xor al,ah 00412DB6: B104 mov cl,04 00412DB8: D2C8 ror al,cl 00412DBA: 8806 mov byte ptr [esi],al 00412DBC: 46 inc esi 00412DBD: 59 pop ecx 00412DBE: E2ED loop 00412DAD 00412DC0: 61 popad 00412DC1: 668B855EB14000 mov ax,word ptr [ebp+0040B15E] 00412DC8: C3 ret ************************************************************** -------------------------------非代码区---------------------------- 00412DC9: 0300 add eax,dword ptr [eax] 00412DCB: 0000 add byte ptr [eax],al 00412DCD: 3D00000077 cmp eax,77000000 00412DD2: 7269 jb 00412E3D 00412DD4: 66696C655C7368 imul bp,word ptr [ebp+5C],6873 00412DDB: 656C insb es:[edi],dx 00412DDD: 6C insb es:[edi],dx 00412DDE: 5C pop esp 00412DDF: 6F outsd dx,ds:[esi] 00412DE0: 7065 jo 00412E47 00412DE2: 6E outsb dx,ds:[esi] 00412DE3: 5C pop esp 00412DE4: 636F6D arpl word ptr [edi+6D],bp 00412DE7: 6D insd es:[edi],dx 00412DE8: 61 popad 00412DE9: 6E outsb dx,ds:[esi] 00412DEA: 645C pop esp 00412DEC: 636F6E arpl word ptr [edi+6E],bp 00412DEF: 666967000000 imul sp,word ptr [edi],0000 00412DF5: 0000 add byte ptr [eax],al 00412DF7: 0000 add byte ptr [eax],al 00412DF9: 0000 add byte ptr [eax],al 00412DFB: 0000 add byte ptr [eax],al 00412DFD: 0000 add byte ptr [eax],al 00412DFF: 0000 add byte ptr [eax],al 00412E01: 0000 add byte ptr [eax],al 00412E03: 91 xchg eax,ecx 00412E04: 808880B8809980 or byte ptr [eax-667F4780],80 00412E0B: EE out dx,al 00412E0C: 820000 add byte ptr [eax],00 00412E0F: 0000 add byte ptr [eax],al 00412E11: 0000 add byte ptr [eax],al 00412E13: 0000 add byte ptr [eax],al 00412E15: 0000 add byte ptr [eax],al 00412E17: 0000 add byte ptr [eax],al 00412E19: 0000 add byte ptr [eax],al 00412E1B: 0000 add byte ptr [eax],al 00412E1D: 0000 add byte ptr [eax],al 00412E1F: 0000 add byte ptr [eax],al 00412E21: 0000 add byte ptr [eax],al 00412E23: 0000 add byte ptr [eax],al 00412E25: 0000 add byte ptr [eax],al 00412E27: 0000 add byte ptr [eax],al 00412E29: 0000 add byte ptr [eax],al 00412E2B: 0000 add byte ptr [eax],al 00412E2D: 0000 add byte ptr [eax],al 00412E2F: 0000 add byte ptr [eax],al 00412E31: 0000 add byte ptr [eax],al 00412E33: 0000 add byte ptr [eax],al 00412E35: 0000 add byte ptr [eax],al 00412E37: 0000 add byte ptr [eax],al 00412E39: 0000 add byte ptr [eax],al 00412E3B: 0000 add byte ptr [eax],al 00412E3D: 0000 add byte ptr [eax],al 00412E3F: 0000 add byte ptr [eax],al 00412E41: 0000 add byte ptr [eax],al 00412E43: 0000 add byte ptr [eax],al 00412E45: 0000 add byte ptr [eax],al 00412E47: 0000 add byte ptr [eax],al 00412E49: 0000 add byte ptr [eax],al 00412E4B: 0000 add byte ptr [eax],al 00412E4D: 0000 add byte ptr [eax],al 00412E4F: 0000 add byte ptr [eax],al 00412E51: 0000 add byte ptr [eax],al 00412E53: 0000 add byte ptr [eax],al 00412E55: 0000 add byte ptr [eax],al 00412E57: 0000 add byte ptr [eax],al 00412E59: 0000 add byte ptr [eax],al 00412E5B: 0000 add byte ptr [eax],al 00412E5D: 0000 add byte ptr [eax],al 00412E5F: 0000 add byte ptr [eax],al 00412E61: 0000 add byte ptr [eax],al 00412E63: 0000 add byte ptr [eax],al 00412E65: 0000 add byte ptr [eax],al 00412E67: 0000 add byte ptr [eax],al 00412E69: 0000 add byte ptr [eax],al 00412E6B: 0000 add byte ptr [eax],al 00412E6D: 0000 add byte ptr [eax],al 00412E6F: 0000 add byte ptr [eax],al 00412E71: 0000 add byte ptr [eax],al 00412E73: 0000 add byte ptr [eax],al 00412E75: 0000 add byte ptr [eax],al 00412E77: 0000 add byte ptr [eax],al 00412E79: 0000 add byte ptr [eax],al 00412E7B: 0000 add byte ptr [eax],al 00412E7D: 0000 add byte ptr [eax],al 00412E7F: 0000 add byte ptr [eax],al 00412E81: 0000 add byte ptr [eax],al 00412E83: 0000 add byte ptr [eax],al 00412E85: 0000 add byte ptr [eax],al 00412E87: 0000 add byte ptr [eax],al 00412E89: 0000 add byte ptr [eax],al 00412E8B: 0000 add byte ptr [eax],al 00412E8D: 0000 add byte ptr [eax],al 00412E8F: 0000 add byte ptr [eax],al 00412E91: 0000 add byte ptr [eax],al 00412E93: 0000 add byte ptr [eax],al 00412E95: 0000 add byte ptr [eax],al 00412E97: 0000 add byte ptr [eax],al 00412E99: 0000 add byte ptr [eax],al 00412E9B: 0000 add byte ptr [eax],al 00412E9D: 0000 add byte ptr [eax],al 00412E9F: 0000 add byte ptr [eax],al 00412EA1: 0000 add byte ptr [eax],al 00412EA3: 0000 add byte ptr [eax],al 00412EA5: 0000 add byte ptr [eax],al 00412EA7: 0000 add byte ptr [eax],al 00412EA9: 0000 add byte ptr [eax],al 00412EAB: 0000 add byte ptr [eax],al 00412EAD: 0003 add byte ptr [ebx],al 00412EAF: 0000 add byte ptr [eax],al 00412EB1: 0029 add byte ptr [ecx],ch 00412EB3: 0000 add byte ptr [eax],al 00412EB5: 002A add byte ptr [edx],ch 00412EB7: 00494E add byte ptr [ecx+4E],cl 00412EBA: 5F pop edi 00412EBB: 43 inc ebx 00412EBC: 4F dec edi 00412EBD: 44 inc esp 00412EBE: 45 inc ebp 00412EBF: 0000 add byte ptr [eax],al 00412EC1: 0000 add byte ptr [eax],al 00412EC3: 0020 add byte ptr [eax],ah 00412EC5: 2020 and byte ptr [eax],ah 00412EC7: 2020 and byte ptr [eax],ah 00412EC9: 2020 and byte ptr [eax],ah 00412ECB: 2020 and byte ptr [eax],ah 00412ECD: 2020 and byte ptr [eax],ah 00412ECF: B1BE mov cl,BE 00412ED1: C8EDBCFE enter BCED,FE 00412ED5: D3C9 ror ecx,cl 00412ED7: 20BBC3D3B076 and byte ptr [ebx+76B0D3C3],bh 00412EDD: 312E xor dword ptr [esi],ebp 00412EDF: 3520CEB4D7 xor eax,D7B4CE20 00412EE4: A2B2E1B0E6 mov [E6B0E1B2],al 00412EE9: B1BE mov cl,BE 00412EEB: BCD3C3DC20 mov esp,20DCC3D3 00412EF0: 2020 and byte ptr [eax],ah 00412EF2: 2020 and byte ptr [eax],ah 00412EF4: 2032 and byte ptr [edx],dh 00412EF6: 37 aaa 00412EF7: 3133 xor dword ptr [ebx],esi 00412EF9: 3800 cmp byte ptr [eax],al 00412EFB: 0000 add byte ptr [eax],al 00412EFD: 0000 add byte ptr [eax],al 00412EFF: 0000 add byte ptr [eax],al 00412EE0: 20CE and dh,cl 00412EE2: B4D7 mov ah,D7 00412EE4: A2B2E1B0E6 mov [E6B0E1B2],al 00412EE9: B1BE mov cl,BE 00412EEB: BCD3C3DC20 mov esp,20DCC3D3 00412EF0: 2020 and byte ptr [eax],ah 00412EF2: 2020 and byte ptr [eax],ah 00412EF4: 2020 and byte ptr [eax],ah 00412EF6: 2020 and byte ptr [eax],ah 00412EF8: 2020 and byte ptr [eax],ah 00412EFA: 0D0A0D0A20 or eax,200A0D0A 00412EFF: 54 push esp 00412F00: 6869732070 push 70207369 00412F05: 726F jb 00412F76 00412F07: 677261 jb 00412F6B 00412F0A: 6D insd es:[edi],dx 00412F0B: 207072 and byte ptr [eax+72],dh 00412F0E: 6F outsd dx,ds:[esi] 00412F0F: 7465 jz 00412F76 00412F11: 63746564 arpl word ptr [ebp+64],si 00412F15: 206279 and byte ptr [edx+79],ah 00412F18: 20444250 and byte ptr [edx+eax*2+50],al 00412F1C: 45 inc ebp 00412F1D: 207631 and byte ptr [esi+31],dh 00412F20: 2E352020556E xor eax,6E552020 00412F26: 7265 jb 00412F8D 00412F28: 6769737465726564 imul esi,dword ptr [bp+di+74],64657265 00412F30: 207665 and byte ptr [esi+65],dh 00412F33: 7273 jb 00412FA8 00412F35: 696F6E0D0A0D0A imul ebp,dword ptr [edi+6E],0A0D0A0D 00412F3C: 0D0A0D0A20 or eax,200A0D0A 00412F41: 48 dec eax 00412F42: 6F outsd dx,ds:[esi] 00412F43: 6D insd es:[edi],dx 00412F44: 657061 jo 00412FA8 00412F47: 67653A20 cmp ah,byte ptr gs:[bx+si] 00412F4B: 687474703A push 3A707474 00412F50: 2F das 00412F51: 2F das 00412F52: 667364 jnb 00412FB9 00412F55: 622E bound ebp,dword ptr [esi] 00412F57: 7965 jns 00412FBE 00412F59: 61 popad 00412F5A: 682E6E6574 push 74656E2E 00412F5F: 2020 and byte ptr [eax],ah 00412F61: 2020 and byte ptr [eax],ah 00412F63: 45 inc ebp 00412F64: 2D6D61696C sub eax,6C69616D 00412F69: 3A20 cmp ah,byte ptr [eax] 00412F6B: 44 inc esp 00412F6C: 2E42 inc edx 00412F6E: 6F outsd dx,ds:[esi] 00412F6F: 7940 jns 00412FB1 00412F71: 3132 xor dword ptr [edx],esi 00412F73: 362E636F6D arpl word ptr cs:[edi+6D],bp 00412F78: 200D0A007C7C and byte ptr [7C7C000A],cl 00412F7E: 00D0 add al,dl 00412F80: 0000 add byte ptr [eax],al 00412F82: CC int 3 00412F83: 1000 adc byte ptr [eax],al 00412F85: 0000 add byte ptr [eax],al 00412F87: 0000 add byte ptr [eax],al 00412F89: 0000 add byte ptr [eax],al 00412F8B: 1000 adc byte ptr [eax],al 00412F8D: 0000 add byte ptr [eax],al 00412F8F: 40 inc eax 00412F90: 0000 add byte ptr [eax],al 00412F92: 005000 add byte ptr [eax],dl 00412F95: 0000 add byte ptr [eax],al 00412F97: 1000 adc byte ptr [eax],al 00412F99: 0000 add byte ptr [eax],al 00412F9B: 60 pushad 00412F9C: 0000 add byte ptr [eax],al 00412F9E: 0010 add byte ptr [eax],dl 00412FA0: 0000 add byte ptr [eax],al 00412FA2: 00C0 add al,al 00412FA4: 0000 add byte ptr [eax],al 00412FA6: 0010 add byte ptr [eax],dl 00412FA8: 0000 add byte ptr [eax],al 00412FAA: 0000 add byte ptr [eax],al 00412FAC: 0000 add byte ptr [eax],al 00412FAE: 0000 add byte ptr [eax],al 00412FB0: 0000 add byte ptr [eax],al 00412FB2: 0000 add byte ptr [eax],al 00412FB4: 0000 add byte ptr [eax],al 00412FB6: 0000 add byte ptr [eax],al 00412FB8: 0000 add byte ptr [eax],al 00412FBA: 0000 add byte ptr [eax],al 00412FBC: 0000 add byte ptr [eax],al 00412FBE: 0000 add byte ptr [eax],al 00412FC0: 0000 add byte ptr [eax],al 00412FC2: 0000 add byte ptr [eax],al 00412FC4: 0000 add byte ptr [eax],al 00412FC6: 0000 add byte ptr [eax],al 00412FC8: 0000 add byte ptr [eax],al 00412FCA: 0000 add byte ptr [eax],al 00412FCC: 0000 add byte ptr [eax],al 00412FCE: 0000 add byte ptr [eax],al 00412FD0: 0000 add byte ptr [eax],al 00412FD2: 0000 add byte ptr [eax],al 00412FD4: 0000 add byte ptr [eax],al 00412FD6: 0000 add byte ptr [eax],al 00412FD8: 0000 add byte ptr [eax],al 00412FDA: 0000 add byte ptr [eax],al 00412FDC: 0000 add byte ptr [eax],al 00412FDE: 0000 add byte ptr [eax],al 00412FE0: 0000 add byte ptr [eax],al 00412FE2: 0000 add byte ptr [eax],al 00412FE4: 0000 add byte ptr [eax],al 00412FE6: 0000 add byte ptr [eax],al 00412FE8: 0000 add byte ptr [eax],al 00412FEA: 0000 add byte ptr [eax],al 00412FEC: 0000 add byte ptr [eax],al 00412FEE: 0000 add byte ptr [eax],al 00412FF0: 0000 add byte ptr [eax],al 00412FF2: 0000 add byte ptr [eax],al 00412FF4: 0000 add byte ptr [eax],al 00412FF6: 0000 add byte ptr [eax],al 00412FF8: 0000 add byte ptr [eax],al 00412FFA: 0000 add byte ptr [eax],al 00412FFC: 0000 add byte ptr [eax],al 00412FFE: 0000 add byte ptr [eax],al 00413000: 0000 add byte ptr [eax],al 00413002: 0000 add byte ptr [eax],al 00413004: 0000 add byte ptr [eax],al 00413006: 0000 add byte ptr [eax],al 00413008: 0000 add byte ptr [eax],al 0041300A: 0000 add byte ptr [eax],al 0041300C: 0000 add byte ptr [eax],al 0041300E: 0000 add byte ptr [eax],al 00413010: 0000 add byte ptr [eax],al 00413012: 0000 add byte ptr [eax],al 00413014: 0000 add byte ptr [eax],al 00413016: 0000 add byte ptr [eax],al 00413018: 0000 add byte ptr [eax],al 0041301A: 0000 add byte ptr [eax],al 0041301C: 0000 add byte ptr [eax],al 0041301E: 0000 add byte ptr [eax],al 00413020: 0000 add byte ptr [eax],al 00413022: 0000 add byte ptr [eax],al 00413024: 0000 add byte ptr [eax],al 00413026: 0000 add byte ptr [eax],al 00413028: 0000 add byte ptr [eax],al 0041302A: 0000 add byte ptr [eax],al 0041302C: 0000 add byte ptr [eax],al 0041302E: 0000 add byte ptr [eax],al 00413030: 0000 add byte ptr [eax],al 00413032: 0000 add byte ptr [eax],al 00413034: 0000 add byte ptr [eax],al 00413036: 0000 add byte ptr [eax],al 00413038: 0000 add byte ptr [eax],al 0041303A: 0000 add byte ptr [eax],al 0041303C: 0000 add byte ptr [eax],al 0041303E: 0000 add byte ptr [eax],al 00413040: 0000 add byte ptr [eax],al 00413042: 0000 add byte ptr [eax],al 00413044: 0000 add byte ptr [eax],al 00413046: 0000 add byte ptr [eax],al 00413048: 0000 add byte ptr [eax],al 0041304A: 0000 add byte ptr [eax],al 0041304C: 0000 add byte ptr [eax],al 0041304E: 0000 add byte ptr [eax],al 00413050: 0000 add byte ptr [eax],al 00413052: 0000 add byte ptr [eax],al 00413054: 0000 add byte ptr [eax],al 00413056: 0000 add byte ptr [eax],al 00413058: 0000 add byte ptr [eax],al 0041305A: 0000 add byte ptr [eax],al 0041305C: 0000 add byte ptr [eax],al 0041305E: 0000 add byte ptr [eax],al 00413060: 0000 add byte ptr [eax],al 00413062: 0000 add byte ptr [eax],al 00413064: 0000 add byte ptr [eax],al 00413066: 0000 add byte ptr [eax],al 00413068: 0000 add byte ptr [eax],al 0041306A: 0000 add byte ptr [eax],al 0041306C: 0000 add byte ptr [eax],al 0041306E: 0000 add byte ptr [eax],al 00413070: 0000 add byte ptr [eax],al 00413072: 0000 add byte ptr [eax],al 00413074: 0000 add byte ptr [eax],al 00413076: 0000 add byte ptr [eax],al 00413078: 0000 add byte ptr [eax],al 0041307A: 0000 add byte ptr [eax],al 0041307C: 0000 add byte ptr [eax],al 0041307E: 0000 add byte ptr [eax],al 00413080: 0000 add byte ptr [eax],al 00413082: 0000 add byte ptr [eax],al 00413084: 0000 add byte ptr [eax],al 00413086: 0000 add byte ptr [eax],al 00413088: 0000 add byte ptr [eax],al 0041308A: 0000 add byte ptr [eax],al 0041308C: 0000 add byte ptr [eax],al 0041308E: 0000 add byte ptr [eax],al 00413090: 0000 add byte ptr [eax],al 00413092: 0000 add byte ptr [eax],al 00413094: 0000 add byte ptr [eax],al 00413096: 0000 add byte ptr [eax],al 00413098: 0000 add byte ptr [eax],al 0041309A: 0000 add byte ptr [eax],al 0041309C: 0000 add byte ptr [eax],al 0041309E: 0000 add byte ptr [eax],al 004130A0: 0000 add byte ptr [eax],al 004130A2: 0000 add byte ptr [eax],al 004130A4: 0000 add byte ptr [eax],al 004130A6: 0000 add byte ptr [eax],al 004130A8: 0000 add byte ptr [eax],al 004130AA: 0000 add byte ptr [eax],al 004130AC: 0000 add byte ptr [eax],al 004130AE: 0000 add byte ptr [eax],al 004130B0: 0000 add byte ptr [eax],al 004130B2: 0000 add byte ptr [eax],al 004130B4: 0000 add byte ptr [eax],al 004130B6: 0000 add byte ptr [eax],al 004130B8: 0000 add byte ptr [eax],al 004130BA: 0000 add byte ptr [eax],al 004130BC: 0000 add byte ptr [eax],al 004130BE: 0000 add byte ptr [eax],al 004130C0: 0000 add byte ptr [eax],al 004130C2: 0000 add byte ptr [eax],al 004130C4: 0000 add byte ptr [eax],al 004130C6: 0000 add byte ptr [eax],al 004130C8: 0000 add byte ptr [eax],al 004130CA: 0000 add byte ptr [eax],al 004130CC: 0000 add byte ptr [eax],al 004130CE: 0000 add byte ptr [eax],al 004130D0: 0000 add byte ptr [eax],al 004130D2: 0000 add byte ptr [eax],al 004130D4: 0000 add byte ptr [eax],al 004130D6: 0000 add byte ptr [eax],al 004130D8: 0000 add byte ptr [eax],al 004130DA: 0000 add byte ptr [eax],al 004130DC: 0000 add byte ptr [eax],al 004130DE: 0000 add byte ptr [eax],al 004130E0: 0000 add byte ptr [eax],al 004130E2: 0000 add byte ptr [eax],al 004130E4: 0000 add byte ptr [eax],al 004130E6: 0000 add byte ptr [eax],al 004130E8: 0000 add byte ptr [eax],al 004130EA: 0000 add byte ptr [eax],al 004130EC: 0000 add byte ptr [eax],al 004130EE: 0000 add byte ptr [eax],al 004130F0: 0000 add byte ptr [eax],al 004130F2: 0000 add byte ptr [eax],al 004130F4: 0000 add byte ptr [eax],al 004130F6: 0000 add byte ptr [eax],al 004130F8: 0000 add byte ptr [eax],al 004130FA: 0000 add byte ptr [eax],al 004130FC: 0000 add byte ptr [eax],al 004130FE: 0000 add byte ptr [eax],al 00413100: 0000 add byte ptr [eax],al 00413102: 0000 add byte ptr [eax],al 00413104: 0000 add byte ptr [eax],al 00413106: 0000 add byte ptr [eax],al 00413108: 0000 add byte ptr [eax],al 0041310A: 0000 add byte ptr [eax],al 0041310C: 0000 add byte ptr [eax],al 0041310E: 0000 add byte ptr [eax],al 00413110: 0000 add byte ptr [eax],al 00413112: 0000 add byte ptr [eax],al 00413114: 0000 add byte ptr [eax],al 00413116: 0000 add byte ptr [eax],al 00413118: 0000 add byte ptr [eax],al 0041311A: EE out dx,al 0041311B: 820060 add byte ptr [eax],60 0041311E: 0000 add byte ptr [eax],al 00413120: 00C0 add al,al 00413122: 0000 add byte ptr [eax],al 00413124: 0000 add byte ptr [eax],al 00413126: 0000 add byte ptr [eax],al 00413128: 0000 add byte ptr [eax],al 0041312A: 0000 add byte ptr [eax],al 0041312C: 0000 add byte ptr [eax],al 0041312E: 40 inc eax 0041312F: 0000 add byte ptr [eax],al 00413131: 0000 add byte ptr [eax],al 00413133: 00D0 add al,dl 00413135: 07 pop es 00413136: 0000 add byte ptr [eax],al 00413138: 0A00 or al,byte ptr [eax] 0041313A: 0000 add byte ptr [eax],al 0041313C: 640000 add byte ptr fs:[eax],al 0041313F: 00443A5C add byte ptr [edx+edi+5C],al 00413143: 54 push esp 00413144: 45 inc ebp 00413145: 4D dec ebp 00413146: 50 push eax 00413147: 5C pop esp 00413148: 64627065 bound esi,dword ptr fs:[eax+65] 0041314C: 5C pop esp 0041314D: 54 push esp 0041314E: 45 inc ebp 0041314F: 53 push ebx 00413150: 54 push esp 00413151: 5C pop esp 00413152: 54 push esp 00413153: 45 inc ebp 00413154: 53 push ebx 00413155: 54 push esp 00413156: 37 aaa 00413157: 5C pop esp 00413158: 44 inc esp 00413159: 42 inc edx 0041315A: 4E dec esi 0041315B: 6F outsd dx,ds:[esi] 0041315C: 7465 jz 004131C3 0041315E: 2E45 inc ebp 00413160: 58 pop eax 00413161: 45 inc ebp 00413162: 0000 add byte ptr [eax],al 00413164: 0000 add byte ptr [eax],al 00413166: 0000 add byte ptr [eax],al 00413168: 0000 add byte ptr [eax],al 0041316A: 0000 add byte ptr [eax],al 0041316C: 0000 add byte ptr [eax],al 0041316E: 0000 add byte ptr [eax],al 00413170: 0000 add byte ptr [eax],al 00413172: 0000 add byte ptr [eax],al 00413174: 0000 add byte ptr [eax],al 00413176: 0000 add byte ptr [eax],al 00413178: 0000 add byte ptr [eax],al 0041317A: 0000 add byte ptr [eax],al 0041317C: 0000 add byte ptr [eax],al 0041317E: 0000 add byte ptr [eax],al 00413180: 0000 add byte ptr [eax],al 00413182: 0000 add byte ptr [eax],al 00413184: 0000 add byte ptr [eax],al 00413186: 0000 add byte ptr [eax],al 00413188: 0000 add byte ptr [eax],al 0041318A: 0000 add byte ptr [eax],al 0041318C: 0000 add byte ptr [eax],al 0041318E: 0000 add byte ptr [eax],al 00413190: 0000 add byte ptr [eax],al 00413192: 0000 add byte ptr [eax],al 00413194: 0000 add byte ptr [eax],al 00413196: 0000 add byte ptr [eax],al 00413198: 0000 add byte ptr [eax],al 0041319A: 0000 add byte ptr [eax],al 0041319C: 0000 add byte ptr [eax],al 0041319E: 0000 add byte ptr [eax],al 004131A0: 0000 add byte ptr [eax],al 004131A2: 0000 add byte ptr [eax],al 004131A4: 2020 and byte ptr [eax],ah 004131A6: 2020 and byte ptr [eax],ah 004131A8: BBB6D3AD20 mov ebx,20ADD3B6 004131AD: 205E5F and byte ptr [esi+5F],bl 004131B0: 5E pop esi 004131B1: 0000 add byte ptr [eax],al 004131B3: 0000 add byte ptr [eax],al 004131B5: 0000 add byte ptr [eax],al 004131B7: 0000 add byte ptr [eax],al 004131B9: 0000 add byte ptr [eax],al 004131BB: 0000 add byte ptr [eax],al 004131BD: 0000 add byte ptr [eax],al 004131BF: 0000 add byte ptr [eax],al 004131C1: 0000 add byte ptr [eax],al 004131C3: 0000 add byte ptr [eax],al 004131C5: 0000 add byte ptr [eax],al 004131C7: 0000 add byte ptr [eax],al 004131C9: 0000 add byte ptr [eax],al 004131CB: 0000 add byte ptr [eax],al 004131CD: 0000 add byte ptr [eax],al 004131CF: 0020 add byte ptr [eax],ah 004131D1: 2020 and byte ptr [eax],ah 004131D3: 2020 and byte ptr [eax],ah 004131D5: 3237 xor dh,byte ptr [edi] 004131D7: 3133 xor dword ptr [ebx],esi 004131D9: 3800 cmp byte ptr [eax],al 004131DB: 0000 add byte ptr [eax],al 004131DD: 0000 add byte ptr [eax],al 004131DF: 0000 add byte ptr [eax],al 004131C0: 0000 add byte ptr [eax],al 004131C2: 0000 add byte ptr [eax],al 004131C4: 0000 add byte ptr [eax],al 004131C6: 0000 add byte ptr [eax],al 004131C8: 0000 add byte ptr [eax],al 004131CA: 0000 add byte ptr [eax],al 004131CC: 0000 add byte ptr [eax],al 004131CE: 0000 add byte ptr [eax],al 004131D0: 0000 add byte ptr [eax],al 004131D2: 0000 add byte ptr [eax],al 004131D4: 0000 add byte ptr [eax],al 004131D6: 0000 add byte ptr [eax],al 004131D8: 0000 add byte ptr [eax],al 004131DA: 0000 add byte ptr [eax],al 004131DC: 0000 add byte ptr [eax],al 004131DE: 0000 add byte ptr [eax],al 004131E0: 0000 add byte ptr [eax],al 004131E2: 0000 add byte ptr [eax],al 004131E4: 0000 add byte ptr [eax],al 004131E6: 0000 add byte ptr [eax],al 004131E8: 0000 add byte ptr [eax],al 004131EA: 0000 add byte ptr [eax],al 004131EC: 0000 add byte ptr [eax],al 004131EE: 0000 add byte ptr [eax],al 004131F0: 0000 add byte ptr [eax],al 004131F2: 0000 add byte ptr [eax],al 004131F4: 0000 add byte ptr [eax],al 004131F6: 0000 add byte ptr [eax],al 004131F8: 0000 add byte ptr [eax],al 004131FA: 0000 add byte ptr [eax],al 004131FC: 0000 add byte ptr [eax],al 004131FE: 0000 add byte ptr [eax],al 00413200: 0000 add byte ptr [eax],al 00413202: 0000 add byte ptr [eax],al 00413204: 0000 add byte ptr [eax],al 00413206: 0000 add byte ptr [eax],al 00413208: 0000 add byte ptr [eax],al 0041320A: 0000 add byte ptr [eax],al 0041320C: 0000 add byte ptr [eax],al 0041320E: 0000 add byte ptr [eax],al 00413210: 0000 add byte ptr [eax],al 00413212: 0000 add byte ptr [eax],al 00413214: 0000 add byte ptr [eax],al 00413216: 0000 add byte ptr [eax],al 00413218: 0000 add byte ptr [eax],al 0041321A: 0000 add byte ptr [eax],al 0041321C: 0000 add byte ptr [eax],al 0041321E: 0000 add byte ptr [eax],al 00413220: 0000 add byte ptr [eax],al 00413222: 0000 add byte ptr [eax],al 00413224: 0000 add byte ptr [eax],al 00413226: 0000 add byte ptr [eax],al 00413228: 0000 add byte ptr [eax],al 0041322A: 0000 add byte ptr [eax],al 0041322C: 0000 add byte ptr [eax],al 0041322E: 0000 add byte ptr [eax],al 00413230: 0000 add byte ptr [eax],al 00413232: 0000 add byte ptr [eax],al 00413234: 0000 add byte ptr [eax],al 00413236: 0000 add byte ptr [eax],al 00413238: 0000 add byte ptr [eax],al 0041323A: 0000 add byte ptr [eax],al 0041323C: 0000 add byte ptr [eax],al 0041323E: 0000 add byte ptr [eax],al 00413240: 0000 add byte ptr [eax],al 00413242: 0000 add byte ptr [eax],al 00413244: 0000 add byte ptr [eax],al 00413246: 0000 add byte ptr [eax],al 00413248: 0000 add byte ptr [eax],al 0041324A: 0000 add byte ptr [eax],al 0041324C: 0000 add byte ptr [eax],al 0041324E: 0000 add byte ptr [eax],al 00413250: 0000 add byte ptr [eax],al 00413252: 0000 add byte ptr [eax],al 00413254: 0000 add byte ptr [eax],al 00413256: 0000 add byte ptr [eax],al 00413258: 0000 add byte ptr [eax],al 0041325A: 0000 add byte ptr [eax],al 0041325C: 0000 add byte ptr [eax],al 0041325E: 0000 add byte ptr [eax],al 00413260: 0000 add byte ptr [eax],al 00413262: 0000 add byte ptr [eax],al 00413264: 0000 add byte ptr [eax],al 00413266: 0000 add byte ptr [eax],al 00413268: 0000 add byte ptr [eax],al 0041326A: 0000 add byte ptr [eax],al 0041326C: 0000 add byte ptr [eax],al 0041326E: 0000 add byte ptr [eax],al 00413270: 0000 add byte ptr [eax],al 00413272: 0000 add byte ptr [eax],al 00413274: 0000 add byte ptr [eax],al 00413276: 0000 add byte ptr [eax],al 00413278: 0000 add byte ptr [eax],al 0041327A: 0000 add byte ptr [eax],al 0041327C: 0000 add byte ptr [eax],al 0041327E: 0000 add byte ptr [eax],al 00413280: 0000 add byte ptr [eax],al 00413282: 0000 add byte ptr [eax],al 00413284: 0000 add byte ptr [eax],al 00413286: 0000 add byte ptr [eax],al 00413288: 0000 add byte ptr [eax],al 0041328A: 0000 add byte ptr [eax],al 0041328C: 0000 add byte ptr [eax],al 0041328E: 0000 add byte ptr [eax],al 00413290: 0000 add byte ptr [eax],al 00413292: 0000 add byte ptr [eax],al 00413294: 0000 add byte ptr [eax],al 00413296: 0000 add byte ptr [eax],al 00413298: 0000 add byte ptr [eax],al 0041329A: 0000 add byte ptr [eax],al 0041329C: 0000 add byte ptr [eax],al 0041329E: 0000 add byte ptr [eax],al 004132A0: 0000 add byte ptr [eax],al 004132A2: 0000 add byte ptr [eax],al 004132A4: 0000 add byte ptr [eax],al 004132A6: 0000 add byte ptr [eax],al 004132A8: 0000 add byte ptr [eax],al 004132AA: 0000 add byte ptr [eax],al 004132AC: 0000 add byte ptr [eax],al 004132AE: 0000 add byte ptr [eax],al 004132B0: 0000 add byte ptr [eax],al 004132B2: 0000 add byte ptr [eax],al 004132B4: 0000 add byte ptr [eax],al 004132B6: 0000 add byte ptr [eax],al 004132B8: 0000 add byte ptr [eax],al 004132BA: 0000 add byte ptr [eax],al 004132BC: 0000 add byte ptr [eax],al 004132BE: 0000 add byte ptr [eax],al 004132C0: 0000 add byte ptr [eax],al 004132C2: 0000 add byte ptr [eax],al 004132C4: 0000 add byte ptr [eax],al 004132C6: 0000 add byte ptr [eax],al 004132C8: 0000 add byte ptr [eax],al 004132CA: 0000 add byte ptr [eax],al 004132CC: 0000 add byte ptr [eax],al 004132CE: 0000 add byte ptr [eax],al 004132D0: 2020 and byte ptr [eax],ah 004132D2: 2020 and byte ptr [eax],ah 004132D4: 2020 and byte ptr [eax],ah 004132D6: 2020 and byte ptr [eax],ah 004132D8: 2020 and byte ptr [eax],ah 004132DA: CAD4D3 retf D3D4 004132DD: C3 ret 004132DE: C6DAD2 mov dl,D2 004132E1: D1B9FDA1A320 sar dword ptr [ecx+20A3A1FD],1 004132E7: 0D0A0D0A00 or eax,000A0D0A 004132EC: 0000 add byte ptr [eax],al 004132EE: 0000 add byte ptr [eax],al 004132F0: 0000 add byte ptr [eax],al 004132F2: 0000 add byte ptr [eax],al 004132F4: 0000 add byte ptr [eax],al 004132F6: 0000 add byte ptr [eax],al 004132F8: 0000 add byte ptr [eax],al 004132FA: 0000 add byte ptr [eax],al 004132FC: 0000 add byte ptr [eax],al 004132FE: 0000 add byte ptr [eax],al 00413300: 0000 add byte ptr [eax],al 00413302: 0000 add byte ptr [eax],al 00413304: 0000 add byte ptr [eax],al 00413306: 0000 add byte ptr [eax],al 00413308: 0000 add byte ptr [eax],al 0041330A: 0000 add byte ptr [eax],al 0041330C: 0000 add byte ptr [eax],al 0041330E: 0000 add byte ptr [eax],al 00413310: 0000 add byte ptr [eax],al 00413312: 0000 add byte ptr [eax],al 00413314: 0000 add byte ptr [eax],al 00413316: 0000 add byte ptr [eax],al 00413318: 0000 add byte ptr [eax],al 0041331A: 0000 add byte ptr [eax],al 0041331C: 0000 add byte ptr [eax],al 0041331E: 0000 add byte ptr [eax],al 00413320: 0000 add byte ptr [eax],al 00413322: 0000 add byte ptr [eax],al 00413324: 0000 add byte ptr [eax],al 00413326: 0000 add byte ptr [eax],al 00413328: 0000 add byte ptr [eax],al 0041332A: 0000 add byte ptr [eax],al 0041332C: 0000 add byte ptr [eax],al 0041332E: 0000 add byte ptr [eax],al 00413330: 0000 add byte ptr [eax],al 00413332: 0000 add byte ptr [eax],al 00413334: 0000 add byte ptr [eax],al 00413336: 0000 add byte ptr [eax],al 00413338: 0000 add byte ptr [eax],al 0041333A: 0000 add byte ptr [eax],al 0041333C: 0000 add byte ptr [eax],al 0041333E: 0000 add byte ptr [eax],al 00413340: 0000 add byte ptr [eax],al 00413342: 0000 add byte ptr [eax],al 00413344: 0000 add byte ptr [eax],al 00413346: 0000 add byte ptr [eax],al 00413348: 0000 add byte ptr [eax],al 0041334A: 0000 add byte ptr [eax],al 0041334C: 0000 add byte ptr [eax],al 0041334E: 0000 add byte ptr [eax],al 00413350: 0000 add byte ptr [eax],al 00413352: 0000 add byte ptr [eax],al 00413354: 0000 add byte ptr [eax],al 00413356: 0000 add byte ptr [eax],al 00413358: 0000 add byte ptr [eax],al 0041335A: 0000 add byte ptr [eax],al 0041335C: 0000 add byte ptr [eax],al 0041335E: 0000 add byte ptr [eax],al 00413360: 0000 add byte ptr [eax],al 00413362: 0000 add byte ptr [eax],al 00413364: 0000 add byte ptr [eax],al 00413366: 0000 add byte ptr [eax],al 00413368: 0000 add byte ptr [eax],al 0041336A: 0000 add byte ptr [eax],al 0041336C: 0000 add byte ptr [eax],al 0041336E: 0000 add byte ptr [eax],al 00413370: 0000 add byte ptr [eax],al 00413372: 0000 add byte ptr [eax],al 00413374: 0000 add byte ptr [eax],al 00413376: 0000 add byte ptr [eax],al 00413378: 0000 add byte ptr [eax],al 0041337A: 0000 add byte ptr [eax],al 0041337C: 0000 add byte ptr [eax],al 0041337E: 0000 add byte ptr [eax],al 00413380: 0000 add byte ptr [eax],al 00413382: 0000 add byte ptr [eax],al 00413384: 0000 add byte ptr [eax],al 00413386: 0000 add byte ptr [eax],al 00413388: 0000 add byte ptr [eax],al 0041338A: 0000 add byte ptr [eax],al 0041338C: 0000 add byte ptr [eax],al 0041338E: 0000 add byte ptr [eax],al 00413390: 0000 add byte ptr [eax],al 00413392: 0000 add byte ptr [eax],al 00413394: 0000 add byte ptr [eax],al 00413396: 0000 add byte ptr [eax],al 00413398: 0000 add byte ptr [eax],al 0041339A: 0000 add byte ptr [eax],al 0041339C: 0000 add byte ptr [eax],al 0041339E: 0000 add byte ptr [eax],al 004133A0: 0000 add byte ptr [eax],al 004133A2: 0000 add byte ptr [eax],al 004133A4: 0000 add byte ptr [eax],al 004133A6: 0000 add byte ptr [eax],al 004133A8: 0000 add byte ptr [eax],al 004133AA: 0000 add byte ptr [eax],al 004133AC: 0000 add byte ptr [eax],al 004133AE: 0000 add byte ptr [eax],al 004133B0: 0000 add byte ptr [eax],al 004133B2: 0000 add byte ptr [eax],al 004133B4: 0000 add byte ptr [eax],al 004133B6: 0000 add byte ptr [eax],al 004133B8: 0000 add byte ptr [eax],al 004133BA: 0000 add byte ptr [eax],al 004133BC: 0000 add byte ptr [eax],al 004133BE: 0000 add byte ptr [eax],al 004133C0: 0000 add byte ptr [eax],al 004133C2: 0000 add byte ptr [eax],al 004133C4: 0000 add byte ptr [eax],al 004133C6: 0000 add byte ptr [eax],al 004133C8: 0000 add byte ptr [eax],al 004133CA: 0000 add byte ptr [eax],al 004133CC: 0000 add byte ptr [eax],al 004133CE: 0000 add byte ptr [eax],al 004133D0: 0000 add byte ptr [eax],al 004133D2: 0000 add byte ptr [eax],al 004133D4: 0000 add byte ptr [eax],al 004133D6: 0000 add byte ptr [eax],al 004133D8: 0000 add byte ptr [eax],al 004133DA: 0000 add byte ptr [eax],al 004133DC: 0000 add byte ptr [eax],al 004133DE: 0000 add byte ptr [eax],al 004133E0: 0000 add byte ptr [eax],al 004133E2: 0000 add byte ptr [eax],al 004133E4: 0000 add byte ptr [eax],al 004133E6: 0000 add byte ptr [eax],al 004133E8: 0000 add byte ptr [eax],al 004133EA: 0000 add byte ptr [eax],al 004133EC: 0000 add byte ptr [eax],al 004133EE: 0000 add byte ptr [eax],al 004133F0: 0000 add byte ptr [eax],al 004133F2: 0000 add byte ptr [eax],al 004133F4: 0000 add byte ptr [eax],al 004133F6: 0000 add byte ptr [eax],al 004133F8: 0000 add byte ptr [eax],al 004133FA: 0000 add byte ptr [eax],al 004133FC: 6C insb es:[edi],dx 004133FD: 6A74 push 00000074 004133FF: 6C insb es:[edi],dx 00413400: 6A74 push 00000074 00413402: 0000 add byte ptr [eax],al 00413404: 0000 add byte ptr [eax],al 00413406: 0000 add byte ptr [eax],al 00413408: 0000 add byte ptr [eax],al 0041340A: 0000 add byte ptr [eax],al 0041340C: 0000 add byte ptr [eax],al 0041340E: 0000 add byte ptr [eax],al 00413410: D20400 rol byte ptr [eax+eax],cl 00413413: 0001 add byte ptr [ecx],al 00413415: 0000 add byte ptr [eax],al 00413417: 0020 add byte ptr [eax],ah 00413419: 2020 and byte ptr [eax],ah 0041341B: 2020 and byte ptr [eax],ah 0041341D: 2020 and byte ptr [eax],ah 0041341F: 2020 and byte ptr [eax],ah 00413421: 2020 and byte ptr [eax],ah 00413423: 2020 and byte ptr [eax],ah 00413425: 2020 and byte ptr [eax],ah 00413427: 2020 and byte ptr [eax],ah 00413429: BBB6D3ADC4 mov ebx,C4ADD3B6 0041342E: E3CA jecxz 004133FA 00413430: B9D3C3BBC3 mov ecx,C3BBC3D3 00413435: D3B020312E35 shl dword ptr [eax+352E3120],cl 0041343B: 206265 and byte ptr [edx+65],ah 0041343E: 7461 jz 004134A1 00413440: 32A3AC0D0A0D xor ah,byte ptr [ebx+0D0A0DAC] 00413446: 0A20 or ah,byte ptr [eax] 00413448: 2020 and byte ptr [eax],ah 0041344A: BBC3D3B076 mov ebx,76B0D3C3 0041344F: 312E xor dword ptr [esi],ebp 00413451: 35CAC7B9B2 xor eax,B2B9C7CA 00413456: CF iretd 00413457: ED in eax,dx 00413458: C8EDBCFE enter BCED,FE 0041345C: A3ACC8E7B9 mov [B9E7C8AC],eax 00413461: FB sti 00413462: C4E3 les esp,(Invalid)bx 00413464: CF iretd 00413465: B2BB mov dl,BB 00413467: B6CB mov dh,CB 00413469: FC cld 0041346A: A3ACCFA3CD mov [CDA3CFAC],eax 0041346F: FB sti 00413470: C4E3 les esp,(Invalid)bx 00413472: D7 xlat 00413473: A2B2E1A1A3 mov [A3A1E1B2],al 00413478: 200D0A0D0A20 and byte ptr [200A0D0A],cl 0041347E: 2020 and byte ptr [eax],ah 00413480: 2020 and byte ptr [eax],ah 00413482: 2020 and byte ptr [eax],ah 00413484: 2020 and byte ptr [eax],ah 00413486: 2020 and byte ptr [eax],ah 00413488: 2020 and byte ptr [eax],ah 0041348A: 2020 and byte ptr [eax],ah 0041348C: 2020 and byte ptr [eax],ah 0041348E: 200D0A0D0A20 and byte ptr [200A0D0A],cl 00413494: 2020 and byte ptr [eax],ah 00413496: 2020 and byte ptr [eax],ah 00413498: 2020 and byte ptr [eax],ah 0041349A: 2020 and byte ptr [eax],ah 0041349C: 2020 and byte ptr [eax],ah 0041349E: 2020 and byte ptr [eax],ah 004134A0: 2020 and byte ptr [eax],ah 004134A2: 2020 and byte ptr [eax],ah 004134A4: 2020 and byte ptr [eax],ah 004134A6: 45 inc ebp 004134A7: 2D6D61696C sub eax,6C69616D 004134AC: 2020 and byte ptr [eax],ah 004134AE: 203A and byte ptr [edx],bh 004134B0: 2020 and byte ptr [eax],ah 004134B2: 2020 and byte ptr [eax],ah 004134B4: 2032 and byte ptr [edx],dh 004134B6: 37 aaa 004134B7: 3133 xor dword ptr [ebx],esi 004134B9: 3800 cmp byte ptr [eax],al 004134BB: 0000 add byte ptr [eax],al 004134BD: 0000 add byte ptr [eax],al 004134BF: 0000 add byte ptr [eax],al 004134A0: 2020 and byte ptr [eax],ah 004134A2: 2020 and byte ptr [eax],ah 004134A4: 2020 and byte ptr [eax],ah 004134A6: 45 inc ebp 004134A7: 2D6D61696C sub eax,6C69616D 004134AC: 2020 and byte ptr [eax],ah 004134AE: 203A and byte ptr [edx],bh 004134B0: 2064696E and byte ptr [ecx+ebp*2+6E],ah 004134B4: 672D626F7940 sub eax,40796F62 004134BA: 6E outsb dx,ds:[esi] 004134BB: 657465 jz 00413523 004134BE: 61 popad 004134BF: 7365 jnb 00413526 004134C1: 2E636F6D arpl word ptr cs:[edi+6D],bp 004134C5: 200D0A202020 and byte ptr [2020200A],cl 004134CB: 2020 and byte ptr [eax],ah 004134CD: 2020 and byte ptr [eax],ah 004134CF: 2020 and byte ptr [eax],ah 004134D1: 2020 and byte ptr [eax],ah 004134D3: 2020 and byte ptr [eax],ah 004134D5: 2020 and byte ptr [eax],ah 004134D7: 2020 and byte ptr [eax],ah 004134D9: 2020 and byte ptr [eax],ah 004134DB: 48 dec eax 004134DC: 6F outsd dx,ds:[esi] 004134DD: 6D insd es:[edi],dx 004134DE: 657061 jo 00413542 004134E1: 6765203A and byte ptr gs:[bp+si],bh 004134E5: 206874 and byte ptr [eax+74],ch 004134E8: 7470 jz 0041355A 004134EA: 3A2F cmp ch,byte ptr [edi] 004134EC: 2F das 004134ED: 667364 jnb 00413554 004134F0: 622E bound ebp,dword ptr [esi] 004134F2: 7965 jns 00413559 004134F4: 61 popad 004134F5: 682E6E6574 push 74656E2E 004134FA: 2020 and byte ptr [eax],ah 004134FC: 2020 and byte ptr [eax],ah 004134FE: 2020 and byte ptr [eax],ah 00413500: 2020 and byte ptr [eax],ah 00413502: 2020 and byte ptr [eax],ah 00413504: 2020 and byte ptr [eax],ah 00413506: 200D0A0D0A00 and byte ptr [000A0D0A],cl 0041350C: 0000 add byte ptr [eax],al 0041350E: 0000 add byte ptr [eax],al 00413510: 0000 add byte ptr [eax],al 00413512: 0000 add byte ptr [eax],al 00413514: 0000 add byte ptr [eax],al 00413516: 0000 add byte ptr [eax],al 00413518: 0000 add byte ptr [eax],al 0041351A: 0000 add byte ptr [eax],al 0041351C: 0000 add byte ptr [eax],al 0041351E: 0000 add byte ptr [eax],al 00413520: 0000 add byte ptr [eax],al 00413522: 0000 add byte ptr [eax],al 00413524: 0000 add byte ptr [eax],al 00413526: 0000 add byte ptr [eax],al 00413528: 0000 add byte ptr [eax],al 0041352A: 0000 add byte ptr [eax],al 0041352C: 0000 add byte ptr [eax],al 0041352E: 0000 add byte ptr [eax],al 00413530: 0000 add byte ptr [eax],al 00413532: 0000 add byte ptr [eax],al 00413534: 0000 add byte ptr [eax],al 00413536: 0000 add byte ptr [eax],al 00413538: 0000 add byte ptr [eax],al 0041353A: 0000 add byte ptr [eax],al 0041353C: 0000 add byte ptr [eax],al 0041353E: 0000 add byte ptr [eax],al 00413540: 0000 add byte ptr [eax],al 00413542: 0000 add byte ptr [eax],al 00413544: 49 dec ecx 00413545: 6E outsb dx,ds:[esi] 00413546: 7661 jbe 004135A9 00413548: 6C insb es:[edi],dx 00413549: 6964202050617373 imul esp,dword ptr [eax+20],73736150 00413551: 57 push edi 00413552: 6F outsd dx,ds:[esi] 00413553: 7264 jb 004135B9 00413555: 0000 add byte ptr [eax],al 00413557: 0000 add byte ptr [eax],al 00413559: 0000 add byte ptr [eax],al 0041355B: 0000 add byte ptr [eax],al 0041355D: 0000 add byte ptr [eax],al 0041355F: 0000 add byte ptr [eax],al 00413561: 0000 add byte ptr [eax],al 00413563: 0000 add byte ptr [eax],al 00413565: 0000 add byte ptr [eax],al 00413567: 0000 add byte ptr [eax],al 00413569: 0000 add byte ptr [eax],al 0041356B: 0000 add byte ptr [eax],al 0041356D: 0000 add byte ptr [eax],al 0041356F: 0000 add byte ptr [eax],al 00413571: 0000 add byte ptr [eax],al 00413573: 0000 add byte ptr [eax],al 00413575: 0000 add byte ptr [eax],al 00413577: 0000 add byte ptr [eax],al 00413579: 0000 add byte ptr [eax],al 0041357B: 0000 add byte ptr [eax],al 0041357D: 0000 add byte ptr [eax],al 0041357F: 0000 add byte ptr [eax],al 00413581: 0000 add byte ptr [eax],al 00413583: 0000 add byte ptr [eax],al 00413585: 0000 add byte ptr [eax],al 00413587: 0000 add byte ptr [eax],al 00413589: 0000 add byte ptr [eax],al 0041358B: 0000 add byte ptr [eax],al 0041358D: 0000 add byte ptr [eax],al 0041358F: 0000 add byte ptr [eax],al 00413591: 0000 add byte ptr [eax],al 00413593: 0000 add byte ptr [eax],al 00413595: 0000 add byte ptr [eax],al 00413597: 0000 add byte ptr [eax],al 00413599: 0000 add byte ptr [eax],al 0041359B: 0000 add byte ptr [eax],al 0041359D: 0000 add byte ptr [eax],al 0041359F: 0000 add byte ptr [eax],al 004135A1: 0000 add byte ptr [eax],al 004135A3: 0000 add byte ptr [eax],al 004135A5: 0000 add byte ptr [eax],al 004135A7: 005265 add byte ptr [edx+65],dl 004135AA: 6769737465722053 imul esi,dword ptr [bp+di+74],53207265 004135B2: 7563 jnz 00413617 004135B4: 636573 arpl word ptr [ebp+73],sp 004135B7: 7366 jnb 0041361F 004135B9: 756C jnz 00413627 004135BB: 6C insb es:[edi],dx 004135BC: 7900 jns 004135BE 004135BE: 0000 add byte ptr [eax],al 004135C0: 0000 add byte ptr [eax],al 004135C2: 0000 add byte ptr [eax],al 004135C4: 0000 add byte ptr [eax],al 004135C6: 0000 add byte ptr [eax],al 004135C8: 0000 add byte ptr [eax],al 004135CA: 0000 add byte ptr [eax],al 004135CC: 0000 add byte ptr [eax],al 004135CE: 0000 add byte ptr [eax],al 004135D0: 0000 add byte ptr [eax],al 004135D2: 0000 add byte ptr [eax],al 004135D4: 0000 add byte ptr [eax],al 004135D6: 0000 add byte ptr [eax],al 004135D8: 0000 add byte ptr [eax],al 004135DA: 0000 add byte ptr [eax],al 004135DC: 0000 add byte ptr [eax],al 004135DE: 0000 add byte ptr [eax],al 004135E0: 0000 add byte ptr [eax],al 004135E2: 0000 add byte ptr [eax],al 004135E4: 0000 add byte ptr [eax],al 004135E6: 0000 add byte ptr [eax],al 004135E8: 0000 add byte ptr [eax],al 004135EA: 0000 add byte ptr [eax],al 004135EC: 0000 add byte ptr [eax],al 004135EE: 0000 add byte ptr [eax],al 004135F0: 0000 add byte ptr [eax],al 004135F2: 0000 add byte ptr [eax],al 004135F4: 0000 add byte ptr [eax],al 004135F6: 0000 add byte ptr [eax],al 004135F8: 0000 add byte ptr [eax],al 004135FA: 0000 add byte ptr [eax],al 004135FC: 0000 add byte ptr [eax],al 004135FE: 0000 add byte ptr [eax],al 00413600: 0000 add byte ptr [eax],al 00413602: 0000 add byte ptr [eax],al 00413604: 0000 add byte ptr [eax],al 00413606: 0000 add byte ptr [eax],al 00413608: 0000 add byte ptr [eax],al 0041360A: 0000 add byte ptr [eax],al 0041360C: 49 dec ecx 0041360D: 6E outsb dx,ds:[esi] 0041360E: 7661 jbe 00413671 00413610: 6C insb es:[edi],dx 00413611: 6964205365726961 imul esp,dword ptr [eax+53],61697265 00413619: 6C insb es:[edi],dx 0041361A: 204E4F and byte ptr [esi+4F],cl 0041361D: 0000 add byte ptr [eax],al 0041361F: 0000 add byte ptr [eax],al 00413621: 0000 add byte ptr [eax],al 00413623: 0000 add byte ptr [eax],al 00413625: 0000 add byte ptr [eax],al 00413627: 0000 add byte ptr [eax],al 00413629: 0000 add byte ptr [eax],al 0041362B: 0000 add byte ptr [eax],al 0041362D: 0000 add byte ptr [eax],al 0041362F: 0000 add byte ptr [eax],al 00413631: 0000 add byte ptr [eax],al 00413633: 0000 add byte ptr [eax],al 00413635: 0000 add byte ptr [eax],al 00413637: 0000 add byte ptr [eax],al 00413639: 0000 add byte ptr [eax],al 0041363B: 0000 add byte ptr [eax],al 0041363D: 0000 add byte ptr [eax],al 0041363F: 0000 add byte ptr [eax],al 00413641: 0000 add byte ptr [eax],al 00413643: 0000 add byte ptr [eax],al 00413645: 0000 add byte ptr [eax],al 00413647: 0000 add byte ptr [eax],al 00413649: 0000 add byte ptr [eax],al 0041364B: 0000 add byte ptr [eax],al 0041364D: 0000 add byte ptr [eax],al 0041364F: 0000 add byte ptr [eax],al 00413651: 0000 add byte ptr [eax],al 00413653: 0000 add byte ptr [eax],al 00413655: 0000 add byte ptr [eax],al 00413657: 0000 add byte ptr [eax],al 00413659: 0000 add byte ptr [eax],al 0041365B: 0000 add byte ptr [eax],al 0041365D: 0000 add byte ptr [eax],al 0041365F: 0000 add byte ptr [eax],al 00413661: 0000 add byte ptr [eax],al 00413663: 0000 add byte ptr [eax],al 00413665: 0000 add byte ptr [eax],al 00413667: 0000 add byte ptr [eax],al 00413669: 0000 add byte ptr [eax],al 0041366B: 0000 add byte ptr [eax],al 0041366D: 0000 add byte ptr [eax],al 0041366F: 004520 add byte ptr [ebp+20],al 00413672: 0020 add byte ptr [eax],ah 00413674: 0020 add byte ptr [eax],ah 00413676: 2020 and byte ptr [eax],ah 00413678: 4C dec esp 00413679: 6F outsd dx,ds:[esi] 0041367A: 61 popad 0041367B: 642020 and byte ptr fs:[eax],ah 0041367E: 20446961 and byte ptr [ecx+ebp*2+61],al 00413682: 6C insb es:[edi],dx 00413683: 2E646C insb es:[edi],dx 00413686: 6C insb es:[edi],dx 00413687: 2020 and byte ptr [eax],ah 00413689: 6661 popa 0041368B: 6C insb es:[edi],dx 0041368C: 7365 jnb 004136F3 0041368E: 642120 and dword ptr fs:[eax],esp 00413691: 2020 and byte ptr [eax],ah 00413693: 00D0 add al,dl 00413695: 07 pop es 00413696: 0800 or byte ptr [eax],al 00413698: 0400 add al,00 0041369A: 1100 adc dword ptr [eax],eax 0041369C: 0800 or byte ptr [eax],al 0041369E: 3800 cmp byte ptr [eax],al 004136A0: 1900 sbb dword ptr [eax],eax 004136A2: EE out dx,al 004136A3: 0200 add al,byte ptr [eax] 004136A5: 346C xor al,6C 004136A7: 0000 add byte ptr [eax],al 004136A9: 0000 add byte ptr [eax],al 004136AB: 0000 add byte ptr [eax],al 004136AD: 60 pushad 004136AE: BB85BA4000 mov ebx,0040BA85 004136B3: 03DD add ebx,ebp 004136B5: 807B0800 cmp byte ptr [ebx+08],00 004136B9: 746D jz 00413728 004136BB: 8BC3 mov eax,ebx 004136BD: 83C008 add eax,00000008 004136C0: 50 push eax 004136C1: FF9564BF4000 call dword ptr [ebp+0040BF64] 004136C7: 89857DBA4000 mov dword ptr [ebp+0040BA7D],eax 004136CD: 83F800 cmp eax,00000000 004136D0: 750C jnz 004136DE 004136D2: C78581BA400000000000 mov dword ptr [ebp+0040BA81],00000000 004136DC: EB4A jmp 00413728 004136DE: 8B33 mov esi,dword ptr [ebx] 004136E0: 8B7B04 mov edi,dword ptr [ebx+04] 004136E3: 03F5 add esi,ebp 004136E5: 03FD add edi,ebp 004136E7: 803E00 cmp byte ptr [esi],00 004136EA: 750E jnz 004136FA 004136EC: 83C308 add ebx,00000008 004136EF: 803B00 cmp byte ptr [ebx],00 004136F2: 7403 jz 004136F7 004136F4: 43 inc ebx 004136F5: EBF8 jmp 004136EF 004136F7: 43 inc ebx 004136F8: EBBB jmp 004136B5 004136FA: 56 push esi 004136FB: FFB57DBA4000 push dword ptr [ebp+0040BA7D] 00413701: FF9568BF4000 call dword ptr [ebp+0040BF68] 00413707: 83F800 cmp eax,00000000 0041370A: 750C jnz 00413718 0041370C: C78581BA400000000000 mov dword ptr [ebp+0040BA81],00000000 00413716: EB10 jmp 00413728 00413718: 8907 mov dword ptr [edi],eax 0041371A: 83C704 add edi,00000004 0041371D: 803E00 cmp byte ptr [esi],00 00413720: 7403 jz 00413725 00413722: 46 inc esi 00413723: EBF8 jmp 0041371D 00413725: 46 inc esi 00413726: EBBF jmp 004136E7 00413728: 61 popad 00413729: 8B8581BA4000 mov eax,dword ptr [ebp+0040BA81] 0041372F: C3 ret 00413730: 0000 add byte ptr [eax],al 00413732: 0000 add byte ptr [eax],al 00413734: 0100 add dword ptr [eax],eax 00413736: 0000 add byte ptr [eax],al 00413738: E3BA jecxz 004136F4 0041373A: 40 inc eax 0041373B: 009FBB40006B add byte ptr [edi+6B0040BB],bl 00413741: 65726E jb 004137B2 00413744: 656C insb es:[edi],dx 00413746: 3332 xor esi,dword ptr [edx] 00413748: 2E646C