• 标 题:幻影v1.5b3脱壳分析笔记之二
  • 作 者:ljttt
  • 时 间:2000-09-15
  • 链 接:http://bbs.pediy.com

幻影v1.5b3脱壳分析笔记之二

[作者]:    ljttt
[日期]:    2000-09-15

 以上是一段被我处理掉的代码,从这里开始分析
 
 00013381: 5E                        pop esi 
 00013382: E800000000                call 00013387     <---JMP
 00013387: 5D                        pop ebp       <---获得 EBP = 413387
 00013388: 8BD5                      mov edx,ebp 
 ***********说明以后的一段代码常以EBP做为基地址**************
 0001338A: 81EDD4A64000              sub ebp,0040A6D4   <---EBP=413387-40A6D4 = 8CB3

 00013390: FA                        cli 
 00013391: 58                        pop eax 
 00013392: 80E401                    and ah,01 
 00013395: 32C0                      xor al,al 
 00013397: BE09A74000                mov esi,0040A709 
 0001339C: 03F5                      add esi,ebp 
 0001339E: B946160000                mov ecx,00001646 
 000133A3: 03F1                      add esi,ecx 
 000133A5: 4E                        dec esi 
 000133A6: 90                        nop 
 000133A7: 90                        nop 
 000133A8: 90                        nop 
 000133A9: 90                        nop 
 000133AA: 90                        nop 
 000133AB: 90                        nop 
 000133AC: 90                        nop 
 000133AD: 90                        nop 
 000133AE: 90                        nop 
 000133AF: 90                        nop 
 000133B0: FA                        cli 
 000133B1: 6681BD09A740009090        cmp word ptr [ebp+0040A709],9090 
 000133BA: 75FE                      jnz 000133BA 
 000133BC: 90                        nop 
 000133BD: 90                        nop 
 000133BE: 90                        nop 
 000133BF: 2B95CBB24000              sub edx,dword ptr [ebp+0040B2CB] 
 000133C5: 81EA87530000              sub edx,00005387 
 000133CB: 8995D3B24000              mov dword ptr [ebp+0040B2D3],edx 
********此处调用加载各个函数库****************** ID:CALL000146AD
 000133D1: E8D7120000                call 000146AD             <---加载函数库
 000133D6: 83F800                    cmp eax,00000000 
 000133D9: 7520                      jnz 000133FB             <---成功跳走
****************显示Dial.dll加载失败,并退出程序
 000133DB: B8C0B94000                mov eax,0040B9C0 
 000133E0: 03C5                      add eax,ebp 
 000133E2: BBC2B94000                mov ebx,0040B9C2 
 000133E7: 03DD                      add ebx,ebp 
 000133E9: 6A30                      push 00000030 
 000133EB: 50                        push eax 
 000133EC: 53                        push ebx 
 000133ED: 6A00                      push 00000000 
 000133EF: FF9500BC4000              call dword ptr [ebp+0040BC00]     <---MessageBoxA
 000133F5: FF956CBF4000              call dword ptr [ebp+0040BF6C]     <---ExitProcess
                                                
                                               
 000133FB: 8B8DF2B94000              mov ecx,dword ptr [ebp+0040B9F2]   <---跳到此处
********申请内存**********
 00013401: 83C120                    add ecx,00000020 
 00013404: 51                        push ecx 
 00013405: 6A40                      push 00000040 
 00013407: 6800201000                push 00102000 
 0001340C: 51                        push ecx 
 0001340D: 6A00                      push 00000000 
 0001340F: FF95CBBB4000              call dword ptr [ebp+0040BBCB]     <---VirtualAlloc
 00013415: 59                        pop ecx 
*************申请内存**********
 00013416: 6A40                      push 00000040 
 00013418: 6800101000                push 00101000 
 0001341D: 51                        push ecx 
 0001341E: 50                        push eax 
 0001341F: FF95CBBB4000              call dword ptr [ebp+0040BBCB]     <---VirtualAlloc
 00013425: 8BD0                      mov edx,eax 
 00013427: 8BF8                      mov edi,eax 
************搬家***************
 00013429: BE4D534000                mov esi,0040534D 
 0001342E: 03F5                      add esi,ebp 
 00013430: 8B8DF2B94000              mov ecx,dword ptr [ebp+0040B9F2] 
 00013436: F3A4                      repe movsb es:[edi],ds:[esi]     <----复制到新位置
 00013438: B893A74000                mov eax,0040A793 
 0001343D: 2D4D534000                sub eax,0040534D 
 00013442: 03C2                      add eax,edx 
 00013444: 50                        push eax 
 00013445: C3                        ret            <----到新地址执行下面的语句

*******把原来地方的代码清零*************
 00013446: BF4D534000                mov edi,0040534D 
 0001344B: 03FD                      add edi,ebp 
 0001344D: 8B8DF2B94000              mov ecx,dword ptr [ebp+0040B9F2] 
 00013453: 32C0                      xor al,al 
 00013455: F3AA                      repe stosb es:[edi],al   <----把原来的位置的内容清零
*******取新的EBP值,以后许多地方以EBP为基地址*********
 00013457: E800000000                call 0001345C         <---JMP语句
 0001345C: 5D                        pop ebp           <---EBP = 41345C
 0001345D: 81EDA9A74000              sub ebp,0040A7A9       <---EBP = 41345C-40A7A9 = 8CB3
************以下是一段检测跟踪的代码************
 00013463: BEDDA74000                mov esi,0040A7DD 
 00013468: 03F5                      add esi,ebp 
 0001346A: 6A00                      push 00000000 
 0001346C: 6A00                      push 00000000 
 0001346E: 6A00                      push 00000000 
 00013470: 6A00                      push 00000000 
 00013472: 6A00                      push 00000000 
 00013474: 6A00                      push 00000000 
 00013476: 56                        push esi 
 00013477: FF95A3BB4000              call dword ptr [ebp+0040BBA3]  <----CreateFileA
 0001347D: 83F8FF                    cmp eax,FFFFFFFF 
 00013480: 7568                      jnz 000134EA           <----判断是否发现跟踪
 00013482: 46                        inc esi 
 00013483: 803E00                    cmp byte ptr [esi],00 
 00013486: 75FA                      jnz 00013482 
 00013488: 46                        inc esi 
 00013489: 803E00                    cmp byte ptr [esi],00 
 0001348C: 75DC                      jnz 0001346A 
 0001348E: EB5A                      jmp 000134EA           <----跳走
 
 *******************这里不是代码区*******************
 00013490: 5C                        pop esp 
 00013491: 5C                        pop esp 
 00013492: 2E5C                      pop esp 
 00013494: 54                        push esp 
 00013495: 52                        push edx 
 00013496: 57                        push edi 
 00013497: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 0001349B: 5C                        pop esp 
 0001349C: 54                        push esp 
 0001349D: 52                        push edx 
 0001349E: 57                        push edi 
 0001349F: 3230                      xor dh,byte ptr [eax] 
 000134A1: 3030                      xor byte ptr [eax],dh 
 000134A3: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134A7: 5C                        pop esp 
 000134A8: 54                        push esp 
 000134A9: 52                        push edx 
 000134AA: 57                        push edi 
 000134AB: 44                        inc esp 
 000134AC: 45                        inc ebp 
 000134AD: 42                        inc edx 
 000134AE: 55                        push ebp 
 000134AF: 47                        inc edi 
 000134B0: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134B4: 5C                        pop esp 
 000134B5: 52                        push edx 
 000134B6: 45                        inc ebp 
 000134B7: 47                        inc edi 
 000134B8: 56                        push esi 
 000134B9: 58                        pop eax 
 000134BA: 44                        inc esp 
 000134BB: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134BF: 5C                        pop esp 
 000134C0: 4E                        dec esi 
 000134C1: 54                        push esp 
 000134C2: 49                        dec ecx 
 000134C3: 43                        inc ebx 
 000134C4: 45                        inc ebp 
 000134C5: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134C9: 5C                        pop esp 
 000134CA: 53                        push ebx 
 000134CB: 49                        dec ecx 
 000134CC: 43                        inc ebx 
 000134CD: 45                        inc ebp 
 000134CE: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134D2: 5C                        pop esp 
 000134D3: 56                        push esi 
 000134D4: 4B                        dec ebx 
 000134D5: 45                        inc ebp 
 000134D6: 59                        pop ecx 
 000134D7: 50                        push eax 
 000134D8: 52                        push edx 
 000134D9: 4F                        dec edi 
 000134DA: 44                        inc esp 
 000134DB: 005C5C2E                  add byte ptr [esp+ebx*2+2E],bl 
 000134DF: 5C                        pop esp 
 000134E0: 46                        inc esi 
 000134E1: 49                        dec ecx 
 000134E2: 4C                        dec esp 
 000134E3: 45                        inc ebp 
 000134E4: 56                        push esi 
 000134E5: 58                        pop eax 
 000134E6: 44                        inc esp 
 000134E7: 0000                      add byte ptr [eax],al 
**************************非代码区*****************

**************判断检测的结果************* 
 000134E9: 0083F8FF7406              add byte ptr [ebx+0674FFF8],al   <---跳转,不跳就死定了
***********退出程序
 000134EF: FF956CBF4000              call dword ptr [ebp+0040BF6C]     <---ExitProcess

***********这是一段反跟踪的代码****************** 
 000134F5: 60                        pushad                <---跳到此处
 000134F6: BE53BD4000                mov esi,0040BD53          
 000134FB: 03F5                      add esi,ebp 
 000134FD: 0F010E                    sidt dword ptr [esi]        <---获取IDTR内容 
 00013500: 8B7602                    mov esi,dword ptr [esi+02]     <---获取IDT表的基地址
 00013503: 668B4608                  mov ax,word ptr [esi+08]       <---取int 1的低位偏移
 00013507: 66052302                  add ax,0223             <---计算新值
 0001350B: 66894608                  mov word ptr [esi+08],ax       <---保存int 1新偏移值
 0001350F: 668B460E                  mov ax,word ptr [esi+0E]       <---取int 1的高位偏移
 00013513: 668B5E06                  mov bx,word ptr [esi+06]       <---取int 0的高位偏移
 00013517: 663BC3                    cmp ax,bx               <---是否相等
 0001351A: 740E                      jz 0001352A             <---相等则跳转
 0001351C: 668B4608                  mov ax,word ptr [esi+08]       <---取int 1的低位偏移
 00013520: 668B5E18                  mov bx,word ptr [esi+18]       <---取int 3的低位偏移
 00013524: FA                        cli 
 00013525: 663BC3                    cmp ax,bx               <---判断是否相等
 00013528: 7400                      jz 0001352A             <---相等则跳转
 0001352A: 668B4608                  mov ax,word ptr [esi+08]       <---取int 1的低位偏移
 0001352E: 668B5E0E                  mov bx,word ptr [esi+0E]       <---取int 1的高位偏移
 00013532: 66898567BE4000            mov word ptr [ebp+0040BE67],ax   <---保存
 00013539: 66899D69BE4000            mov word ptr [ebp+0040BE69],bx   <---保存
 00013540: 668B4618                  mov ax,word ptr [esi+18]       <---取int 3的低位偏移
 00013544: 668B5E1E                  mov bx,word ptr [esi+1E]       <---取int 3的高位偏移
 00013548: 6689856BBE4000            mov word ptr [ebp+0040BE6B],ax   <---保存
 0001354F: 66899D6DBE4000            mov word ptr [ebp+0040BE6D],bx   <---保存
**************保存EBP的值
 00013556: 89AD65BD4000              mov dword ptr [ebp+0040BD65],ebp 
**************保存ReadProcessMemory的首地址
 0001355C: 8B85C7BB4000              mov eax,dword ptr [ebp+0040BBC7]   <---取ReadProcessMemory的首地址
 00013562: 89856FBE4000              mov dword ptr [ebp+0040BE6F],eax   <---保存
**************这里是一段反跟踪代码******************
 00013568: E8A9140000                call 00014A16             <---这里又是一段SIDT代码
**************开始分析注册情况********************** 
 0001356D: BB63BD4000                mov ebx,0040BD63 
 00013572: 03DD                      add ebx,ebp 
 00013574: 53                        push ebx 
 00013575: 6A64                      push 00000064 
 00013577: 6A63                      push 00000063 
 00013579: 6A00                      push 00000000 
 0001357B: FF9508BC4000              call dword ptr [ebp+0040BC08]    <---SetTimer 
 00013581: 61                        popad  
 00013582: 6A00                      push 00000000 
 00013584: FF95C3BB4000              call dword ptr [ebp+0040BBC3]     <---GetModuleHandle
 0001358A: 89855FBD4000              mov dword ptr [ebp+0040BD5F],eax 
**************判断是否用的是注册版的幻影加密****************
 00013590: 80BDC8B2400001            cmp byte ptr [ebp+0040B2C8],01    <---是否注册标志 
 00013597: 7435                      jz 000135CE             <---相等,注册版则跳走
***************用系统时间随机显示未注册的NAG窗口*****************
 00013599: BEE1B94000                mov esi,0040B9E1 
 0001359E: 03F5                      add esi,ebp 
 000135A0: 56                        push esi 
 000135A1: FF959FBB4000              call dword ptr [ebp+0040BB9F]     <---GetSystemTime
 000135A7: 668B85EFB94000            mov ax,word ptr [ebp+0040B9EF] 
 000135AE: 240F                      and al,0F 
 000135B0: 3C02                      cmp al,02 
 000135B2: 731A                      jnb 000135CE            <---结果随机,跳转
 000135B4: B8BEB94000                mov eax,0040B9BE           <---到此,将显示NAG窗口
 000135B9: 03C5                      add eax,ebp                        <--- v1.5 This Program
 000135BB: BB11B24000                mov ebx,0040B211 
 000135C0: 03DD                      add ebx,ebp 
 000135C2: 6A30                      push 00000030 
 000135C4: 50                        push eax 
 000135C5: 53                        push ebx 
 000135C6: 6A00                      push 00000000 
******调用MessageBoxA显示NAG窗口*******
 000135C8: FF9500BC4000              call dword ptr [ebp+0040BC00]     <---MessageBoxA
************ 跳到此处********开始处理用户加密的信息
 000135CE: E862060000                call 00013C35             <---从注册表获取信息
 000135D3: 663D0100                  cmp ax,0001 
 000135D7: 7416                      jz 000135EF     <---成功就跳走
*********没注意此段内容************* 
 000135D9: BE60B14000                mov esi,0040B160 
 000135DE: 03F5                      add esi,ebp 
 000135E0: 668B8589B44000            mov ax,word ptr [ebp+0040B489] 
 000135E7: 668906                    mov word ptr [esi],ax 
 000135EA: E802070000                call 00013CF1 
********对用户注册信息的处理************
 000135EF: E87C030000                call 00013970             <---有磁盘和卷的调用
 000135F4: 6689857DB44000            mov word ptr [ebp+0040B47D],ax   <--此处是一个标志
 000135FB: 663D0100                  cmp ax,0001 
 000135FF: 0F84BF000000              jz 000136C4       <--成功,跳走
 ********判断标志,显示用户加的NAG提示信息窗口************
 00013605: 83BD5DB7400000            cmp dword ptr [ebp+0040B75D],00000000 
 0001360C: 7426                      jz 00013634 
 0001360E: 83BD61B7400001            cmp dword ptr [ebp+0040B761],00000001 <--判断标志
 00013615: 751D                      jnz 00013634       <--不等,就跳走
 00013617: E80A060000                call 00013C26       <--显示用户加的NAG提示信息窗口,1.5beta2 Email: ding-boy
 0001361C: 6689857FB44000            mov word ptr [ebp+0040B47F],ax 
 00013623: BBC9B24000                mov ebx,0040B2C9 
 00013628: 03DD                      add ebx,ebp 
 0001362A: 663D0200                  cmp ax,0002 
 0001362E: 0F8444010000              jz 00013778 
***********判断是否是缺省NAG提示信息************
 00013634: 6681BDF1B440007C7C        cmp word ptr [ebp+0040B4F1],7C7C 
 0001363D: 741A                      jz 00013659    <--相等,就跳走 
 0001363F: B8BEB94000                mov eax,0040B9BE 
 00013644: 03C5                      add eax,ebp 
 00013646: BBF1B44000                mov ebx,0040B4F1 
 0001364B: 03DD                      add ebx,ebp 
 0001364D: 6A30                      push 00000030 
 0001364F: 50                        push eax 
 00013650: 2020                      and byte ptr [eax],ah 
 00013652: 2020                      and byte ptr [eax],ah 
 00013654: 2038                      and byte ptr [eax],bh 
 *********显示用户加的NAG提示信息窗口***********
 00013656: 3530343400                xor eax,00343430 
 0001365B: 0000                      add byte ptr [eax],al 
 0001365D: 0000                      add byte ptr [eax],al 
 0001365F: 0000                      add byte ptr [eax],al 
 00013640: BEB9400003                mov esi,030040B9 
 00013645: C5BBF1B44000              lds edi,pword ptr [ebx+0040B4F1] 
 0001364B: 03DD                      add ebx,ebp 
 0001364D: 6A30                      push 00000030 
 0001364F: 50                        push eax 
 00013650: 53                        push ebx 
 00013651: 6A00                      push 00000000           <--欢迎 ,^-^
 00013653: FF9500BC4000              call dword ptr [ebp+0040BC00] <--MessageBoxA
 
 00013659: E8A0020000                call 000138FE   <--跳到此处
 0001365E: BB91B84000                mov ebx,0040B891 
 00013663: 03DD                      add ebx,ebp 
 00013665: 663D0000                  cmp ax,0000 
 00013669: 0F8409010000              jz 00013778   <--等于0,就跳走
 0001366F: E882010000                call 000137F6   <--获取系统时间
 00013674: BB1DB64000                mov ebx,0040B61D 
 00013679: 03DD                      add ebx,ebp 
 0001367B: 663D0000                  cmp ax,0000 
 0001367F: 0F84F3000000              jz 00013778 
 00013685: E8C3010000                call 0001384D   <--注册表和磁盘
 0001368A: BB1DB64000                mov ebx,0040B61D 
 0001368F: 03DD                      add ebx,ebp 
 00013691: 663D0000                  cmp ax,0000 
 00013695: 0F84DD000000              jz 00013778 
 0001369B: 6683BD7DB4400000          cmp word ptr [ebp+0040B47D],0000 
 000136A3: 751F                      jnz 000136C4 
 000136A5: 83BD5DB7400000            cmp dword ptr [ebp+0040B75D],00000000 
 000136AC: 7416                      jz 000136C4 
 000136AE: 6683BD7FB4400001          cmp word ptr [ebp+0040B47F],0001 
 000136B6: 740C                      jz 000136C4 
 000136B8: BBC9B24000                mov ebx,0040B2C9 
 000136BD: 03DD                      add ebx,ebp 
 000136BF: E9B4000000                jmp 00013778 
 
 000136C4: BED7B24000                mov esi,0040B2D7 
 000136C9: 03F5                      add esi,ebp   
 
 000136CB: 833E00                    cmp dword ptr [esi],00000000   <---此处循环将还原各Section
 000136CE: 746F                      jz 0001373F               <--是否循环结束
 000136D0: 8B9DD3B24000              mov ebx,dword ptr [ebp+0040B2D3] 
 000136D6: 031E                      add ebx,dword ptr [esi] 
 000136D8: 8B4E04                    mov ecx,dword ptr [esi+04] 
 000136DB: 83F900                    cmp ecx,00000000 
 000136DE: 7505                      jnz 000136E5 
 000136E0: 83C608                    add esi,00000008 
 000136E3: EBE6                      jmp 000136CB 
 000136E5: D1E9                      shr ecx,1 
 000136E7: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 000136EE: 66F7D0                    not ax 
 
 000136F1: 663103                    xor word ptr [ebx],ax 
 000136F4: 6648                      dec ax 
 000136F6: 66813B3F3F                cmp word ptr [ebx],3F3F 
 000136FB: 7518                      jnz 00013715 
 000136FD: 817BFC44425045            cmp dword ptr [ebx-04],45504244 
 00013704: 750F                      jnz 00013715 
 00013706: 6683BD7DB4400001          cmp word ptr [ebp+0040B47D],0001 
 0001370E: 7505                      jnz 00013715 
 00013710: 66C7032B2B                mov word ptr [ebx],2B2B 
 00013715: 66817BFF3F3F              cmp word ptr [ebx-01],3F3F 
 0001371B: 7519                      jnz 00013736 
 0001371D: 817BFB44425045            cmp dword ptr [ebx-05],45504244 
 00013724: 7510                      jnz 00013736 
 00013726: 6683BD7DB4400001          cmp word ptr [ebp+0040B47D],0001 
 0001372E: 7506                      jnz 00013736 
 00013730: 66C743FF2B2B              mov word ptr [ebx-01],2B2B 
 00013736: 43                        inc ebx 
 00013737: 43                        inc ebx 
 00013738: E2B7                      loop 000136F1 
 
 0001373A: 83C608                    add esi,00000008 
 0001373D: EB8C                      jmp 000136CB              <---大循环  
 
 0001373F: 90                        nop 
 00013740: 89AD9FBE4000              mov dword ptr [ebp+0040BE9F],ebp 
 00013746: E84C030000                call 00013A97 
 0001374B: E82D040000                call 00013B7D 
 00013750: 8B85CFB24000              mov eax,dword ptr [ebp+0040B2CF] 
 00013756: 8B9DD3B24000              mov ebx,dword ptr [ebp+0040B2D3] 
 0001375C: 03C3                      add eax,ebx 
 0001375E: 8985F6B94000              mov dword ptr [ebp+0040B9F6],eax 
 00013764: 8BC5                      mov eax,ebp 
 00013766: 5B                        pop ebx 
 00013767: 59                        pop ecx 
 00013768: 5A                        pop edx 
 00013769: 5E                        pop esi 
 0001376A: 5F                        pop edi 
 0001376B: 5D                        pop ebp 
 0001376C: 9D                        popfd  
 0001376D: FFB0F6B94000              push dword ptr [eax+0040B9F6] 
 00013773: E90F120000                jmp 00014987         <---跳到后面处理入口处的代码
 
 00013778: 66813B7C7C                cmp word ptr [ebx],7C7C 
 0001377D: 7413                      jz 00013792 
 0001377F: B8C0B94000                mov eax,0040B9C0 
 00013784: 03C5                      add eax,ebp 
 00013786: 6A30                      push 00000030 
 00013788: 50                        push eax 
 00013789: 53                        push ebx 
 0001378A: 6A00                      push 00000000             <---显示dial.dll没有找到
 0001378C: FF9500BC4000              call dword ptr [ebp+0040BC00]   <--MessageBoxA
 00013792: 83BD5DB7400000            cmp dword ptr [ebp+0040B75D],00000000 
 00013799: 7446                      jz 000137E1 
 0001379B: E810010000                call 000138B0 
 000137A0: 6689857DB44000            mov word ptr [ebp+0040B47D],ax 
 000137A7: 50                        push eax 
 000137A8: 663D0100                  cmp ax,0001 
 000137AC: 7507                      jnz 000137B5 
 000137AE: BBF5B84000                mov ebx,0040B8F5 
 000137B3: EB05                      jmp 000137BA 
 000137B5: BB59B94000                mov ebx,0040B959 
 000137BA: 03DD                      add ebx,ebp 
 000137BC: 66813B7C7C                cmp word ptr [ebx],7C7C 
 000137C1: 7413                      jz 000137D6 
 000137C3: B8C0B94000                mov eax,0040B9C0 
 000137C8: 03C5                      add eax,ebp 
 000137CA: 6A30                      push 00000030 
 000137CC: 50                        push eax 
 000137CD: 53                        push ebx 
 000137CE: 6A00                      push 00000000 
 000137D0: FF9500BC4000              call dword ptr [ebp+0040BC00]   <--MessageBoxA
 000137D6: 58                        pop eax 
 000137D7: 663D0100                  cmp ax,0001 
 000137DB: 0F84E3FEFFFF              jz 000136C4 
 000137E1: C6855DBD400000            mov byte ptr [ebp+0040BD5D],00 
 000137E8: 8BC5                      mov eax,ebp 
 000137EA: 5B                        pop ebx 
 000137EB: 59                        pop ecx 
 000137EC: 5A                        pop edx 
 000137ED: 5E                        pop esi 
 000137EE: 5F                        pop edi 
 000137EF: 5D                        pop ebp 
 000137F0: 9D                        popfd  
 000137F1: E991110000                jmp 00014987 

-------子程序开始------- 
********获取系统时间,不知道要干什么,不会是比较时间差来判断是否被SOFTICE跟踪吧*********
 000137F6: BEE1B94000                mov esi,0040B9E1 
 000137FB: 03F5                      add esi,ebp 
 000137FD: 56                        push esi 
 000137FE: FF959FBB4000              call dword ptr [ebp+0040BB9F]   <---GetSystemTime
 00013804: 668B8585B44000            mov ax,word ptr [ebp+0040B485] 
 0001380B: 668B9D81B44000            mov bx,word ptr [ebp+0040B481] 
 00013812: 663D0000                  cmp ax,0000 
 00013816: 7430                      jz 00013848 
 00013818: 663985E3B94000            cmp word ptr [ebp+0040B9E3],ax 
 0001381F: 7209                      jb 0001382A 
 00013821: 66399DE1B94000            cmp word ptr [ebp+0040B9E1],bx 
 00013828: 7309                      jnb 00013833 
 0001382A: 66399DE1B94000            cmp word ptr [ebp+0040B9E1],bx 
 00013831: 7606                      jbe 00013839 
 00013833: 66B80000                  mov ax,0000 
 00013837: EB0D                      jmp 00013846 
 00013839: 66C7857DB440000100        mov word ptr [ebp+0040B47D],0001 
 00013842: 66B80100                  mov ax,0001 
 00013846: EB04                      jmp 0001384C 
 00013848: 66B80100                  mov ax,0001 
 0001384C: C3                        ret 
 --------子程序结束----------

---------子程序开始------------- 
 0001384D: 60                        pushad  
 0001384E: 6683BD89B4400000          cmp word ptr [ebp+0040B489],0000 
 00013856: 750B                      jnz 00013863 
 00013858: 66C785FBAB40000100        mov word ptr [ebp+0040ABFB],0001 
 00013861: EB42                      jmp 000138A5 
 00013863: E8CD030000                call 00013C35   <--从注册表中获取信息
 00013868: BE60B14000                mov esi,0040B160 
 0001386D: 03F5                      add esi,ebp 
 0001386F: 663D0100                  cmp ax,0001 
 00013873: 7405                      jz 0001387A 
 00013875: 66C7060000                mov word ptr [esi],0000 
 0001387A: 66833E00                  cmp word ptr [esi],0000 
 0001387E: 7417                      jz 00013897 
 00013880: 66FF0E                    dec word ptr [esi] 
 00013883: 66C785FBAB40000100        mov word ptr [ebp+0040ABFB],0001 
 0001388C: 66C7857DB440000100        mov word ptr [ebp+0040B47D],0001 
 00013895: EB09                      jmp 000138A0 
 00013897: 66C785FBAB40000000        mov word ptr [ebp+0040ABFB],0000 
 000138A0: E84C040000                call 00013CF1  <--获取磁盘和卷的信息 
 000138A5: 61                        popad  
 000138A6: 668B85FBAB4000            mov ax,word ptr [ebp+0040ABFB] 
 000138AD: C3                        ret 

 000138AE: 0000                      add byte ptr [eax],al 
 000138B0: E8BB000000                call 00013970 
 000138B5: 8B85A8AD4000              mov eax,dword ptr [ebp+0040ADA8] 
 000138BB: BBB0AD4000                mov ebx,0040ADB0 
 000138C0: 03DD                      add ebx,ebp 
 000138C2: B983B14000                mov ecx,0040B183 
 000138C7: 03CD                      add ecx,ebp 
 000138C9: 50                        push eax 
 000138CA: 53                        push ebx 
 000138CB: 51                        push ecx 
 000138CC: FF9504BC4000              call dword ptr [ebp+0040BC04] 
 000138D2: 83C40C                    add esp,0000000C 
 000138D5: B865B14000                mov eax,0040B165 
 000138DA: 03C5                      add eax,ebp 
 000138DC: BB79B14000                mov ebx,0040B179 
 000138E1: 03DD                      add ebx,ebp 
 000138E3: B983B14000                mov ecx,0040B183 
 000138E8: 03CD                      add ecx,ebp 
 000138EA: 51                        push ecx 
 000138EB: 53                        push ebx 
 000138EC: 50                        push eax 
 000138ED: FF95BCBC4000              call dword ptr [ebp+0040BCBC] 
 000138F3: E8F9030000                call 00013CF1 
 000138F8: E873000000                call 00013970 
 000138FD: C3                        ret 
 
 ------子程序------
 000138FE: 6683BD49B740007C          cmp word ptr [ebp+0040B749],007C 
 00013906: 7505                      jnz 0001390D 
 00013908: 66B80100                  mov ax,0001 
 0001390C: C3                        ret 
 
 0001390D: B89FAC4000                mov eax,0040AC9F 
 00013912: 03C5                      add eax,ebp 
 00013914: 50                        push eax 
 00013915: FF95B8BC4000              call dword ptr [ebp+0040BCB8] 
 0001391B: BE49B74000                mov esi,0040B749 
 00013920: 03F5                      add esi,ebp 
 00013922: BF9FAC4000                mov edi,0040AC9F 
 00013927: 03FD                      add edi,ebp 
 00013929: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 00013930: 2020                      and byte ptr [eax],ah 
 00013932: 2020                      and byte ptr [eax],ah 
 00013934: 2038                      and byte ptr [eax],bh 
 00013936: 3530343400                xor eax,00343430 
 0001393B: 0000                      add byte ptr [eax],al 
 0001393D: 0000                      add byte ptr [eax],al 
 0001393F: 0000                      add byte ptr [eax],al 
 00013920: 03F5                      add esi,ebp 
 00013922: BF9FAC4000                mov edi,0040AC9F 
 00013927: 03FD                      add edi,ebp 
 00013929: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 00013930: 8A26                      mov ah,byte ptr [esi] 
 00013932: 3A27                      cmp ah,byte ptr [edi] 
 00013934: 7509                      jnz 0001393F 
 00013936: 80FC00                    cmp ah,00 
 00013939: 7409                      jz 00013944 
 0001393B: 46                        inc esi 
 0001393C: 47                        inc edi 
 0001393D: EBF1                      jmp 00013930 
 0001393F: 66B80000                  mov ax,0000 
 00013943: C3                        ret 
 00013944: 66C7857DB440000100        mov word ptr [ebp+0040B47D],0001 
 0001394D: 66B80100                  mov ax,0001 
 00013951: C3                        ret 
 ------子程序------------

******非代码区********* 
 00013952: 0000                      add byte ptr [eax],al 
 00013954: 0000                      add byte ptr [eax],al 
 00013956: 0000                      add byte ptr [eax],al 
 00013958: 0000                      add byte ptr [eax],al 
 0001395A: 0000                      add byte ptr [eax],al 
 0001395C: 0000                      add byte ptr [eax],al 
 0001395E: 0000                      add byte ptr [eax],al 
 00013960: 0000                      add byte ptr [eax],al 
 00013962: 0000                      add byte ptr [eax],al 
 00013964: 0000                      add byte ptr [eax],al 
 00013966: 0000                      add byte ptr [eax],al 
 00013968: 0000                      add byte ptr [eax],al 
 0001396A: 0000                      add byte ptr [eax],al 
 0001396C: 0000                      add byte ptr [eax],al 
 0001396E: 0000                      add byte ptr [eax],al 
******非代码区结束*******

----------子程序开始--------- 
 ********获取C盘的卷信息**********
 00013970: B810000000                mov eax,00000010 
 00013975: 50                        push eax 
 00013976: B8B8AD4000                mov eax,0040ADB8 
 0001397B: 03C5                      add eax,ebp 
 0001397D: 50                        push eax 
 0001397E: B8C8AD4000                mov eax,0040ADC8 
 00013983: 03C5                      add eax,ebp 
 00013985: 50                        push eax 
 00013986: B8CCAD4000                mov eax,0040ADCC 
 0001398B: 03C5                      add eax,ebp 
 0001398D: 50                        push eax 
 0001398E: B8D0AD4000                mov eax,0040ADD0 
 00013993: 03C5                      add eax,ebp 
 00013995: 50                        push eax 
 00013996: B810000000                mov eax,00000010 
 0001399B: 50                        push eax 
 0001399C: B8D4AD4000                mov eax,0040ADD4 
 000139A1: 03C5                      add eax,ebp 
 000139A3: 50                        push eax 
 000139A4: B8B4AD4000                mov eax,0040ADB4 
 000139A9: 03C5                      add eax,ebp 
 000139AB: 50                        push eax     <--"C:\"
 000139AC: FF95BFBB4000              call dword ptr [ebp+0040BBBF]   <--GetVolumeInformationA
 *****************获取C盘空余磁盘信息********
 000139B2: B8A4AD4000                mov eax,0040ADA4 
 000139B7: 03C5                      add eax,ebp 
 000139B9: BBA8AD4000                mov ebx,0040ADA8 
 000139BE: 03DD                      add ebx,ebp 
 000139C0: B9ACAD4000                mov ecx,0040ADAC 
 000139C5: 03CD                      add ecx,ebp 
 000139C7: C701633A5C00              mov dword ptr [ecx],005C3A63 
 000139CD: 50                        push eax 
 000139CE: 53                        push ebx 
 000139CF: 6A00                      push 00000000 
 000139D1: 51                        push ecx 
 000139D2: FF95B7BB4000              call dword ptr [ebp+0040BBB7]   <--GetDiskFreeSpaceExA
*****************从注册表获取信息************** 
 000139D8: 8B85A8AD4000              mov eax,dword ptr [ebp+0040ADA8] 
 000139DE: F7D0                      not eax 
 000139E0: 3385D0AD4000              xor eax,dword ptr [ebp+0040ADD0] 
 000139E6: 8985A8AD4000              mov dword ptr [ebp+0040ADA8],eax 
 000139EC: E844020000                call 00013C35     <--从注册表中获取信息
*****************好象是还原信息******** 
 000139F1: B801000000                mov eax,00000001 
 000139F6: 33DB                      xor ebx,ebx 
 000139F8: BE65B14000                mov esi,0040B165 
 000139FD: 03F5                      add esi,ebp 
 000139FF: 8A1E                      mov bl,byte ptr [esi] 
 00013A01: 80FB00                    cmp bl,00 
 00013A04: 7405                      jz 00013A0B 
 00013A06: F7E3                      mul ebx 
 00013A08: 46                        inc esi 
 00013A09: EBF4                      jmp 000139FF 
 00013A0B: 33855DB74000              xor eax,dword ptr [ebp+0040B75D] 
 00013A11: 3385A8AD4000              xor eax,dword ptr [ebp+0040ADA8] 
 00013A17: 86E0                      xchg al,ah 
 00013A19: 8BD8                      mov ebx,eax 
 *******处理信息*********
 00013A1B: BE79B14000                mov esi,0040B179 
 00013A20: 03F5                      add esi,ebp 
 00013A22: E80E000000                call 00013A35   <--处理信息
 00013A27: 3BD8                      cmp ebx,eax 
 00013A29: 7405                      jz 00013A30 
 00013A2B: 66B80000                  mov ax,0000 
 00013A2F: C3                        ret 
 00013A30: 66B80100                  mov ax,0001 
 00013A34: C3                        ret 
----------子程序结束-----------

-----------子程序开始---------- 
 00013A35: 53                        push ebx 
 00013A36: 56                        push esi 
 00013A37: 33DB                      xor ebx,ebx 
 00013A39: 8A06                      mov al,byte ptr [esi] 
 00013A3B: 3C39                      cmp al,39 
 00013A3D: 7606                      jbe 00013A45 
 00013A3F: 24CF                      and al,CF 
 00013A41: 2C37                      sub al,37 
 00013A43: EB02                      jmp 00013A47 
 
 00013A45: 240F                      and al,0F 
 00013A47: C1E304                    shl ebx,04 
 00013A4A: 0AD8                      or bl,al 
 00013A4C: 46                        inc esi 
 00013A4D: 803E00                    cmp byte ptr [esi],00 
 00013A50: 75E7                      jnz 00013A39 
 00013A52: 8BC3                      mov eax,ebx 
 00013A54: 5E                        pop esi 
 00013A55: 5B                        pop ebx 
 00013A56: C3                        ret 
 ---------子程序结束-----------
 
 00013A57: 0000                      add byte ptr [eax],al 
 00013A59: 0000                      add byte ptr [eax],al 
 00013A5B: 0000                      add byte ptr [eax],al 
 00013A5D: 0000                      add byte ptr [eax],al 
 00013A5F: 633A                      arpl word ptr [edx],di 
 00013A61: 5C                        pop esp 
 00013A62: 00256C580043              add byte ptr [4300586C],ah 
 00013A68: 3A5C0000                  cmp bl,byte ptr [eax+eax] 
 00013A6C: 0000                      add byte ptr [eax],al 
 00013A6E: 0000                      add byte ptr [eax],al 
 00013A70: 0000                      add byte ptr [eax],al 
 00013A72: 0000                      add byte ptr [eax],al 
 00013A74: 0000                      add byte ptr [eax],al 
 00013A76: 0000                      add byte ptr [eax],al 
 00013A78: 0000                      add byte ptr [eax],al 
 00013A7A: 0000                      add byte ptr [eax],al 
 00013A7C: 0000                      add byte ptr [eax],al 
 00013A7E: 0000                      add byte ptr [eax],al 
 00013A80: 0000                      add byte ptr [eax],al 
 00013A82: 0000                      add byte ptr [eax],al 
 00013A84: 0000                      add byte ptr [eax],al 
 00013A86: 0000                      add byte ptr [eax],al 
 00013A88: 0000                      add byte ptr [eax],al 
 00013A8A: 0000                      add byte ptr [eax],al 
 00013A8C: 0000                      add byte ptr [eax],al 
 00013A8E: 0000                      add byte ptr [eax],al 
 00013A90: 0000                      add byte ptr [eax],al 
 00013A92: 0000                      add byte ptr [eax],al 
 00013A94: 0000                      add byte ptr [eax],al 
 
 ----子程序----------
 00013A96: 00608B                    add byte ptr [eax-75],ah 
 00013A99: 9D                        popfd  
 00013A9A: 69B4400083FB000F84A600    imul esi,dword ptr [eax+eax*2+00FB8300],00A6840F 
 00013AA5: 0000                      add byte ptr [eax],al 
 00013AA7: 039DD3B24000              add ebx,dword ptr [ebp+0040B2D3] 
 00013AAD: 8B430C                    mov eax,dword ptr [ebx+0C] 
 00013AB0: 83F800                    cmp eax,00000000 
 00013AB3: 0F8494000000              jz 00013B4D 
 00013AB9: 0385D3B24000              add eax,dword ptr [ebp+0040B2D3] 
 00013ABF: 8BF0                      mov esi,eax 
 00013AC1: 50                        push eax 
 00013AC2: FF9564BF4000              call dword ptr [ebp+0040BF64]   <--LoadLibraryA
 00013AC8: 89857DBA4000              mov dword ptr [ebp+0040BA7D],eax 
 00013ACE: 8B33                      mov esi,dword ptr [ebx] 
 00013AD0: 8B7B10                    mov edi,dword ptr [ebx+10] 
 00013AD3: 83FE00                    cmp esi,00000000 
 00013AD6: 7502                      jnz 00013ADA 
 00013AD8: 8BF7                      mov esi,edi 
 00013ADA: 03B5D3B24000              add esi,dword ptr [ebp+0040B2D3] 
 00013AE0: 03BDD3B24000              add edi,dword ptr [ebp+0040B2D3] 
 00013AE6: 8B06                      mov eax,dword ptr [esi] 
 00013AE8: 83F800                    cmp eax,00000000 
 00013AEB: 7505                      jnz 00013AF2 
 00013AED: 83C314                    add ebx,00000014 
 00013AF0: EBBB                      jmp 00013AAD 
 00013AF2: 807E0380                  cmp byte ptr [esi+03],80 
 00013AF6: 7514                      jnz 00013B0C 
 00013AF8: 33C0                      xor eax,eax 
 00013AFA: 668706                    xchg word ptr [esi],ax 
 00013AFD: 50                        push eax 
 00013AFE: FFB57DBA4000              push dword ptr [ebp+0040BA7D] 
 00013B04: FF9568BF4000              call dword ptr [ebp+0040BF68] 
 00013B0A: EB37                      jmp 00013B43 
 
 00013B0C: 33C0                      xor eax,eax 
 00013B0E: 8706                      xchg dword ptr [esi],eax 
 00013B10: 0385D3B24000              add eax,dword ptr [ebp+0040B2D3] 
 00013B16: 83C002                    add eax,00000002 
 00013B19: 8BC8                      mov ecx,eax 
 00013B1B: E83B000000                call 00013B5B 
 00013B20: 663D0100                  cmp ax,0001 
 00013B24: 7510                      jnz 00013B36 
 00013B26: C6855DBD400001            mov byte ptr [ebp+0040BD5D],01 
 00013B2D: B89EBE4000                mov eax,0040BE9E 
 00013B32: 03C5                      add eax,ebp 
 00013B34: EB0D                      jmp 00013B43 
 00013B36: 50                        push eax 
 00013B37: FFB57DBA4000              push dword ptr [ebp+0040BA7D] 
 00013B3D: FF9568BF4000              call dword ptr [ebp+0040BF68]   <--GetProcAddress
 00013B43: 8907                      mov dword ptr [edi],eax 
 00013B45: 83C604                    add esi,00000004 
 00013B48: 83C704                    add edi,00000004 
 00013B4B: EB99                      jmp 00013AE6 
 
 00013B4D: 61                        popad  
 00013B4E: C3                        ret 
 ----子程序结束-----------
 
 00013B4F: 45                        inc ebp 
 00013B50: 7869                      js 00013BBB 
 00013B52: 7450                      jz 00013BA4 
 00013B54: 726F                      jb 00013BC5 
 00013B56: 636573                    arpl word ptr [ebp+73],sp 
 00013B59: 7300                      jnb 00013B5B 
 
------子程序开始---------- 
 00013B5B: 53                        push ebx 
 00013B5C: 56                        push esi 
 00013B5D: 57                        push edi 
 00013B5E: 8BF0                      mov esi,eax 
 00013B60: BF9CAE4000                mov edi,0040AE9C 
 00013B65: 03FD                      add edi,ebp 
 00013B67: 8A1E                      mov bl,byte ptr [esi] 
 00013B69: 3A1F                      cmp bl,byte ptr [edi] 
 00013B6B: 750C                      jnz 00013B79 
 00013B6D: 46                        inc esi 
 00013B6E: 47                        inc edi 
 00013B6F: 80FB00                    cmp bl,00 
 00013B72: 75F3                      jnz 00013B67 
 00013B74: B801000000                mov eax,00000001 
 00013B79: 5F                        pop edi 
 00013B7A: 5E                        pop esi 
 00013B7B: 5B                        pop ebx 
 00013B7C: C3                        ret 
 ------子程序结束-----------
 
 00013B7D: 60                        pushad  
 00013B7E: 33C0                      xor eax,eax 
 00013B80: 8BB56DB44000              mov esi,dword ptr [ebp+0040B46D] 
 00013B86: 83FE00                    cmp esi,00000000 
 00013B89: 7459                      jz 00013BE4 
 00013B8B: 03B5D3B24000              add esi,dword ptr [ebp+0040B2D3] 
 00013B91: 668B3E                    mov di,word ptr [esi] 
 00013B94: 663B7E02                  cmp di,word ptr [esi+02] 
 00013B98: 744A                      jz 00013BE4 
 00013B9A: 8B3E                      mov edi,dword ptr [esi] 
 00013B9C: 83FF00                    cmp edi,00000000 
 00013B9F: 7443                      jz 00013BE4 
 00013BA1: 03BDD3B24000              add edi,dword ptr [ebp+0040B2D3] 
 00013BA7: 8B4E04                    mov ecx,dword ptr [esi+04] 
 00013BAA: 83E908                    sub ecx,00000008 
 00013BAD: 83F900                    cmp ecx,00000000 
 00013BB0: 7432                      jz 00013BE4 
 00013BB2: D1E9                      shr ecx,1 
 00013BB4: 83C608                    add esi,00000008 
 00013BB7: 668B06                    mov ax,word ptr [esi] 
 00013BBA: 662500F0                  and ax,F000 
 00013BBE: 663D0030                  cmp ax,3000 
 00013BC2: 7519                      jnz 00013BDD 
 00013BC4: 668B06                    mov ax,word ptr [esi] 
 00013BC7: 6625FF0F                  and ax,0FFF 
 00013BCB: 8B9D79B44000              mov ebx,dword ptr [ebp+0040B479] 
 00013BD1: 291C07                    sub dword ptr [edi+eax],ebx 
 00013BD4: 8B9DD3B24000              mov ebx,dword ptr [ebp+0040B2D3] 
 00013BDA: 011C07                    add dword ptr [edi+eax],ebx 
 00013BDD: 83C602                    add esi,00000002 
 00013BE0: E2D5                      loop 00013BB7 
 00013BE2: EBAD                      jmp 00013B91 
 00013BE4: 61                        popad  
 00013BE5: C3                        ret 
 
 
 00013BE6: 60                        pushad  
 00013BE7: 8BB571B44000              mov esi,dword ptr [ebp+0040B471] 
 00013BED: 83FE00                    cmp esi,00000000 
 00013BF0: 7432                      jz 00013C24 
 00013BF2: 03B5D3B24000              add esi,dword ptr [ebp+0040B2D3] 
 00013BF8: 8B8D75B44000              mov ecx,dword ptr [ebp+0040B475] 
 00013BFE: 83F900                    cmp ecx,00000000 
 00013C01: 7421                      jz 00013C24 
 00013C03: 8B06                      mov eax,dword ptr [esi] 
 00013C05: 83F800                    cmp eax,00000000 
 00013C08: 7412                      jz 00013C1C 
 00013C0A: 2B8579B44000              sub eax,dword ptr [ebp+0040B479] 
 00013C10: 2020                      and byte ptr [eax],ah 
 00013C12: 2020                      and byte ptr [eax],ah 
 00013C14: 2038                      and byte ptr [eax],bh 
 00013C16: 3530343400                xor eax,00343430 
 00013C1B: 0000                      add byte ptr [eax],al 
 00013C1D: 0000                      add byte ptr [eax],al 
 00013C1F: 0000                      add byte ptr [eax],al 
 00013C00: 0074218B                  add byte ptr [ecx-75],dh 
 00013C04: 06                        push es 
 00013C05: 83F800                    cmp eax,00000000 
 00013C08: 7412                      jz 00013C1C 
 00013C0A: 2B8579B44000              sub eax,dword ptr [ebp+0040B479] 
 00013C10: 0385D3B24000              add eax,dword ptr [ebp+0040B2D3] 
 00013C16: C70000000000              mov dword ptr [eax],00000000 
 00013C1C: 83C604                    add esi,00000004 
 00013C1F: 83E904                    sub ecx,00000004 
 00013C22: 75DF                      jnz 00013C03 
 00013C24: 61                        popad  
 00013C25: C3                        ret 
 
 ----子程序------
 *******显示用户加的启动NAG提示信息
 00013C26: B865B74000                mov eax,0040B765 
 00013C2B: 03C5                      add eax,ebp 
 00013C2D: 50                        push eax 
 00013C2E: FF95C0BC4000              call dword ptr [ebp+0040BCC0]   <--MessageBoxA
 00013C34: C3                        ret
------子程序-------
 
 ---被主程序调用------ 
 00013C35: 60                        pushad  
 00013C36: 66C7855EB140000000        mov word ptr [ebp+0040B15E],0000   <---作标记
 *********开始注册表中的键wrifile\shell\open\command\config
 00013C3F: B848B14000                mov eax,0040B148 
 00013C44: 03C5                      add eax,ebp 
 00013C46: BB40B14000                mov ebx,0040B140 
 00013C4B: 03DD                      add ebx,ebp 
 00013C4D: B91EB14000                mov ecx,0040B11E 
 00013C52: 03CD                      add ecx,ebp 
 00013C54: 50                        push eax 
 00013C55: 53                        push ebx 
 00013C56: 683F001F00                push 001F003F 
 00013C5B: 6A00                      push 00000000 
 00013C5D: 6A00                      push 00000000 
 00013C5F: 6A00                      push 00000000 
 00013C61: 6A00                      push 00000000 
 00013C63: 51                        push ecx     <-- "wrifile\shell\open\command\config"
 00013C64: 6800000080                push 80000000 
 00013C69: FF9576BC4000              call dword ptr [ebp+0040BC76]     <---RegCreateKeyA
 00013C6F: 663D0000                  cmp ax,0000 
 00013C73: 7566                      jnz 00013CDB   <--无此键,就跳走
**************查找某键***********
 00013C75: BE1AB14000                mov esi,0040B11A 
 00013C7A: 03F5                      add esi,ebp 
 00013C7C: BF16B14000                mov edi,0040B116 
 00013C81: 03FD                      add edi,ebp 
 00013C83: B860B14000                mov eax,0040B160 
 00013C88: 03C5                      add eax,ebp 
 00013C8A: BB50B14000                mov ebx,0040B150 
 00013C8F: 03DD                      add ebx,ebp 
 00013C91: 8B8D40B14000              mov ecx,dword ptr [ebp+0040B140] 
 00013C97: 56                        push esi 
 00013C98: 50                        push eax 
 00013C99: 57                        push edi 
 00013C9A: 6A00                      push 00000000 
 00013C9C: 53                        push ebx   <--91,80,88,80,B5,80,A3,80,C8,80
 00013C9D: 51                        push ecx 
 00013C9E: FF957EBC4000              call dword ptr [ebp+0040BC7E]     <---RegQueryValueEx
 00013CA4: 663D0000                  cmp ax,0000 
 00013CA8: 7531                      jnz 00013CDB   <--无此键,就跳走
 
 00013CAA: 66C7855EB140000100        mov word ptr [ebp+0040B15E],0001  <--作标记 
********开始处理用户注册信息的还原********* 
 00013CB3: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 00013CBA: 8AE0                      mov ah,al 
 00013CBC: BE60B14000                mov esi,0040B160 
 00013CC1: 03F5                      add esi,ebp 
 00013CC3: B93D000000                mov ecx,0000003D 
 00013CC8: 51                        push ecx 
 00013CC9: 8A06                      mov al,byte ptr [esi] 

 00013CCB: 3C00                      cmp al,00 
 00013CCD: 7402                      jz 00013CD1 
 00013CCF: 32C4                      xor al,ah 
 00013CD1: B104                      mov cl,04 
 00013CD3: D2C8                      ror al,cl 
 00013CD5: 8806                      mov byte ptr [esi],al 
 00013CD7: 46                        inc esi 
 00013CD8: 59                        pop ecx 
 00013CD9: E2ED                      loop 00013CC8 
************关闭注册表*********** 
 00013CDB: 8B8540B14000              mov eax,dword ptr [ebp+0040B140] 
 00013CE1: 50                        push eax 
 00013CE2: FF957ABC4000              call dword ptr [ebp+0040BC7A]     <---RegCloseKey
 00013CE8: 61                        popad  
 00013CE9: 668B855EB14000            mov ax,word ptr [ebp+0040B15E] 
 00013CF0: C3                        ret 
 -----子程序结束------

---被主程序调用-------对磁盘的一些调用 
 00013CF1: 60                        pushad  
 00013CF2: 66C7855EB140000000        mov word ptr [ebp+0040B15E],0000 
 00013CFB: B848B14000                mov eax,0040B148 
 00013D00: 03C5                      add eax,ebp 
 00013D02: BB40B14000                mov ebx,0040B140 
 00013D07: 03DD                      add ebx,ebp 
 00013D09: B91EB14000                mov ecx,0040B11E 
 00013D0E: 03CD                      add ecx,ebp 
 00013D10: 50                        push eax 
 00013D11: 53                        push ebx 
 00013D12: 683F001F00                push 001F003F 
 00013D17: 6A00                      push 00000000 
 00013D19: 6A00                      push 00000000 
 00013D1B: 6A00                      push 00000000 
 00013D1D: 6A00                      push 00000000 
 00013D1F: 51                        push ecx 
 00013D20: 6800000080                push 80000000 
 00013D25: FF9576BC4000              call dword ptr [ebp+0040BC76]     <--GetVolumeInformation
 00013D2B: 663D0000                  cmp ax,0000 
 00013D2F: 755A                      jnz 00013D8B 
 
 00013D31: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 00013D38: 8AE0                      mov ah,al 
 00013D3A: BE60B14000                mov esi,0040B160 
 00013D3F: 03F5                      add esi,ebp 
 00013D41: B93D000000                mov ecx,0000003D 
 
 00013D46: 51                        push ecx 
 00013D47: 8A06                      mov al,byte ptr [esi] 
 00013D49: B104                      mov cl,04 
 00013D4B: D2C0                      rol al,cl 
 00013D4D: 3C00                      cmp al,00 
 00013D4F: 7402                      jz 00013D53 
 00013D51: 32C4                      xor al,ah 
 00013D53: 8806                      mov byte ptr [esi],al 
 00013D55: 46                        inc esi 
 00013D56: 59                        pop ecx 
 00013D57: E2ED                      loop 00013D46 
 
 00013D59: B860B14000                mov eax,0040B160 
 00013D5E: 03C5                      add eax,ebp 
 00013D60: BB50B14000                mov ebx,0040B150 
 00013D65: 03DD                      add ebx,ebp 
 00013D67: 8B8D40B14000              mov ecx,dword ptr [ebp+0040B140] 
 00013D6D: 6A3D                      push 0000003D 
 00013D6F: 50                        push eax 
 00013D70: 6A03                      push 00000003 
 00013D72: 6A00                      push 00000000 
 00013D74: 53                        push ebx 
 00013D75: 51                        push ecx 
 00013D76: FF9582BC4000              call dword ptr [ebp+0040BC82]     <---GetDiskFreeSpaceExA
 00013D7C: 663D0000                  cmp ax,0000 
 00013D80: 7509                      jnz 00013D8B 
 00013D82: 66C7855EB140000100        mov word ptr [ebp+0040B15E],0001 
 00013D8B: 8B8540B14000              mov eax,dword ptr [ebp+0040B140] 
 00013D91: 50                        push eax 
 00013D92: FF957ABC4000              call dword ptr [ebp+0040BC7A]    <---GetExitCodeProcess 
 00013D98: 668B8567B44000            mov ax,word ptr [ebp+0040B467] 
 00013D9F: 8AE0                      mov ah,al 
 00013DA1: BE60B14000                mov esi,0040B160 
 00013DA6: 03F5                      add esi,ebp 
 00013DA8: B93D000000                mov ecx,0000003D 
 
 00013DAD: 51                        push ecx 
 00013DAE: 8A06                      mov al,byte ptr [esi] 
 00013DB0: 3C00                      cmp al,00 
 00013DB2: 7402                      jz 00013DB6 
 00013DB4: 32C4                      xor al,ah 
 00013DB6: B104                      mov cl,04 
 00013DB8: D2C8                      ror al,cl 
 00013DBA: 8806                      mov byte ptr [esi],al 
 00013DBC: 46                        inc esi 
 00013DBD: 59                        pop ecx 
 00013DBE: E2ED                      loop 00013DAD 
 
 00013DC0: 61                        popad  
 00013DC1: 668B855EB14000            mov ax,word ptr [ebp+0040B15E] 
 00013DC8: C3                        ret 
 --------子程序结束----------
 
 00013DC9: 0300                      add eax,dword ptr [eax] 
 00013DCB: 0000                      add byte ptr [eax],al 
 00013DCD: 3D00000077                cmp eax,77000000 
 00013DD2: 7269                      jb 00013E3D 
 00013DD4: 66696C655C7368            imul bp,word ptr [ebp+5C],6873 
 00013DDB: 656C                      insb es:[edi],dx 
 00013DDD: 6C                        insb es:[edi],dx 
 00013DDE: 5C                        pop esp 
 00013DDF: 6F                        outsd dx,ds:[esi] 
 00013DE0: 7065                      jo 00013E47 
 00013DE2: 6E                        outsb dx,ds:[esi] 
 00013DE3: 5C                        pop esp 
 00013DE4: 636F6D                    arpl word ptr [edi+6D],bp 
 00013DE7: 6D                        insd es:[edi],dx 
 00013DE8: 61                        popad  
 00013DE9: 6E                        outsb dx,ds:[esi] 
 00013DEA: 645C                      pop esp 
 00013DEC: 636F6E                    arpl word ptr [edi+6E],bp 
 00013DEF: 666967000000              imul sp,word ptr [edi],0000 
 00013DF5: 0000                      add byte ptr [eax],al 
 00013DF7: 0000                      add byte ptr [eax],al 
 00013DF9: 0000                      add byte ptr [eax],al 
 00013DFB: 0000                      add byte ptr [eax],al 
 00013DFD: 0000                      add byte ptr [eax],al 
 00013DFF: 0000                      add byte ptr [eax],al 
 00013E01: 0000                      add byte ptr [eax],al 
 00013E03: 91                        xchg eax,ecx 
 00013E04: 808880B580A380            or byte ptr [eax-5C7F4A80],80 
 00013E0B: C8800000                  enter 0080,00 
 00013E0F: 0000                      add byte ptr [eax],al 
 00013E11: 0000                      add byte ptr [eax],al 
 00013E13: 0000                      add byte ptr [eax],al 
 00013E15: 0000                      add byte ptr [eax],al 
 00013E17: 0000                      add byte ptr [eax],al 
 00013E19: 0000                      add byte ptr [eax],al 
 00013E1B: 0000                      add byte ptr [eax],al 
 00013E1D: 0000                      add byte ptr [eax],al 
 00013E1F: 0000                      add byte ptr [eax],al 
 00013E21: 0000                      add byte ptr [eax],al 
 00013E23: 0000                      add byte ptr [eax],al 
 00013E25: 0000                      add byte ptr [eax],al 
 00013E27: 0000                      add byte ptr [eax],al 
 00013E29: 0000                      add byte ptr [eax],al 
 00013E2B: 0000                      add byte ptr [eax],al 
 00013E2D: 0000                      add byte ptr [eax],al 
 00013E2F: 0000                      add byte ptr [eax],al 
 00013E31: 0000                      add byte ptr [eax],al 
 00013E33: 0000                      add byte ptr [eax],al 
 00013E35: 0000                      add byte ptr [eax],al 
 00013E37: 0000                      add byte ptr [eax],al 
 00013E39: 0000                      add byte ptr [eax],al 
 00013E3B: 0000                      add byte ptr [eax],al 
 00013E3D: 0000                      add byte ptr [eax],al 
 00013E3F: 0000                      add byte ptr [eax],al 
 00013E41: 0000                      add byte ptr [eax],al 
 00013E43: 0000                      add byte ptr [eax],al 
 00013E45: 0000                      add byte ptr [eax],al 
 00013E47: 0000                      add byte ptr [eax],al 
 00013E49: 0000                      add byte ptr [eax],al 
 00013E4B: 0000                      add byte ptr [eax],al 
 00013E4D: 0000                      add byte ptr [eax],al 
 00013E4F: 0000                      add byte ptr [eax],al 
 00013E51: 0000                      add byte ptr [eax],al 
 00013E53: 0000                      add byte ptr [eax],al 
 00013E55: 0000                      add byte ptr [eax],al 
 00013E57: 0000                      add byte ptr [eax],al 
 00013E59: 0000                      add byte ptr [eax],al 
 00013E5B: 0000                      add byte ptr [eax],al 
 00013E5D: 0000                      add byte ptr [eax],al 
 00013E5F: 0000                      add byte ptr [eax],al 
 00013E61: 0000                      add byte ptr [eax],al 
 00013E63: 0000                      add byte ptr [eax],al 
 00013E65: 0000                      add byte ptr [eax],al 
 00013E67: 0000                      add byte ptr [eax],al 
 00013E69: 0000                      add byte ptr [eax],al 
 00013E6B: 0000                      add byte ptr [eax],al 
 00013E6D: 0000                      add byte ptr [eax],al 
 00013E6F: 0000                      add byte ptr [eax],al 
 00013E71: 0000                      add byte ptr [eax],al 
 00013E73: 0000                      add byte ptr [eax],al 
 00013E75: 0000                      add byte ptr [eax],al 
 00013E77: 0000                      add byte ptr [eax],al 
 00013E79: 0000                      add byte ptr [eax],al 
 00013E7B: 0000                      add byte ptr [eax],al 
 00013E7D: 0000                      add byte ptr [eax],al 
 00013E7F: 0000                      add byte ptr [eax],al 
 00013E81: 0000                      add byte ptr [eax],al 
 00013E83: 0000                      add byte ptr [eax],al 
 00013E85: 0000                      add byte ptr [eax],al 
 00013E87: 0000                      add byte ptr [eax],al 
 00013E89: 0000                      add byte ptr [eax],al 
 00013E8B: 0000                      add byte ptr [eax],al 
 00013E8D: 0000                      add byte ptr [eax],al 
 00013E8F: 0000                      add byte ptr [eax],al 
 00013E91: 0000                      add byte ptr [eax],al 
 00013E93: 0000                      add byte ptr [eax],al 
 00013E95: 0000                      add byte ptr [eax],al 
 00013E97: 0000                      add byte ptr [eax],al 
 00013E99: 0000                      add byte ptr [eax],al 
 00013E9B: 0000                      add byte ptr [eax],al 
 00013E9D: 0000                      add byte ptr [eax],al 
 00013E9F: 0000                      add byte ptr [eax],al 
 00013EA1: 0000                      add byte ptr [eax],al 
 00013EA3: 0000                      add byte ptr [eax],al 
 00013EA5: 0000                      add byte ptr [eax],al 
 00013EA7: 0000                      add byte ptr [eax],al 
 00013EA9: 0000                      add byte ptr [eax],al 
 00013EAB: 0000                      add byte ptr [eax],al 
 00013EAD: 0003                      add byte ptr [ebx],al 
 00013EAF: 0000                      add byte ptr [eax],al 
 00013EB1: 0029                      add byte ptr [ecx],ch 
 00013EB3: 0000                      add byte ptr [eax],al 
 00013EB5: 002A                      add byte ptr [edx],ch 
 00013EB7: 00494E                    add byte ptr [ecx+4E],cl 
 00013EBA: 5F                        pop edi 
 00013EBB: 43                        inc ebx 
 00013EBC: 4F                        dec edi 
 00013EBD: 44                        inc esp 
 00013EBE: 45                        inc ebp 
 00013EBF: 0000                      add byte ptr [eax],al 
 00013EC1: 0000                      add byte ptr [eax],al 
 00013EC3: 0020                      add byte ptr [eax],ah 
 00013EC5: 2020                      and byte ptr [eax],ah 
 00013EC7: 2020                      and byte ptr [eax],ah 
 00013EC9: 2020                      and byte ptr [eax],ah 
 00013ECB: 2020                      and byte ptr [eax],ah 
 00013ECD: 2020                      and byte ptr [eax],ah 
 00013ECF: B1BE                      mov cl,BE 
 00013ED1: C8EDBCFE                  enter BCED,FE 
 00013ED5: D3C9                      ror ecx,cl 
 00013ED7: 20BBC3D3B076              and byte ptr [ebx+76B0D3C3],bh 
 00013EDD: 312E                      xor dword ptr [esi],ebp 
 00013EDF: 3520CEB4D7                xor eax,D7B4CE20 
 00013EE4: A2B2E1B0E6                mov [E6B0E1B2],al 
 00013EE9: B1BE                      mov cl,BE 
 00013EEB: BCD3C3DC20                mov esp,20DCC3D3 
 00013EF0: 2020                      and byte ptr [eax],ah 
 00013EF2: 2020                      and byte ptr [eax],ah 
 00013EF4: 2038                      and byte ptr [eax],bh 
 00013EF6: 3530343400                xor eax,00343430 
 00013EFB: 0000                      add byte ptr [eax],al 
 00013EFD: 0000                      add byte ptr [eax],al 
 00013EFF: 0000                      add byte ptr [eax],al 
 00013EE0: 20CE                      and dh,cl 
 00013EE2: B4D7                      mov ah,D7 
 00013EE4: A2B2E1B0E6                mov [E6B0E1B2],al 
 00013EE9: B1BE                      mov cl,BE 
 00013EEB: BCD3C3DC20                mov esp,20DCC3D3 
 00013EF0: 2020                      and byte ptr [eax],ah 
 00013EF2: 2020                      and byte ptr [eax],ah 
 00013EF4: 2020                      and byte ptr [eax],ah 
 00013EF6: 2020                      and byte ptr [eax],ah 
 00013EF8: 2020                      and byte ptr [eax],ah 
 00013EFA: 0D0A0D0A20                or eax,200A0D0A 
 00013EFF: 54                        push esp 
 00013F00: 6869732070                push 70207369 
 00013F05: 726F                      jb 00013F76 
 00013F07: 677261                    jb 00013F6B 
 00013F0A: 6D                        insd es:[edi],dx 
 00013F0B: 207072                    and byte ptr [eax+72],dh 
 00013F0E: 6F                        outsd dx,ds:[esi] 
 00013F0F: 7465                      jz 00013F76 
 00013F11: 63746564                  arpl word ptr [ebp+64],si 
 00013F15: 206279                    and byte ptr [edx+79],ah 
 00013F18: 20444250                  and byte ptr [edx+eax*2+50],al 
 00013F1C: 45                        inc ebp 
 00013F1D: 207631                    and byte ptr [esi+31],dh 
 00013F20: 2E352020556E              xor eax,6E552020 
 00013F26: 7265                      jb 00013F8D 
 00013F28: 6769737465726564          imul esi,dword ptr [bp+di+74],64657265 
 00013F30: 207665                    and byte ptr [esi+65],dh 
 00013F33: 7273                      jb 00013FA8 
 00013F35: 696F6E0D0A0D0A            imul ebp,dword ptr [edi+6E],0A0D0A0D 
 00013F3C: 0D0A0D0A20                or eax,200A0D0A 
 00013F41: 48                        dec eax 
 00013F42: 6F                        outsd dx,ds:[esi] 
 00013F43: 6D                        insd es:[edi],dx 
 00013F44: 657061                    jo 00013FA8 
 00013F47: 67653A20                  cmp ah,byte ptr gs:[bx+si] 
 00013F4B: 687474703A                push 3A707474 
 00013F50: 2F                        das 
 00013F51: 2F                        das 
 00013F52: 667364                    jnb 00013FB9 
 00013F55: 622E                      bound ebp,dword ptr [esi] 
 00013F57: 7965                      jns 00013FBE 
 00013F59: 61                        popad  
 00013F5A: 682E6E6574                push 74656E2E 
 00013F5F: 2020                      and byte ptr [eax],ah 
 00013F61: 2020                      and byte ptr [eax],ah 
 00013F63: 45                        inc ebp 
 00013F64: 2D6D61696C                sub eax,6C69616D 
 00013F69: 3A20                      cmp ah,byte ptr [eax] 
 00013F6B: 44                        inc esp 
 00013F6C: 2E42                      inc edx 
 00013F6E: 6F                        outsd dx,ds:[esi] 
 00013F6F: 7940                      jns 00013FB1 
 00013F71: 3132                      xor dword ptr [edx],esi 
 00013F73: 362E636F6D                arpl word ptr cs:[edi+6D],bp 
 00013F78: 200D0A007C7C              and byte ptr [7C7C000A],cl 
 00013F7E: 00D0                      add al,dl 
 00013F80: 0000                      add byte ptr [eax],al 
 00013F82: CC                        int 3 
 00013F83: 1000                      adc byte ptr [eax],al 
 00013F85: 0000                      add byte ptr [eax],al 
 00013F87: 0000                      add byte ptr [eax],al 
 00013F89: 0000                      add byte ptr [eax],al 
 00013F8B: 1000                      adc byte ptr [eax],al 
 00013F8D: 0000                      add byte ptr [eax],al 
 00013F8F: 40                        inc eax 
 00013F90: 0000                      add byte ptr [eax],al 
 00013F92: 005000                    add byte ptr [eax],dl 
 00013F95: 0000                      add byte ptr [eax],al 
 00013F97: 1000                      adc byte ptr [eax],al 
 00013F99: 0000                      add byte ptr [eax],al 
 00013F9B: 60                        pushad  
 00013F9C: 0000                      add byte ptr [eax],al 
 00013F9E: 0010                      add byte ptr [eax],dl 
 00013FA0: 0000                      add byte ptr [eax],al 
 00013FA2: 00C0                      add al,al 
 00013FA4: 0000                      add byte ptr [eax],al 
 00013FA6: 0010                      add byte ptr [eax],dl 
 00013FA8: 0000                      add byte ptr [eax],al 
 00013FAA: 0000                      add byte ptr [eax],al 
 00013FAC: 0000                      add byte ptr [eax],al 
 00013FAE: 0000                      add byte ptr [eax],al 
 00013FB0: 0000                      add byte ptr [eax],al 
 00013FB2: 0000                      add byte ptr [eax],al 
 00013FB4: 0000                      add byte ptr [eax],al 
 00013FB6: 0000                      add byte ptr [eax],al 
 00013FB8: 0000                      add byte ptr [eax],al 
 00013FBA: 0000                      add byte ptr [eax],al 
 00013FBC: 0000                      add byte ptr [eax],al 
 00013FBE: 0000                      add byte ptr [eax],al 
 00013FC0: 0000                      add byte ptr [eax],al 
 00013FC2: 0000                      add byte ptr [eax],al 
 00013FC4: 0000                      add byte ptr [eax],al 
 00013FC6: 0000                      add byte ptr [eax],al 
 00013FC8: 0000                      add byte ptr [eax],al 
 00013FCA: 0000                      add byte ptr [eax],al 
 00013FCC: 0000                      add byte ptr [eax],al 
 00013FCE: 0000                      add byte ptr [eax],al 
 00013FD0: 0000                      add byte ptr [eax],al 
 00013FD2: 0000                      add byte ptr [eax],al 
 00013FD4: 0000                      add byte ptr [eax],al 
 00013FD6: 0000                      add byte ptr [eax],al 
 00013FD8: 0000                      add byte ptr [eax],al 
 00013FDA: 0000                      add byte ptr [eax],al 
 00013FDC: 0000                      add byte ptr [eax],al 
 00013FDE: 0000                      add byte ptr [eax],al 
 00013FE0: 0000                      add byte ptr [eax],al 
 00013FE2: 0000                      add byte ptr [eax],al 
 00013FE4: 0000                      add byte ptr [eax],al 
 00013FE6: 0000                      add byte ptr [eax],al 
 00013FE8: 0000                      add byte ptr [eax],al 
 00013FEA: 0000                      add byte ptr [eax],al 
 00013FEC: 0000                      add byte ptr [eax],al 
 00013FEE: 0000                      add byte ptr [eax],al 
 00013FF0: 0000                      add byte ptr [eax],al 
 00013FF2: 0000                      add byte ptr [eax],al 
 00013FF4: 0000                      add byte ptr [eax],al 
 00013FF6: 0000                      add byte ptr [eax],al 
 00013FF8: 0000                      add byte ptr [eax],al 
 00013FFA: 0000                      add byte ptr [eax],al 
 00013FFC: 0000                      add byte ptr [eax],al 
 00013FFE: 0000                      add byte ptr [eax],al 
 00014000: 0000                      add byte ptr [eax],al 
 00014002: 0000                      add byte ptr [eax],al 
 00014004: 0000                      add byte ptr [eax],al 
 00014006: 0000                      add byte ptr [eax],al 
 00014008: 0000                      add byte ptr [eax],al 
 0001400A: 0000                      add byte ptr [eax],al 
 0001400C: 0000                      add byte ptr [eax],al 
 0001400E: 0000                      add byte ptr [eax],al 
 00014010: 0000                      add byte ptr [eax],al 
 00014012: 0000                      add byte ptr [eax],al 
 00014014: 0000                      add byte ptr [eax],al 
 00014016: 0000                      add byte ptr [eax],al 
 00014018: 0000                      add byte ptr [eax],al 
 0001401A: 0000                      add byte ptr [eax],al 
 0001401C: 0000                      add byte ptr [eax],al 
 0001401E: 0000                      add byte ptr [eax],al 
 00014020: 0000                      add byte ptr [eax],al 
 00014022: 0000                      add byte ptr [eax],al 
 00014024: 0000                      add byte ptr [eax],al 
 00014026: 0000                      add byte ptr [eax],al 
 00014028: 0000                      add byte ptr [eax],al 
 0001402A: 0000                      add byte ptr [eax],al 
 0001402C: 0000                      add byte ptr [eax],al 
 0001402E: 0000                      add byte ptr [eax],al 
 00014030: 0000                      add byte ptr [eax],al 
 00014032: 0000                      add byte ptr [eax],al 
 00014034: 0000                      add byte ptr [eax],al 
 00014036: 0000                      add byte ptr [eax],al 
 00014038: 0000                      add byte ptr [eax],al 
 0001403A: 0000                      add byte ptr [eax],al 
 0001403C: 0000                      add byte ptr [eax],al 
 0001403E: 0000                      add byte ptr [eax],al 
 00014040: 0000                      add byte ptr [eax],al 
 00014042: 0000                      add byte ptr [eax],al 
 00014044: 0000                      add byte ptr [eax],al 
 00014046: 0000                      add byte ptr [eax],al 
 00014048: 0000                      add byte ptr [eax],al 
 0001404A: 0000                      add byte ptr [eax],al 
 0001404C: 0000                      add byte ptr [eax],al 
 0001404E: 0000                      add byte ptr [eax],al 
 00014050: 0000                      add byte ptr [eax],al 
 00014052: 0000                      add byte ptr [eax],al 
 00014054: 0000                      add byte ptr [eax],al 
 00014056: 0000                      add byte ptr [eax],al 
 00014058: 0000                      add byte ptr [eax],al 
 0001405A: 0000                      add byte ptr [eax],al 
 0001405C: 0000                      add byte ptr [eax],al 
 0001405E: 0000                      add byte ptr [eax],al 
 00014060: 0000                      add byte ptr [eax],al 
 00014062: 0000                      add byte ptr [eax],al 
 00014064: 0000                      add byte ptr [eax],al 
 00014066: 0000                      add byte ptr [eax],al 
 00014068: 0000                      add byte ptr [eax],al 
 0001406A: 0000                      add byte ptr [eax],al 
 0001406C: 0000                      add byte ptr [eax],al 
 0001406E: 0000                      add byte ptr [eax],al 
 00014070: 0000                      add byte ptr [eax],al 
 00014072: 0000                      add byte ptr [eax],al 
 00014074: 0000                      add byte ptr [eax],al 
 00014076: 0000                      add byte ptr [eax],al 
 00014078: 0000                      add byte ptr [eax],al 
 0001407A: 0000                      add byte ptr [eax],al 
 0001407C: 0000                      add byte ptr [eax],al 
 0001407E: 0000                      add byte ptr [eax],al 
 00014080: 0000                      add byte ptr [eax],al 
 00014082: 0000                      add byte ptr [eax],al 
 00014084: 0000                      add byte ptr [eax],al 
 00014086: 0000                      add byte ptr [eax],al 
 00014088: 0000                      add byte ptr [eax],al 
 0001408A: 0000                      add byte ptr [eax],al 
 0001408C: 0000                      add byte ptr [eax],al 
 0001408E: 0000                      add byte ptr [eax],al 
 00014090: 0000                      add byte ptr [eax],al 
 00014092: 0000                      add byte ptr [eax],al 
 00014094: 0000                      add byte ptr [eax],al 
 00014096: 0000                      add byte ptr [eax],al 
 00014098: 0000                      add byte ptr [eax],al 
 0001409A: 0000                      add byte ptr [eax],al 
 0001409C: 0000                      add byte ptr [eax],al 
 0001409E: 0000                      add byte ptr [eax],al 
 000140A0: 0000                      add byte ptr [eax],al 
 000140A2: 0000                      add byte ptr [eax],al 
 000140A4: 0000                      add byte ptr [eax],al 
 000140A6: 0000                      add byte ptr [eax],al 
 000140A8: 0000                      add byte ptr [eax],al 
 000140AA: 0000                      add byte ptr [eax],al 
 000140AC: 0000                      add byte ptr [eax],al 
 000140AE: 0000                      add byte ptr [eax],al 
 000140B0: 0000                      add byte ptr [eax],al 
 000140B2: 0000                      add byte ptr [eax],al 
 000140B4: 0000                      add byte ptr [eax],al 
 000140B6: 0000                      add byte ptr [eax],al 
 000140B8: 0000                      add byte ptr [eax],al 
 000140BA: 0000                      add byte ptr [eax],al 
 000140BC: 0000                      add byte ptr [eax],al 
 000140BE: 0000                      add byte ptr [eax],al 
 000140C0: 0000                      add byte ptr [eax],al 
 000140C2: 0000                      add byte ptr [eax],al 
 000140C4: 0000                      add byte ptr [eax],al 
 000140C6: 0000                      add byte ptr [eax],al 
 000140C8: 0000                      add byte ptr [eax],al 
 000140CA: 0000                      add byte ptr [eax],al 
 000140CC: 0000                      add byte ptr [eax],al 
 000140CE: 0000                      add byte ptr [eax],al 
 000140D0: 0000                      add byte ptr [eax],al 
 000140D2: 0000                      add byte ptr [eax],al 
 000140D4: 0000                      add byte ptr [eax],al 
 000140D6: 0000                      add byte ptr [eax],al 
 000140D8: 0000                      add byte ptr [eax],al 
 000140DA: 0000                      add byte ptr [eax],al 
 000140DC: 0000                      add byte ptr [eax],al 
 000140DE: 0000                      add byte ptr [eax],al 
 000140E0: 0000                      add byte ptr [eax],al 
 000140E2: 0000                      add byte ptr [eax],al 
 000140E4: 0000                      add byte ptr [eax],al 
 000140E6: 0000                      add byte ptr [eax],al 
 000140E8: 0000                      add byte ptr [eax],al 
 000140EA: 0000                      add byte ptr [eax],al 
 000140EC: 0000                      add byte ptr [eax],al 
 000140EE: 0000                      add byte ptr [eax],al 
 000140F0: 0000                      add byte ptr [eax],al 
 000140F2: 0000                      add byte ptr [eax],al 
 000140F4: 0000                      add byte ptr [eax],al 
 000140F6: 0000                      add byte ptr [eax],al 
 000140F8: 0000                      add byte ptr [eax],al 
 000140FA: 0000                      add byte ptr [eax],al 
 000140FC: 0000                      add byte ptr [eax],al 
 000140FE: 0000                      add byte ptr [eax],al 
 00014100: 0000                      add byte ptr [eax],al 
 00014102: 0000                      add byte ptr [eax],al 
 00014104: 0000                      add byte ptr [eax],al 
 00014106: 0000                      add byte ptr [eax],al 
 00014108: 0000                      add byte ptr [eax],al 
 0001410A: 0000                      add byte ptr [eax],al 
 0001410C: 0000                      add byte ptr [eax],al 
 0001410E: 0000                      add byte ptr [eax],al 
 00014110: 0000                      add byte ptr [eax],al 
 00014112: 0000                      add byte ptr [eax],al 
 00014114: 0000                      add byte ptr [eax],al 
 00014116: 0000                      add byte ptr [eax],al 
 00014118: 0000                      add byte ptr [eax],al 
 0001411A: C8800060                  enter 0080,60 
 0001411E: 0000                      add byte ptr [eax],al 
 00014120: 00C0                      add al,al 
 00014122: 0000                      add byte ptr [eax],al 
 00014124: 0000                      add byte ptr [eax],al 
 00014126: 0000                      add byte ptr [eax],al 
 00014128: 0000                      add byte ptr [eax],al 
 0001412A: 0000                      add byte ptr [eax],al 
 0001412C: 0000                      add byte ptr [eax],al 
 0001412E: 40                        inc eax 
 0001412F: 0000                      add byte ptr [eax],al 
 00014131: 0000                      add byte ptr [eax],al 
 00014133: 0000                      add byte ptr [eax],al 
 00014135: 0000                      add byte ptr [eax],al 
 00014137: 0000                      add byte ptr [eax],al 
 00014139: 0000                      add byte ptr [eax],al 
 0001413B: 0000                      add byte ptr [eax],al 
 0001413D: 0000                      add byte ptr [eax],al 
 0001413F: 00443A5C                  add byte ptr [edx+edi+5C],al 
 00014143: 54                        push esp 
 00014144: 45                        inc ebp 
 00014145: 4D                        dec ebp 
 00014146: 50                        push eax 
 00014147: 5C                        pop esp 
 00014148: 64627065                  bound esi,dword ptr fs:[eax+65] 
 0001414C: 5C                        pop esp 
 0001414D: 54                        push esp 
 0001414E: 45                        inc ebp 
 0001414F: 53                        push ebx 
 00014150: 54                        push esp 
 00014151: 5C                        pop esp 
 00014152: 54                        push esp 
 00014153: 45                        inc ebp 
 00014154: 53                        push ebx 
 00014155: 54                        push esp 
 00014156: 315C4442                  xor dword ptr [esp+eax*2+42],ebx 
 0001415A: 4E                        dec esi 
 0001415B: 6F                        outsd dx,ds:[esi] 
 0001415C: 7465                      jz 000141C3 
 0001415E: 2E45                      inc ebp 
 00014160: 58                        pop eax 
 00014161: 45                        inc ebp 
 00014162: 0000                      add byte ptr [eax],al 
 00014164: 0000                      add byte ptr [eax],al 
 00014166: 0000                      add byte ptr [eax],al 
 00014168: 0000                      add byte ptr [eax],al 
 0001416A: 0000                      add byte ptr [eax],al 
 0001416C: 0000                      add byte ptr [eax],al 
 0001416E: 0000                      add byte ptr [eax],al 
 00014170: 0000                      add byte ptr [eax],al 
 00014172: 0000                      add byte ptr [eax],al 
 00014174: 0000                      add byte ptr [eax],al 
 00014176: 0000                      add byte ptr [eax],al 
 00014178: 0000                      add byte ptr [eax],al 
 0001417A: 0000                      add byte ptr [eax],al 
 0001417C: 0000                      add byte ptr [eax],al 
 0001417E: 0000                      add byte ptr [eax],al 
 00014180: 0000                      add byte ptr [eax],al 
 00014182: 0000                      add byte ptr [eax],al 
 00014184: 0000                      add byte ptr [eax],al 
 00014186: 0000                      add byte ptr [eax],al 
 00014188: 0000                      add byte ptr [eax],al 
 0001418A: 0000                      add byte ptr [eax],al 
 0001418C: 0000                      add byte ptr [eax],al 
 0001418E: 0000                      add byte ptr [eax],al 
 00014190: 0000                      add byte ptr [eax],al 
 00014192: 0000                      add byte ptr [eax],al 
 00014194: 0000                      add byte ptr [eax],al 
 00014196: 0000                      add byte ptr [eax],al 
 00014198: 0000                      add byte ptr [eax],al 
 0001419A: 0000                      add byte ptr [eax],al 
 0001419C: 0000                      add byte ptr [eax],al 
 0001419E: 0000                      add byte ptr [eax],al 
 000141A0: 0000                      add byte ptr [eax],al 
 000141A2: 0000                      add byte ptr [eax],al 
 000141A4: 7C7C                      jl 00014222 
 000141A6: 0020                      add byte ptr [eax],ah 
 000141A8: BBB6D3AD20                mov ebx,20ADD3B6 
 000141AD: 205E5F                    and byte ptr [esi+5F],bl 
 000141B0: 5E                        pop esi 
 000141B1: 0000                      add byte ptr [eax],al 
 000141B3: 0000                      add byte ptr [eax],al 
 000141B5: 0000                      add byte ptr [eax],al 
 000141B7: 0000                      add byte ptr [eax],al 
 000141B9: 0000                      add byte ptr [eax],al 
 000141BB: 0000                      add byte ptr [eax],al 
 000141BD: 0000                      add byte ptr [eax],al 
 000141BF: 0000                      add byte ptr [eax],al 
 000141C1: 0000                      add byte ptr [eax],al 
 000141C3: 0000                      add byte ptr [eax],al 
 000141C5: 0000                      add byte ptr [eax],al 
 000141C7: 0000                      add byte ptr [eax],al 
 000141C9: 0000                      add byte ptr [eax],al 
 000141CB: 0000                      add byte ptr [eax],al 
 000141CD: 0000                      add byte ptr [eax],al 
 000141CF: 0020                      add byte ptr [eax],ah 
 000141D1: 2020                      and byte ptr [eax],ah 
 000141D3: 2020                      and byte ptr [eax],ah 
 000141D5: 383530343400              cmp byte ptr [00343430],dh 
 000141DB: 0000                      add byte ptr [eax],al 
 000141DD: 0000                      add byte ptr [eax],al 
 000141DF: 0000                      add byte ptr [eax],al 
 000141C0: 0000                      add byte ptr [eax],al 
 000141C2: 0000                      add byte ptr [eax],al 
 000141C4: 0000                      add byte ptr [eax],al 
 000141C6: 0000                      add byte ptr [eax],al 
 000141C8: 0000                      add byte ptr [eax],al 
 000141CA: 0000                      add byte ptr [eax],al 
 000141CC: 0000                      add byte ptr [eax],al 
 000141CE: 0000                      add byte ptr [eax],al 
 000141D0: 0000                      add byte ptr [eax],al 
 000141D2: 0000                      add byte ptr [eax],al 
 000141D4: 0000                      add byte ptr [eax],al 
 000141D6: 0000                      add byte ptr [eax],al 
 000141D8: 0000                      add byte ptr [eax],al 
 000141DA: 0000                      add byte ptr [eax],al 
 000141DC: 0000                      add byte ptr [eax],al 
 000141DE: 0000                      add byte ptr [eax],al 
 000141E0: 0000                      add byte ptr [eax],al 
 000141E2: 0000                      add byte ptr [eax],al 
 000141E4: 0000                      add byte ptr [eax],al 
 000141E6: 0000                      add byte ptr [eax],al 
 000141E8: 0000                      add byte ptr [eax],al 
 000141EA: 0000                      add byte ptr [eax],al 
 000141EC: 0000                      add byte ptr [eax],al 
 000141EE: 0000                      add byte ptr [eax],al 
 000141F0: 0000                      add byte ptr [eax],al 
 000141F2: 0000                      add byte ptr [eax],al 
 000141F4: 0000                      add byte ptr [eax],al 
 000141F6: 0000                      add byte ptr [eax],al 
 000141F8: 0000                      add byte ptr [eax],al 
 000141FA: 0000                      add byte ptr [eax],al 
 000141FC: 0000                      add byte ptr [eax],al 
 000141FE: 0000                      add byte ptr [eax],al 
 00014200: 0000                      add byte ptr [eax],al 
 00014202: 0000                      add byte ptr [eax],al 
 00014204: 0000                      add byte ptr [eax],al 
 00014206: 0000                      add byte ptr [eax],al 
 00014208: 0000                      add byte ptr [eax],al 
 0001420A: 0000                      add byte ptr [eax],al 
 0001420C: 0000                      add byte ptr [eax],al 
 0001420E: 0000                      add byte ptr [eax],al 
 00014210: 0000                      add byte ptr [eax],al 
 00014212: 0000                      add byte ptr [eax],al 
 00014214: 0000                      add byte ptr [eax],al 
 00014216: 0000                      add byte ptr [eax],al 
 00014218: 0000                      add byte ptr [eax],al 
 0001421A: 0000                      add byte ptr [eax],al 
 0001421C: 0000                      add byte ptr [eax],al 
 0001421E: 0000                      add byte ptr [eax],al 
 00014220: 0000                      add byte ptr [eax],al 
 00014222: 0000                      add byte ptr [eax],al 
 00014224: 0000                      add byte ptr [eax],al 
 00014226: 0000                      add byte ptr [eax],al 
 00014228: 0000                      add byte ptr [eax],al 
 0001422A: 0000                      add byte ptr [eax],al 
 0001422C: 0000                      add byte ptr [eax],al 
 0001422E: 0000                      add byte ptr [eax],al 
 00014230: 0000                      add byte ptr [eax],al 
 00014232: 0000                      add byte ptr [eax],al 
 00014234: 0000                      add byte ptr [eax],al 
 00014236: 0000                      add byte ptr [eax],al 
 00014238: 0000                      add byte ptr [eax],al 
 0001423A: 0000                      add byte ptr [eax],al 
 0001423C: 0000                      add byte ptr [eax],al 
 0001423E: 0000                      add byte ptr [eax],al 
 00014240: 0000                      add byte ptr [eax],al 
 00014242: 0000                      add byte ptr [eax],al 
 00014244: 0000                      add byte ptr [eax],al 
 00014246: 0000                      add byte ptr [eax],al 
 00014248: 0000                      add byte ptr [eax],al 
 0001424A: 0000                      add byte ptr [eax],al 
 0001424C: 0000                      add byte ptr [eax],al 
 0001424E: 0000                      add byte ptr [eax],al 
 00014250: 0000                      add byte ptr [eax],al 
 00014252: 0000                      add byte ptr [eax],al 
 00014254: 0000                      add byte ptr [eax],al 
 00014256: 0000                      add byte ptr [eax],al 
 00014258: 0000                      add byte ptr [eax],al 
 0001425A: 0000                      add byte ptr [eax],al 
 0001425C: 0000                      add byte ptr [eax],al 
 0001425E: 0000                      add byte ptr [eax],al 
 00014260: 0000                      add byte ptr [eax],al 
 00014262: 0000                      add byte ptr [eax],al 
 00014264: 0000                      add byte ptr [eax],al 
 00014266: 0000                      add byte ptr [eax],al 
 00014268: 0000                      add byte ptr [eax],al 
 0001426A: 0000                      add byte ptr [eax],al 
 0001426C: 0000                      add byte ptr [eax],al 
 0001426E: 0000                      add byte ptr [eax],al 
 00014270: 0000                      add byte ptr [eax],al 
 00014272: 0000                      add byte ptr [eax],al 
 00014274: 0000                      add byte ptr [eax],al 
 00014276: 0000                      add byte ptr [eax],al 
 00014278: 0000                      add byte ptr [eax],al 
 0001427A: 0000                      add byte ptr [eax],al 
 0001427C: 0000                      add byte ptr [eax],al 
 0001427E: 0000                      add byte ptr [eax],al 
 00014280: 0000                      add byte ptr [eax],al 
 00014282: 0000                      add byte ptr [eax],al 
 00014284: 0000                      add byte ptr [eax],al 
 00014286: 0000                      add byte ptr [eax],al 
 00014288: 0000                      add byte ptr [eax],al 
 0001428A: 0000                      add byte ptr [eax],al 
 0001428C: 0000                      add byte ptr [eax],al 
 0001428E: 0000                      add byte ptr [eax],al 
 00014290: 0000                      add byte ptr [eax],al 
 00014292: 0000                      add byte ptr [eax],al 
 00014294: 0000                      add byte ptr [eax],al 
 00014296: 0000                      add byte ptr [eax],al 
 00014298: 0000                      add byte ptr [eax],al 
 0001429A: 0000                      add byte ptr [eax],al 
 0001429C: 0000                      add byte ptr [eax],al 
 0001429E: 0000                      add byte ptr [eax],al 
 000142A0: 0000                      add byte ptr [eax],al 
 000142A2: 0000                      add byte ptr [eax],al 
 000142A4: 0000                      add byte ptr [eax],al 
 000142A6: 0000                      add byte ptr [eax],al 
 000142A8: 0000                      add byte ptr [eax],al 
 000142AA: 0000                      add byte ptr [eax],al 
 000142AC: 0000                      add byte ptr [eax],al 
 000142AE: 0000                      add byte ptr [eax],al 
 000142B0: 0000                      add byte ptr [eax],al 
 000142B2: 0000                      add byte ptr [eax],al 
 000142B4: 0000                      add byte ptr [eax],al 
 000142B6: 0000                      add byte ptr [eax],al 
 000142B8: 0000                      add byte ptr [eax],al 
 000142BA: 0000                      add byte ptr [eax],al 
 000142BC: 0000                      add byte ptr [eax],al 
 000142BE: 0000                      add byte ptr [eax],al 
 000142C0: 0000                      add byte ptr [eax],al 
 000142C2: 0000                      add byte ptr [eax],al 
 000142C4: 0000                      add byte ptr [eax],al 
 000142C6: 0000                      add byte ptr [eax],al 
 000142C8: 0000                      add byte ptr [eax],al 
 000142CA: 0000                      add byte ptr [eax],al 
 000142CC: 0000                      add byte ptr [eax],al 
 000142CE: 0000                      add byte ptr [eax],al 
 000142D0: 7C7C                      jl 0001434E 
 000142D2: 0020                      add byte ptr [eax],ah 
 000142D4: 2020                      and byte ptr [eax],ah 
 000142D6: 2020                      and byte ptr [eax],ah 
 000142D8: 2020                      and byte ptr [eax],ah 
 000142DA: CAD4D3                    retf D3D4 
 000142DD: C3                        ret 
 000142DE: C6DAD2                    mov dl,D2 
 000142E1: D1B9FDA1A320              sar dword ptr [ecx+20A3A1FD],1 
 000142E7: 0D0A0D0A00                or eax,000A0D0A 
 000142EC: 0000                      add byte ptr [eax],al 
 000142EE: 0000                      add byte ptr [eax],al 
 000142F0: 0000                      add byte ptr [eax],al 
 000142F2: 0000                      add byte ptr [eax],al 
 000142F4: 0000                      add byte ptr [eax],al 
 000142F6: 0000                      add byte ptr [eax],al 
 000142F8: 0000                      add byte ptr [eax],al 
 000142FA: 0000                      add byte ptr [eax],al 
 000142FC: 0000                      add byte ptr [eax],al 
 000142FE: 0000                      add byte ptr [eax],al 
 00014300: 0000                      add byte ptr [eax],al 
 00014302: 0000                      add byte ptr [eax],al 
 00014304: 0000                      add byte ptr [eax],al 
 00014306: 0000                      add byte ptr [eax],al 
 00014308: 0000                      add byte ptr [eax],al 
 0001430A: 0000                      add byte ptr [eax],al 
 0001430C: 0000                      add byte ptr [eax],al 
 0001430E: 0000                      add byte ptr [eax],al 
 00014310: 0000                      add byte ptr [eax],al 
 00014312: 0000                      add byte ptr [eax],al 
 00014314: 0000                      add byte ptr [eax],al 
 00014316: 0000                      add byte ptr [eax],al 
 00014318: 0000                      add byte ptr [eax],al 
 0001431A: 0000                      add byte ptr [eax],al 
 0001431C: 0000                      add byte ptr [eax],al 
 0001431E: 0000                      add byte ptr [eax],al 
 00014320: 0000                      add byte ptr [eax],al 
 00014322: 0000                      add byte ptr [eax],al 
 00014324: 0000                      add byte ptr [eax],al 
 00014326: 0000                      add byte ptr [eax],al 
 00014328: 0000                      add byte ptr [eax],al 
 0001432A: 0000                      add byte ptr [eax],al 
 0001432C: 0000                      add byte ptr [eax],al 
 0001432E: 0000                      add byte ptr [eax],al 
 00014330: 0000                      add byte ptr [eax],al 
 00014332: 0000                      add byte ptr [eax],al 
 00014334: 0000                      add byte ptr [eax],al 
 00014336: 0000                      add byte ptr [eax],al 
 00014338: 0000                      add byte ptr [eax],al 
 0001433A: 0000                      add byte ptr [eax],al 
 0001433C: 0000                      add byte ptr [eax],al 
 0001433E: 0000                      add byte ptr [eax],al 
 00014340: 0000                      add byte ptr [eax],al 
 00014342: 0000                      add byte ptr [eax],al 
 00014344: 0000                      add byte ptr [eax],al 
 00014346: 0000                      add byte ptr [eax],al 
 00014348: 0000                      add byte ptr [eax],al 
 0001434A: 0000                      add byte ptr [eax],al 
 0001434C: 0000                      add byte ptr [eax],al 
 0001434E: 0000                      add byte ptr [eax],al 
 00014350: 0000                      add byte ptr [eax],al 
 00014352: 0000                      add byte ptr [eax],al 
 00014354: 0000                      add byte ptr [eax],al 
 00014356: 0000                      add byte ptr [eax],al 
 00014358: 0000                      add byte ptr [eax],al 
 0001435A: 0000                      add byte ptr [eax],al 
 0001435C: 0000                      add byte ptr [eax],al 
 0001435E: 0000                      add byte ptr [eax],al 
 00014360: 0000                      add byte ptr [eax],al 
 00014362: 0000                      add byte ptr [eax],al 
 00014364: 0000                      add byte ptr [eax],al 
 00014366: 0000                      add byte ptr [eax],al 
 00014368: 0000                      add byte ptr [eax],al 
 0001436A: 0000                      add byte ptr [eax],al 
 0001436C: 0000                      add byte ptr [eax],al 
 0001436E: 0000                      add byte ptr [eax],al 
 00014370: 0000                      add byte ptr [eax],al 
 00014372: 0000                      add byte ptr [eax],al 
 00014374: 0000                      add byte ptr [eax],al 
 00014376: 0000                      add byte ptr [eax],al 
 00014378: 0000                      add byte ptr [eax],al 
 0001437A: 0000                      add byte ptr [eax],al 
 0001437C: 0000                      add byte ptr [eax],al 
 0001437E: 0000                      add byte ptr [eax],al 
 00014380: 0000                      add byte ptr [eax],al 
 00014382: 0000                      add byte ptr [eax],al 
 00014384: 0000                      add byte ptr [eax],al 
 00014386: 0000                      add byte ptr [eax],al 
 00014388: 0000                      add byte ptr [eax],al 
 0001438A: 0000                      add byte ptr [eax],al 
 0001438C: 0000                      add byte ptr [eax],al 
 0001438E: 0000                      add byte ptr [eax],al 
 00014390: 0000                      add byte ptr [eax],al 
 00014392: 0000                      add byte ptr [eax],al 
 00014394: 0000                      add byte ptr [eax],al 
 00014396: 0000                      add byte ptr [eax],al 
 00014398: 0000                      add byte ptr [eax],al 
 0001439A: 0000                      add byte ptr [eax],al 
 0001439C: 0000                      add byte ptr [eax],al 
 0001439E: 0000                      add byte ptr [eax],al 
 000143A0: 0000                      add byte ptr [eax],al 
 000143A2: 0000                      add byte ptr [eax],al 
 000143A4: 0000                      add byte ptr [eax],al 
 000143A6: 0000                      add byte ptr [eax],al 
 000143A8: 0000                      add byte ptr [eax],al 
 000143AA: 0000                      add byte ptr [eax],al 
 000143AC: 0000                      add byte ptr [eax],al 
 000143AE: 0000                      add byte ptr [eax],al 
 000143B0: 0000                      add byte ptr [eax],al 
 000143B2: 0000                      add byte ptr [eax],al 
 000143B4: 0000                      add byte ptr [eax],al 
 000143B6: 0000                      add byte ptr [eax],al 
 000143B8: 0000                      add byte ptr [eax],al 
 000143BA: 0000                      add byte ptr [eax],al 
 000143BC: 0000                      add byte ptr [eax],al 
 000143BE: 0000                      add byte ptr [eax],al 
 000143C0: 0000                      add byte ptr [eax],al 
 000143C2: 0000                      add byte ptr [eax],al 
 000143C4: 0000                      add byte ptr [eax],al 
 000143C6: 0000                      add byte ptr [eax],al 
 000143C8: 0000                      add byte ptr [eax],al 
 000143CA: 0000                      add byte ptr [eax],al 
 000143CC: 0000                      add byte ptr [eax],al 
 000143CE: 0000                      add byte ptr [eax],al 
 000143D0: 0000                      add byte ptr [eax],al 
 000143D2: 0000                      add byte ptr [eax],al 
 000143D4: 0000                      add byte ptr [eax],al 
 000143D6: 0000                      add byte ptr [eax],al 
 000143D8: 0000                      add byte ptr [eax],al 
 000143DA: 0000                      add byte ptr [eax],al 
 000143DC: 0000                      add byte ptr [eax],al 
 000143DE: 0000                      add byte ptr [eax],al 
 000143E0: 0000                      add byte ptr [eax],al 
 000143E2: 0000                      add byte ptr [eax],al 
 000143E4: 0000                      add byte ptr [eax],al 
 000143E6: 0000                      add byte ptr [eax],al 
 000143E8: 0000                      add byte ptr [eax],al 
 000143EA: 0000                      add byte ptr [eax],al 
 000143EC: 0000                      add byte ptr [eax],al 
 000143EE: 0000                      add byte ptr [eax],al 
 000143F0: 0000                      add byte ptr [eax],al 
 000143F2: 0000                      add byte ptr [eax],al 
 000143F4: 0000                      add byte ptr [eax],al 
 000143F6: 0000                      add byte ptr [eax],al 
 000143F8: 0000                      add byte ptr [eax],al 
 000143FA: 0000                      add byte ptr [eax],al 
 000143FC: 7C00                      jl 000143FE 
 000143FE: 0000                      add byte ptr [eax],al 
 00014400: 0000                      add byte ptr [eax],al 
 00014402: 0000                      add byte ptr [eax],al 
 00014404: 0000                      add byte ptr [eax],al 
 00014406: 0000                      add byte ptr [eax],al 
 00014408: 0000                      add byte ptr [eax],al 
 0001440A: 0000                      add byte ptr [eax],al 
 0001440C: 0000                      add byte ptr [eax],al 
 0001440E: 0000                      add byte ptr [eax],al 
 00014410: 0000                      add byte ptr [eax],al 
 00014412: 0000                      add byte ptr [eax],al 
 00014414: 0000                      add byte ptr [eax],al 
 00014416: 0000                      add byte ptr [eax],al 
 00014418: 2020                      and byte ptr [eax],ah 
 0001441A: 2020                      and byte ptr [eax],ah 
 0001441C: 2020                      and byte ptr [eax],ah 
 0001441E: 2020                      and byte ptr [eax],ah 
 00014420: 2020                      and byte ptr [eax],ah 
 00014422: 2020                      and byte ptr [eax],ah 
 00014424: 2020                      and byte ptr [eax],ah 
 00014426: 2020                      and byte ptr [eax],ah 
 00014428: 20BBB6D3ADC4              and byte ptr [ebx-3B522C4A],bh 
 0001442E: E3CA                      jecxz 000143FA 
 00014430: B9D3C3BBC3                mov ecx,C3BBC3D3 
 00014435: D3B020312E35              shl dword ptr [eax+352E3120],cl 
 0001443B: 206265                    and byte ptr [edx+65],ah 
 0001443E: 7461                      jz 000144A1 
 00014440: 32A3AC0D0A0D              xor ah,byte ptr [ebx+0D0A0DAC] 
 00014446: 0A20                      or ah,byte ptr [eax] 
 00014448: 2020                      and byte ptr [eax],ah 
 0001444A: BBC3D3B076                mov ebx,76B0D3C3 
 0001444F: 312E                      xor dword ptr [esi],ebp 
 00014451: 35CAC7B9B2                xor eax,B2B9C7CA 
 00014456: CF                        iretd  
 00014457: ED                        in eax,dx 
 00014458: C8EDBCFE                  enter BCED,FE 
 0001445C: A3ACC8E7B9                mov [B9E7C8AC],eax 
 00014461: FB                        sti 
 00014462: C4E3                      les esp,(Invalid)bx 
 00014464: CF                        iretd  
 00014465: B2BB                      mov dl,BB 
 00014467: B6CB                      mov dh,CB 
 00014469: FC                        cld 
 0001446A: A3ACCFA3CD                mov [CDA3CFAC],eax 
 0001446F: FB                        sti 
 00014470: C4E3                      les esp,(Invalid)bx 
 00014472: D7                        xlat 
 00014473: A2B2E1A1A3                mov [A3A1E1B2],al 
 00014478: 200D0A0D0A20              and byte ptr [200A0D0A],cl 
 0001447E: 2020                      and byte ptr [eax],ah 
 00014480: 2020                      and byte ptr [eax],ah 
 00014482: 2020                      and byte ptr [eax],ah 
 00014484: 2020                      and byte ptr [eax],ah 
 00014486: 2020                      and byte ptr [eax],ah 
 00014488: 2020                      and byte ptr [eax],ah 
 0001448A: 2020                      and byte ptr [eax],ah 
 0001448C: 2020                      and byte ptr [eax],ah 
 0001448E: 200D0A0D0A20              and byte ptr [200A0D0A],cl 
 00014494: 2020                      and byte ptr [eax],ah 
 00014496: 2020                      and byte ptr [eax],ah 
 00014498: 2020                      and byte ptr [eax],ah 
 0001449A: 2020                      and byte ptr [eax],ah 
 0001449C: 2020                      and byte ptr [eax],ah 
 0001449E: 2020                      and byte ptr [eax],ah 
 000144A0: 2020                      and byte ptr [eax],ah 
 000144A2: 2020                      and byte ptr [eax],ah 
 000144A4: 2020                      and byte ptr [eax],ah 
 000144A6: 45                        inc ebp 
 000144A7: 2D6D61696C                sub eax,6C69616D 
 000144AC: 2020                      and byte ptr [eax],ah 
 000144AE: 203A                      and byte ptr [edx],bh 
 000144B0: 2020                      and byte ptr [eax],ah 
 000144B2: 2020                      and byte ptr [eax],ah 
 000144B4: 2038                      and byte ptr [eax],bh 
 000144B6: 3530343400                xor eax,00343430 
 000144BB: 0000                      add byte ptr [eax],al 
 000144BD: 0000                      add byte ptr [eax],al 
 000144BF: 0000                      add byte ptr [eax],al 
 000144A0: 2020                      and byte ptr [eax],ah 
 000144A2: 2020                      and byte ptr [eax],ah 
 000144A4: 2020                      and byte ptr [eax],ah 
 000144A6: 45                        inc ebp 
 000144A7: 2D6D61696C                sub eax,6C69616D 
 000144AC: 2020                      and byte ptr [eax],ah 
 000144AE: 203A                      and byte ptr [edx],bh 
 000144B0: 2064696E                  and byte ptr [ecx+ebp*2+6E],ah 
 000144B4: 672D626F7940              sub eax,40796F62 
 000144BA: 6E                        outsb dx,ds:[esi] 
 000144BB: 657465                    jz 00014523 
 000144BE: 61                        popad  
 000144BF: 7365                      jnb 00014526 
 000144C1: 2E636F6D                  arpl word ptr cs:[edi+6D],bp 
 000144C5: 200D0A202020              and byte ptr [2020200A],cl 
 000144CB: 2020                      and byte ptr [eax],ah 
 000144CD: 2020                      and byte ptr [eax],ah 
 000144CF: 2020                      and byte ptr [eax],ah 
 000144D1: 2020                      and byte ptr [eax],ah 
 000144D3: 2020                      and byte ptr [eax],ah 
 000144D5: 2020                      and byte ptr [eax],ah 
 000144D7: 2020                      and byte ptr [eax],ah 
 000144D9: 2020                      and byte ptr [eax],ah 
 000144DB: 48                        dec eax 
 000144DC: 6F                        outsd dx,ds:[esi] 
 000144DD: 6D                        insd es:[edi],dx 
 000144DE: 657061                    jo 00014542 
 000144E1: 6765203A                  and byte ptr gs:[bp+si],bh 
 000144E5: 206874                    and byte ptr [eax+74],ch 
 000144E8: 7470                      jz 0001455A 
 000144EA: 3A2F                      cmp ch,byte ptr [edi] 
 000144EC: 2F                        das 
 000144ED: 667364                    jnb 00014554 
 000144F0: 622E                      bound ebp,dword ptr [esi] 
 000144F2: 7965                      jns 00014559 
 000144F4: 61                        popad  
 000144F5: 682E6E6574                push 74656E2E 
 000144FA: 2020                      and byte ptr [eax],ah 
 000144FC: 2020                      and byte ptr [eax],ah 
 000144FE: 2020                      and byte ptr [eax],ah 
 00014500: 2020                      and byte ptr [eax],ah 
 00014502: 2020                      and byte ptr [eax],ah 
 00014504: 2020                      and byte ptr [eax],ah 
 00014506: 200D0A0D0A00              and byte ptr [000A0D0A],cl 
 0001450C: 0000                      add byte ptr [eax],al 
 0001450E: 0000                      add byte ptr [eax],al 
 00014510: 0000                      add byte ptr [eax],al 
 00014512: 0000                      add byte ptr [eax],al 
 00014514: 0000                      add byte ptr [eax],al 
 00014516: 0000                      add byte ptr [eax],al 
 00014518: 0000                      add byte ptr [eax],al 
 0001451A: 0000                      add byte ptr [eax],al 
 0001451C: 0000                      add byte ptr [eax],al 
 0001451E: 0000                      add byte ptr [eax],al 
 00014520: 0000                      add byte ptr [eax],al 
 00014522: 0000                      add byte ptr [eax],al 
 00014524: 0000                      add byte ptr [eax],al 
 00014526: 0000                      add byte ptr [eax],al 
 00014528: 0000                      add byte ptr [eax],al 
 0001452A: 0000                      add byte ptr [eax],al 
 0001452C: 0000                      add byte ptr [eax],al 
 0001452E: 0000                      add byte ptr [eax],al 
 00014530: 0000                      add byte ptr [eax],al 
 00014532: 0000                      add byte ptr [eax],al 
 00014534: 0000                      add byte ptr [eax],al 
 00014536: 0000                      add byte ptr [eax],al 
 00014538: 0000                      add byte ptr [eax],al 
 0001453A: 0000                      add byte ptr [eax],al 
 0001453C: 0000                      add byte ptr [eax],al 
 0001453E: 0000                      add byte ptr [eax],al 
 00014540: 0000                      add byte ptr [eax],al 
 00014542: 0000                      add byte ptr [eax],al 
 00014544: 49                        dec ecx 
 00014545: 6E                        outsb dx,ds:[esi] 
 00014546: 7661                      jbe 000145A9 
 00014548: 6C                        insb es:[edi],dx 
 00014549: 6964202050617373          imul esp,dword ptr [eax+20],73736150 
 00014551: 57                        push edi 
 00014552: 6F                        outsd dx,ds:[esi] 
 00014553: 7264                      jb 000145B9 
 00014555: 0000                      add byte ptr [eax],al 
 00014557: 0000                      add byte ptr [eax],al 
 00014559: 0000                      add byte ptr [eax],al 
 0001455B: 0000                      add byte ptr [eax],al 
 0001455D: 0000                      add byte ptr [eax],al 
 0001455F: 0000                      add byte ptr [eax],al 
 00014561: 0000                      add byte ptr [eax],al 
 00014563: 0000                      add byte ptr [eax],al 
 00014565: 0000                      add byte ptr [eax],al 
 00014567: 0000                      add byte ptr [eax],al 
 00014569: 0000                      add byte ptr [eax],al 
 0001456B: 0000                      add byte ptr [eax],al 
 0001456D: 0000                      add byte ptr [eax],al 
 0001456F: 0000                      add byte ptr [eax],al 
 00014571: 0000                      add byte ptr [eax],al 
 00014573: 0000                      add byte ptr [eax],al 
 00014575: 0000                      add byte ptr [eax],al 
 00014577: 0000                      add byte ptr [eax],al 
 00014579: 0000                      add byte ptr [eax],al 
 0001457B: 0000                      add byte ptr [eax],al 
 0001457D: 0000                      add byte ptr [eax],al 
 0001457F: 0000                      add byte ptr [eax],al 
 00014581: 0000                      add byte ptr [eax],al 
 00014583: 0000                      add byte ptr [eax],al 
 00014585: 0000                      add byte ptr [eax],al 
 00014587: 0000                      add byte ptr [eax],al 
 00014589: 0000                      add byte ptr [eax],al 
 0001458B: 0000                      add byte ptr [eax],al 
 0001458D: 0000                      add byte ptr [eax],al 
 0001458F: 0000                      add byte ptr [eax],al 
 00014591: 0000                      add byte ptr [eax],al 
 00014593: 0000                      add byte ptr [eax],al 
 00014595: 0000                      add byte ptr [eax],al 
 00014597: 0000                      add byte ptr [eax],al 
 00014599: 0000                      add byte ptr [eax],al 
 0001459B: 0000                      add byte ptr [eax],al 
 0001459D: 0000                      add byte ptr [eax],al 
 0001459F: 0000                      add byte ptr [eax],al 
 000145A1: 0000                      add byte ptr [eax],al 
 000145A3: 0000                      add byte ptr [eax],al 
 000145A5: 0000                      add byte ptr [eax],al 
 000145A7: 005265                    add byte ptr [edx+65],dl 
 000145AA: 6769737465722053          imul esi,dword ptr [bp+di+74],53207265 
 000145B2: 7563                      jnz 00014617 
 000145B4: 636573                    arpl word ptr [ebp+73],sp 
 000145B7: 7366                      jnb 0001461F 
 000145B9: 756C                      jnz 00014627 
 000145BB: 6C                        insb es:[edi],dx 
 000145BC: 7900                      jns 000145BE 
 000145BE: 0000                      add byte ptr [eax],al 
 000145C0: 0000                      add byte ptr [eax],al 
 000145C2: 0000                      add byte ptr [eax],al 
 000145C4: 0000                      add byte ptr [eax],al 
 000145C6: 0000                      add byte ptr [eax],al 
 000145C8: 0000                      add byte ptr [eax],al 
 000145CA: 0000                      add byte ptr [eax],al 
 000145CC: 0000                      add byte ptr [eax],al 
 000145CE: 0000                      add byte ptr [eax],al 
 000145D0: 0000                      add byte ptr [eax],al 
 000145D2: 0000                      add byte ptr [eax],al 
 000145D4: 0000                      add byte ptr [eax],al 
 000145D6: 0000                      add byte ptr [eax],al 
 000145D8: 0000                      add byte ptr [eax],al 
 000145DA: 0000                      add byte ptr [eax],al 
 000145DC: 0000                      add byte ptr [eax],al 
 000145DE: 0000                      add byte ptr [eax],al 
 000145E0: 0000                      add byte ptr [eax],al 
 000145E2: 0000                      add byte ptr [eax],al 
 000145E4: 0000                      add byte ptr [eax],al 
 000145E6: 0000                      add byte ptr [eax],al 
 000145E8: 0000                      add byte ptr [eax],al 
 000145EA: 0000                      add byte ptr [eax],al 
 000145EC: 0000                      add byte ptr [eax],al 
 000145EE: 0000                      add byte ptr [eax],al 
 000145F0: 0000                      add byte ptr [eax],al 
 000145F2: 0000                      add byte ptr [eax],al 
 000145F4: 0000                      add byte ptr [eax],al 
 000145F6: 0000                      add byte ptr [eax],al 
 000145F8: 0000                      add byte ptr [eax],al 
 000145FA: 0000                      add byte ptr [eax],al 
 000145FC: 0000                      add byte ptr [eax],al 
 000145FE: 0000                      add byte ptr [eax],al 
 00014600: 0000                      add byte ptr [eax],al 
 00014602: 0000                      add byte ptr [eax],al 
 00014604: 0000                      add byte ptr [eax],al 
 00014606: 0000                      add byte ptr [eax],al 
 00014608: 0000                      add byte ptr [eax],al 
 0001460A: 0000                      add byte ptr [eax],al 
 0001460C: 49                        dec ecx 
 0001460D: 6E                        outsb dx,ds:[esi] 
 0001460E: 7661                      jbe 00014671 
 00014610: 6C                        insb es:[edi],dx 
 00014611: 6964205365726961          imul esp,dword ptr [eax+53],61697265 
 00014619: 6C                        insb es:[edi],dx 
 0001461A: 204E4F                    and byte ptr [esi+4F],cl 
 0001461D: 0000                      add byte ptr [eax],al 
 0001461F: 0000                      add byte ptr [eax],al 
 00014621: 0000                      add byte ptr [eax],al 
 00014623: 0000                      add byte ptr [eax],al 
 00014625: 0000                      add byte ptr [eax],al 
 00014627: 0000                      add byte ptr [eax],al 
 00014629: 0000                      add byte ptr [eax],al 
 0001462B: 0000                      add byte ptr [eax],al 
 0001462D: 0000                      add byte ptr [eax],al 
 0001462F: 0000                      add byte ptr [eax],al 
 00014631: 0000                      add byte ptr [eax],al 
 00014633: 0000                      add byte ptr [eax],al 
 00014635: 0000                      add byte ptr [eax],al 
 00014637: 0000                      add byte ptr [eax],al 
 00014639: 0000                      add byte ptr [eax],al 
 0001463B: 0000                      add byte ptr [eax],al 
 0001463D: 0000                      add byte ptr [eax],al 
 0001463F: 0000                      add byte ptr [eax],al 
 00014641: 0000                      add byte ptr [eax],al 
 00014643: 0000                      add byte ptr [eax],al 
 00014645: 0000                      add byte ptr [eax],al 
 00014647: 0000                      add byte ptr [eax],al 
 00014649: 0000                      add byte ptr [eax],al 
 0001464B: 0000                      add byte ptr [eax],al 
 0001464D: 0000                      add byte ptr [eax],al 
 0001464F: 0000                      add byte ptr [eax],al 
 00014651: 0000                      add byte ptr [eax],al 
 00014653: 0000                      add byte ptr [eax],al 
 00014655: 0000                      add byte ptr [eax],al 
 00014657: 0000                      add byte ptr [eax],al 
 00014659: 0000                      add byte ptr [eax],al 
 0001465B: 0000                      add byte ptr [eax],al 
 0001465D: 0000                      add byte ptr [eax],al 
 0001465F: 0000                      add byte ptr [eax],al 
 00014661: 0000                      add byte ptr [eax],al 
 00014663: 0000                      add byte ptr [eax],al 
 00014665: 0000                      add byte ptr [eax],al 
 00014667: 0000                      add byte ptr [eax],al 
 00014669: 0000                      add byte ptr [eax],al 
 0001466B: 0000                      add byte ptr [eax],al 
 0001466D: 0000                      add byte ptr [eax],al 
 0001466F: 004520                    add byte ptr [ebp+20],al 
 00014672: 0020                      add byte ptr [eax],ah 
 00014674: 0020                      add byte ptr [eax],ah 
 00014676: 2020                      and byte ptr [eax],ah 
 00014678: 4C                        dec esp 
 00014679: 6F                        outsd dx,ds:[esi] 
 0001467A: 61                        popad  
 0001467B: 642020                    and byte ptr fs:[eax],ah 
 0001467E: 20446961                  and byte ptr [ecx+ebp*2+61],al 
 00014682: 6C                        insb es:[edi],dx 
 00014683: 2E646C                    insb es:[edi],dx 
 00014686: 6C                        insb es:[edi],dx 
 00014687: 2020                      and byte ptr [eax],ah 
 00014689: 6661                      popa  
 0001468B: 6C                        insb es:[edi],dx 
 0001468C: 7365                      jnb 000146F3 
 0001468E: 642120                    and dword ptr fs:[eax],esp 
 00014691: 2020                      and byte ptr [eax],ah 
 00014693: 00D0                      add al,dl 
 00014695: 07                        pop es 
 00014696: 0800                      or byte ptr [eax],al 
 00014698: 0400                      add al,00 
 0001469A: 1100                      adc dword ptr [eax],eax 
 0001469C: 0800                      or byte ptr [eax],al 
 0001469E: 35002300C8                xor eax,C8002300 
 000146A3: 0000                      add byte ptr [eax],al 
 000146A5: 346C                      xor al,6C 
 000146A7: 0000                      add byte ptr [eax],al 
 000146A9: 0000                      add byte ptr [eax],al 
 000146AB: 0000                      add byte ptr [eax],al 
 
 *************子程序 ID:CALL000146AD **************
 000146AD: 60                        pushad  
 000146AE: BB85BA4000                mov ebx,0040BA85 
 000146B3: 03DD                      add ebx,ebp 
 000146B5: 807B0800                  cmp byte ptr [ebx+08],00 
 000146B9: 746D                      jz 00014728 
 000146BB: 8BC3                      mov eax,ebx 
 000146BD: 83C008                    add eax,00000008 
 000146C0: 50                        push eax 
 000146C1: FF9564BF4000              call dword ptr [ebp+0040BF64]     <--LoadLibraryA
 000146C7: 89857DBA4000              mov dword ptr [ebp+0040BA7D],eax 
 000146CD: 83F800                    cmp eax,00000000 
 000146D0: 750C                      jnz 000146DE 
 000146D2: C78581BA400000000000      mov dword ptr [ebp+0040BA81],00000000 
 000146DC: EB4A                      jmp 00014728 
 
 000146DE: 8B33                      mov esi,dword ptr [ebx] 
 000146E0: 8B7B04                    mov edi,dword ptr [ebx+04] 
 000146E3: 03F5                      add esi,ebp 
 000146E5: 03FD                      add edi,ebp 
 000146E7: 803E00                    cmp byte ptr [esi],00 
 000146EA: 750E                      jnz 000146FA 
 000146EC: 83C308                    add ebx,00000008 
 
 000146EF: 803B00                    cmp byte ptr [ebx],00 
 000146F2: 7403                      jz 000146F7 
 000146F4: 43                        inc ebx 
 000146F5: EBF8                      jmp 000146EF 
 
 000146F7: 43                        inc ebx 
 000146F8: EBBB                      jmp 000146B5 
 
 000146FA: 56                        push esi 
 000146FB: FFB57DBA4000              push dword ptr [ebp+0040BA7D] 
 00014701: FF9568BF4000              call dword ptr [ebp+0040BF68]     <--GetProcAddress
 00014707: 83F800                    cmp eax,00000000 
 0001470A: 750C                      jnz 00014718 
 
 0001470C: C78581BA400000000000      mov dword ptr [ebp+0040BA81],00000000 
 00014716: EB10                      jmp 00014728 
 
 00014718: 8907                      mov dword ptr [edi],eax 
 0001471A: 83C704                    add edi,00000004 
 
 0001471D: 803E00                    cmp byte ptr [esi],00 
 00014720: 7403                      jz 00014725 
 00014722: 46                        inc esi 
 00014723: EBF8                      jmp 0001471D 
 
 00014725: 46                        inc esi 
 00014726: EBBF                      jmp 000146E7 
 
 00014728: 61                        popad  
 00014729: 8B8581BA4000              mov eax,dword ptr [ebp+0040BA81] 
 0001472F: C3                        ret 
 ************结束*****************
 
 00014730: 0000                      add byte ptr [eax],al 
 00014732: 0000                      add byte ptr [eax],al 
 00014734: 0100                      add dword ptr [eax],eax 
 00014736: 0000                      add byte ptr [eax],al 
 00014738: E3BA                      jecxz 000146F4 
 0001473A: 40                        inc eax 
 0001473B: 009FBB40006B              add byte ptr [edi+6B0040BB],bl 
 00014741: 65726E                    jb 000147B2 
 00014744: 656C                      insb es:[edi],dx 
 00014746: 3332                      xor esi,dword ptr [edx] 
 00014748: 2E646C                    insb es:[edi],dx 
 0001474B: 6C                        insb es:[edi],dx 
 0001474C: 00D3                      add bl,dl 
 0001474E: BB400000BC                mov ebx,BC000040 
 00014753: 40                        inc eax 
 00014754: 007573                    add byte ptr [ebp+73],dh 
 00014757: 657233                    jb 0001478D 
 0001475A: 322E                      xor ch,byte ptr [esi] 
 0001475C: 646C                      insb es:[edi],dx 
 0001475E: 6C                        insb es:[edi],dx 
 0001475F: 0014BC                    add byte ptr [esp+edi*4],dl 
 00014762: 40                        inc eax 
 00014763: 0072BC                    add byte ptr [edx-44],dh 
 00014766: 40                        inc eax 
 00014767: 006164                    add byte ptr [ecx+64],ah 
 0001476A: 7661                      jbe 000147CD 
 0001476C: 7069                      jo 000147D7 
 0001476E: 3332                      xor esi,dword ptr [edx] 
 00014770: 2E646C                    insb es:[edi],dx 
 00014773: 6C                        insb es:[edi],dx 
 00014774: 008EBC4000B8              add byte ptr [esi-47FFBF44],cl 
 0001477A: BC40006469                mov esp,69640040 
 0001477F: 61                        popad  
 00014780: 6C                        insb es:[edi],dx 
 00014781: 2E646C                    insb es:[edi],dx 
 00014784: 6C                        insb es:[edi],dx 
 00014785: 0000                      add byte ptr [eax],al 
 00014787: 0000                      add byte ptr [eax],al 
 00014789: 0000                      add byte ptr [eax],al 
 0001478B: 0000                      add byte ptr [eax],al 
 0001478D: 0000                      add byte ptr [eax],al 
 0001478F: 0020                      add byte ptr [eax],ah 
 00014791: 2020                      and byte ptr [eax],ah 
 00014793: 2020                      and byte ptr [eax],ah 
 00014795: 383530343400              cmp byte ptr [00343430],dh 
 0001479B: 0000                      add byte ptr [eax],al 
 0001479D: 0000                      add byte ptr [eax],al 
 0001479F: 0000                      add byte ptr [eax],al 
 00014780: 6C                        insb es:[edi],dx 
 00014781: 2E646C                    insb es:[edi],dx 
 00014784: 6C                        insb es:[edi],dx 
 00014785: 0000                      add byte ptr [eax],al 
 00014787: 0000                      add byte ptr [eax],al 
 00014789: 0000                      add byte ptr [eax],al 
 0001478B: 0000                      add byte ptr [eax],al 
 0001478D: 0000                      add byte ptr [eax],al 
 0001478F: 0000                      add byte ptr [eax],al 
 00014791: 0000                      add byte ptr [eax],al 
 00014793: 0000                      add byte ptr [eax],al 
 00014795: 004765                    add byte ptr [edi+65],al 
 00014798: 7453                      jz 000147ED 
 0001479A: 7973                      jns 0001480F 
 0001479C: 7465                      jz 00014803 
 0001479E: 6D                        insd es:[edi],dx 
 0001479F: 54                        push esp 
 000147A0: 696D6500437265            imul ebp,dword ptr [ebp+65],65724300 
 000147A7: 61                        popad  
 000147A8: 7465                      jz 0001480F 
 000147AA: 46                        inc esi 
 000147AB: 696C654100577269          imul ebp,dword ptr [ebp+41],69725700 
 000147B3: 7465                      jz 0001481A 
 000147B5: 46                        inc esi 
 000147B6: 696C6500436C6F73          imul ebp,dword ptr [ebp],736F6C43 
 000147BE: 6548                      dec eax 
 000147C0: 61                        popad  
 000147C1: 6E                        outsb dx,ds:[esi] 
 000147C2: 646C                      insb es:[edi],dx 
 000147C4: 65004372                  add byte ptr gs:[ebx+72],al 
 000147C8: 6561                      popad  
 000147CA: 7465                      jz 00014831 
 000147CC: 50                        push eax 
 000147CD: 726F                      jb 0001483E 
 000147CF: 636573                    arpl word ptr [ebp+73],sp 
 000147D2: 7341                      jnb 00014815 
 000147D4: 004765                    add byte ptr [edi+65],al 
 000147D7: 7445                      jz 0001481E 
 000147D9: 7869                      js 00014844 
 000147DB: 7443                      jz 00014820 
 000147DD: 6F                        outsd dx,ds:[esi] 
 000147DE: 646550                    push eax 
 000147E1: 726F                      jb 00014852 
 000147E3: 636573                    arpl word ptr [ebp+73],sp 
 000147E6: 7300                      jnb 000147E8 
 000147E8: 47                        inc edi 
 000147E9: 657444                    jz 00014830 
 000147EC: 69736B46726565            imul esi,dword ptr [ebx+6B],65657246 
 000147F3: 53                        push ebx 
 000147F4: 7061                      jo 00014857 
 000147F6: 636545                    arpl word ptr [ebp+45],sp 
 000147F9: 7841                      js 0001483C 
 000147FB: 0044656C                  add byte ptr [ebp+6C],al 
 000147FF: 657465                    jz 00014867 
 00014802: 46                        inc esi 
 00014803: 696C654100476574          imul ebp,dword ptr [ebp+41],74654700 
 0001480B: 56                        push esi 
 0001480C: 6F                        outsd dx,ds:[esi] 
 0001480D: 6C                        insb es:[edi],dx 
 0001480E: 756D                      jnz 0001487D 
 00014810: 6549                      dec ecx 
 00014812: 6E                        outsb dx,ds:[esi] 
 00014813: 666F                      outsw dx,ds:[esi] 
 00014815: 726D                      jb 00014884 
 00014817: 61                        popad  
 00014818: 7469                      jz 00014883 
 0001481A: 6F                        outsd dx,ds:[esi] 
 0001481B: 6E                        outsb dx,ds:[esi] 
 0001481C: 41                        inc ecx 
 0001481D: 004765                    add byte ptr [edi+65],al 
 00014820: 744D                      jz 0001486F 
 00014822: 6F                        outsd dx,ds:[esi] 
 00014823: 64756C                    jnz 00014892 
 00014826: 6548                      dec eax 
 00014828: 61                        popad  
 00014829: 6E                        outsb dx,ds:[esi] 
 0001482A: 646C                      insb es:[edi],dx 
 0001482C: 6541                      inc ecx 
 0001482E: 005265                    add byte ptr [edx+65],dl 
 00014831: 61                        popad  
 00014832: 6450                      push eax 
 00014834: 726F                      jb 000148A5 
 00014836: 636573                    arpl word ptr [ebp+73],sp 
 00014839: 734D                      jnb 00014888 
 0001483B: 656D                      insd es:[edi],dx 
 0001483D: 6F                        outsd dx,ds:[esi] 
 0001483E: 7279                      jb 000148B9 
 00014840: 005669                    add byte ptr [esi+69],dl 
 00014843: 7274                      jb 000148B9 
 00014845: 7561                      jnz 000148A8 
 00014847: 6C                        insb es:[edi],dx 
 00014848: 41                        inc ecx 
 00014849: 6C                        insb es:[edi],dx 
 0001484A: 6C                        insb es:[edi],dx 
 0001484B: 6F                        outsd dx,ds:[esi] 
 0001484C: 6300                      arpl word ptr [eax],ax 
 0001484E: 0000                      add byte ptr [eax],al 
 00014850: 0000                      add byte ptr [eax],al 
 00014852: 0000                      add byte ptr [eax],al 
 00014854: 0000                      add byte ptr [eax],al 
 00014856: 0000                      add byte ptr [eax],al 
 00014858: 0000                      add byte ptr [eax],al 
 0001485A: 0000                      add byte ptr [eax],al 
 0001485C: 0000                      add byte ptr [eax],al 
 0001485E: 0000                      add byte ptr [eax],al 
 00014860: 0000                      add byte ptr [eax],al 
 00014862: 0000                      add byte ptr [eax],al 
 00014864: 0000                      add byte ptr [eax],al 
 00014866: 0000                      add byte ptr [eax],al 
 00014868: 0000                      add byte ptr [eax],al 
 0001486A: 0000                      add byte ptr [eax],al 
 0001486C: 0000                      add byte ptr [eax],al 
 0001486E: 0000                      add byte ptr [eax],al 
 00014870: 0000                      add byte ptr [eax],al 
 00014872: 0000                      add byte ptr [eax],al 
 00014874: 0000                      add byte ptr [eax],al 
 00014876: 0000                      add byte ptr [eax],al 
 00014878: 0000                      add byte ptr [eax],al 
 0001487A: 0000                      add byte ptr [eax],al 
 0001487C: 0000                      add byte ptr [eax],al 
 0001487E: 0000                      add byte ptr [eax],al 
 00014880: 0000                      add byte ptr [eax],al 
 00014882: 0000                      add byte ptr [eax],al 
 00014884: 0000                      add byte ptr [eax],al 
 00014886: 4D                        dec ebp 
 00014887: 657373                    jnb 000148FD 
 0001488A: 61                        popad  
 0001488B: 676542                    inc edx 
 0001488E: 6F                        outsd dx,ds:[esi] 
 0001488F: 7841                      js 000148D2 
 00014891: 007773                    add byte ptr [edi+73],dh 
 00014894: 7072                      jo 00014908 
 00014896: 696E7466410053            imul ebp,dword ptr [esi+74],53004166 
 0001489D: 657454                    jz 000148F4 
 000148A0: 696D6572004B69            imul ebp,dword ptr [ebp+65],694B0072 
 000148A7: 6C                        insb es:[edi],dx 
 000148A8: 6C                        insb es:[edi],dx 
 000148A9: 54                        push esp 
 000148AA: 696D6572000000            imul ebp,dword ptr [ebp+65],00000072 
 000148B1: 0000                      add byte ptr [eax],al 
 000148B3: 0000                      add byte ptr [eax],al 
 000148B5: 0000                      add byte ptr [eax],al 
 000148B7: 0000                      add byte ptr [eax],al 
 000148B9: 0000                      add byte ptr [eax],al 
 000148BB: 0000                      add byte ptr [eax],al 
 000148BD: 0000                      add byte ptr [eax],al 
 000148BF: 0000                      add byte ptr [eax],al 
 000148C1: 0000                      add byte ptr [eax],al 
 000148C3: 0000                      add byte ptr [eax],al 
 000148C5: 0000                      add byte ptr [eax],al 
 000148C7: 52                        push edx 
 000148C8: 65674F                    dec edi 
 000148CB: 7065                      jo 00014932 
 000148CD: 6E                        outsb dx,ds:[esi] 
 000148CE: 4B                        dec ebx 
 000148CF: 657945                    jns 00014917 
 000148D2: 7841                      js 00014915 
 000148D4: 005265                    add byte ptr [edx+65],dl 
 000148D7: 6743                      inc ebx 
 000148D9: 7265                      jb 00014940 
 000148DB: 61                        popad  
 000148DC: 7465                      jz 00014943 
 000148DE: 4B                        dec ebx 
 000148DF: 657945                    jns 00014927 
 000148E2: 7841                      js 00014925 
 000148E4: 005265                    add byte ptr [edx+65],dl 
 000148E7: 6743                      inc ebx 
 000148E9: 6C                        insb es:[edi],dx 
 000148EA: 6F                        outsd dx,ds:[esi] 
 000148EB: 7365                      jnb 00014952 
 000148ED: 4B                        dec ebx 
 000148EE: 657900                    jns 000148F1 
 000148F1: 52                        push edx 
 000148F2: 656751                    push ecx 
 000148F5: 7565                      jnz 0001495C 
 000148F7: 7279                      jb 00014972 
 000148F9: 56                        push esi 
 000148FA: 61                        popad  
 000148FB: 6C                        insb es:[edi],dx 
 000148FC: 7565                      jnz 00014963 
 000148FE: 45                        inc ebp 
 000148FF: 7841                      js 00014942 
 00014901: 005265                    add byte ptr [edx+65],dl 
 00014904: 6753                      push ebx 
 00014906: 657456                    jz 0001495F 
 00014909: 61                        popad  
 0001490A: 6C                        insb es:[edi],dx 
 0001490B: 7565                      jnz 00014972 
 0001490D: 45                        inc ebp 
 0001490E: 7841                      js 00014951 
 00014910: 005265                    add byte ptr [edx+65],dl 
 00014913: 6744                      inc esp 
 00014915: 656C                      insb es:[edi],dx 
 00014917: 657465                    jz 0001497F 
 0001491A: 56                        push esi 
 0001491B: 61                        popad  
 0001491C: 6C                        insb es:[edi],dx 
 0001491D: 7565                      jnz 00014984 
 0001491F: 41                        inc ecx 
 00014920: 0000                      add byte ptr [eax],al 
 00014922: 0000                      add byte ptr [eax],al 
 00014924: 0000                      add byte ptr [eax],al 
 00014926: 0000                      add byte ptr [eax],al 
 00014928: 0000                      add byte ptr [eax],al 
 0001492A: 0000                      add byte ptr [eax],al 
 0001492C: 0000                      add byte ptr [eax],al 
 0001492E: 0000                      add byte ptr [eax],al 
 00014930: 0000                      add byte ptr [eax],al 
 00014932: 0000                      add byte ptr [eax],al 
 00014934: 0000                      add byte ptr [eax],al 
 00014936: 0000                      add byte ptr [eax],al 
 00014938: 0000                      add byte ptr [eax],al 
 0001493A: 0000                      add byte ptr [eax],al 
 0001493C: 0000                      add byte ptr [eax],al 
 0001493E: 0000                      add byte ptr [eax],al 
 00014940: 004765                    add byte ptr [edi+65],al 
 00014943: 7450                      jz 00014995 
 00014945: 61                        popad  
 00014946: 7373                      jnb 000149BB 
 00014948: 776F                      jnbe 000149B9 
 0001494A: 7264                      jb 000149B0 
 0001494C: 004765                    add byte ptr [edi+65],al 
 0001494F: 7452                      jz 000149A3 
 00014951: 656769737465720053        imul esi,dword ptr gs:[bp+di+74],53007265 
 0001495A: 686F775472                push 7254776F 
 0001495F: 7957                      jns 000149B8 
 00014961: 696E646F770000            imul ebp,dword ptr [esi+64],0000776F 
 00014968: 0000                      add byte ptr [eax],al 
 0001496A: 0000                      add byte ptr [eax],al 
 0001496C: 0000                      add byte ptr [eax],al 
 0001496E: 0000                      add byte ptr [eax],al 
 00014970: 0000                      add byte ptr [eax],al 
 00014972: 0000                      add byte ptr [eax],al 
 00014974: 0000                      add byte ptr [eax],al 
 00014976: 0000                      add byte ptr [eax],al 
 00014978: 0000                      add byte ptr [eax],al 
 0001497A: 0000                      add byte ptr [eax],al 
 0001497C: 0000                      add byte ptr [eax],al 
 0001497E: 0000                      add byte ptr [eax],al 
 00014980: 0000                      add byte ptr [eax],al 
 00014982: 0000                      add byte ptr [eax],al 
 00014984: 0000                      add byte ptr [eax],al 
 
 00014986: 00608B                    add byte ptr [eax-75],ah 
 00014989: E880BD5DBD                call BD5F070E 
 0001498E: 40                        inc eax 
 0001498F: 0000                      add byte ptr [eax],al 
 00014991: 7555                      jnz 000149E8 
 00014993: BE63BD4000                mov esi,0040BD63 
 00014998: 03F5                      add esi,ebp 
 0001499A: C606C3                    mov byte ptr [esi],C3 
 0001499D: 8B8573BE4000              mov eax,dword ptr [ebp+0040BE73] 
 000149A3: 83F800                    cmp eax,00000000 
 000149A6: 7407                      jz 000149AF        <---不跳就死定了
  
 000149A8: 898577BE4000              mov dword ptr [ebp+0040BE77],eax 
 000149AE: CC                        int 3 
 
 000149AF: BE53BD4000                mov esi,0040BD53 
 000149B4: 03F5                      add esi,ebp 
 000149B6: 0F010E                    sidt dword ptr [esi] 
 000149B9: 8B7602                    mov esi,dword ptr [esi+02] 
 000149BC: 668B8567BE4000            mov ax,word ptr [ebp+0040BE67] 
 000149C3: 668B9D69BE4000            mov bx,word ptr [ebp+0040BE69] 
 000149CA: 66894608                  mov word ptr [esi+08],ax 
 000149CE: 66895E0E                  mov word ptr [esi+0E],bx 
 000149D2: 668B856BBE4000            mov ax,word ptr [ebp+0040BE6B] 
 000149D9: 668B9D6DBE4000            mov bx,word ptr [ebp+0040BE6D] 
 000149E0: 66894618                  mov word ptr [esi+18],ax 
 000149E4: 66895E1E                  mov word ptr [esi+1E],bx 
 000149E8: 61                        popad  
 000149E9: 56                        push esi 
 000149EA: 51                        push ecx 
 000149EB: BE4D534000                mov esi,0040534D 
 000149F0: 03F0                      add esi,eax 
 000149F2: B9F7690000                mov ecx,000069F7 
 000149F7: C60600                    mov byte ptr [esi],00 
 000149FA: 46                        inc esi 
 000149FB: E2FA                      loop 000149F7           <--灭迹
 000149FD: 59                        pop ecx 
 000149FE: 5E                        pop esi 
 000149FF: 58                        pop eax 
 00014A00: FFE0                      jmp eax              <--跳到入口处,EAX=OEP
 00014A02: 00EB                      add bl,ch