• ´óÏÀÎð½ø£¡Armadillo ×îÇ¿±£»¤·½Ê½_XP±äÁ³ÍõÍѿDZʼǡ¾Ô­´´¡¿

Armadillo ×îÇ¿±£»¤·½Ê½_XP±äÁ³ÍõÍѿDZʼÇ

¡¾ÍÑ¿ÇÈí¼þ¡¿XP±äÁ³Íõ v7.0.4.0
¡¾Íѿǹ¤¾ß¡¿OllyDBG LordPE Import REC ArmInline 0.71
¡¾±£»¤·½Ê½¡¿Protected Armadillo
 CopyMem-II
 Enable Strategic Code Splicing
 Enable Nanomites Processing
 Enable Memory-Patching Protections


ODÔØÈë¡£¡£¡£¡£¡£¡£

0078BF43 >  55               push ebp                                           ; Èë¿Ú
0078BF44    8BEC             mov ebp,esp
0078BF46    6A FF            push -1
0078BF48    68 E84F7B00      push XPStyle.007B4FE8
0078BF4D    68 80BC7800      push XPStyle.0078BC80
0078BF52    64:A1 00000000   mov eax,dword ptr fs:[0]
0078BF58    50               push eax
0078BF59    64:8925 00000000 mov dword ptr fs:[0],esp
0078BF60    83EC 58          sub esp,58
0078BF63    53               push ebx
0078BF64    56               push esi
0078BF65    57               push edi
0078BF66    8965 E8          mov dword ptr ss:[ebp-18],esp
0078BF69    FF15 8CF17A00    call dword ptr ds:[<&KERNEL32.GetV>; kernel32.GetVersion
----------------------------------------------------------------------------------------------------------
϶Ï:BP WaitForDebugEvent

7C85A268 >  8BFF             mov edi,edi
7C85A26A    55               push ebp
7C85A26B    8BEC             mov ebp,esp
7C85A26D    83EC 68          sub esp,68
7C85A270    56               push esi
7C85A271    FF75 0C          push dword ptr ss:[ebp+C]
7C85A274    8D45 F8          lea eax,dword ptr ss:[ebp-8]
7C85A277    50               push eax
7C85A278    E8 F381FAFF      call kernel32.7C802470

¶ÑÕ»´°¿Ú(Stack window)¿´µ½¹ØÓÚÕâ¸öAPIµÄËùÓвÎÊýÐÅÏ¢¡£
========================================================================
0012DC8C   0077C056  /CALL µ½ WaitForDebugEvent À´×Ô XPStyle.0077C050
0012DC90   0012ED7C  |pDebugEvent = 0012ED7C
0012DC94   000003E8  \Timeout = 1000. ms
========================================================================
¡øpDebugEvent=0012ED7CÊý¾Ý´°¿Ú¸úË棬Êý¾Ý´°¿ÚÒ»Ö±±£³ÖÔÚÕâÀµ½½áÊø¡£¡ø

BC WaitForDebugEvent Çå³ýÕâ¸ö¶Ïµã¡£µ±È»Ò²¿ÉÒÔF2È¡Ïû¡£
----------------------------------------------------------------------------------------------------------
2¡¢BP WriteProcessMemory£¬Shirt+F9 ,µ½BytesToWrite=1000¡£

7C80220F >  8BFF             mov edi,edi
7C802211    55               push ebp
7C802212    8BEC             mov ebp,esp
7C802214    51               push ecx
7C802215    51               push ecx
7C802216    8B45 0C          mov eax,dword ptr ss:[ebp+C]
7C802219    53               push ebx
7C80221A    8B5D 14          mov ebx,dword ptr ss:[ebp+14]
7C80221D    56               push esi
7C80221E    8B35 B812807C    mov esi,dword ptr ds:[<&ntdll.NtPr>; ntdll.ZwProtectVirtualMemory

¸¸½ø³Ì½«Òª¸´ÖƸø×Ó½ø³ÌµÚÒ»¸ö¿éµÄÐÅÏ¢,ÔÚ¶ÑÕ»´°¿ÚÖУº 
===========================================================================
0012DB2C   00780055  /CALL µ½ WriteProcessMemory À´×Ô XPStyle.0078004F
0012DB30   0000004C  |hProcess = 0000004C (window)
0012DB34   00689000  |Address = 689000
0012DB38   01230048  |Buffer = 01230048
0012DB3C   00001000  |BytesToWrite = 1000 (4096.)
0012DB40   0012DC48  \pBytesWritten = 0012DC48
============================================================================
Êý¾Ý´°¿ÚÖУº
0012ED7C  01 00 00 00 58 09 00 00 04 09 00 00 01 00 00 80  ...X........€
0012ED8C  00 00 00 00 00 00 00 00 BC 92 68 00 02 00 00 00  ........¼’h....
0012ED9C  00 00 00 00 BC 92 68 00 BC 92 68 00 06 00 00 00  ....¼’h.¼’h....
0012EDAC  00 00 00 00 E8 8C 5C B4 00 00 00 00 00 00 00 00  ....èŒ\?.......
0012EDBC  13 00 00 00 00 7D 5C 00 64 6D A1 B4 F1 2F 4E 80  ....}\.dm¡´?N€
0012EDCC  00 00 00 00 BC 92 68 00 01 00 00 00 01 00 00 00  ....¼’h.......
0012EDDC  01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ...............

µÃµ½£ºOEP=6892BC  PID=0958
È¡Ïû¶Ïµã£ºBC WriteProcessMemory
============================================================================
--nop¼ÓÃÜCLL--

ÔÚ¶ÑÕ»´°¿Ú£¬ÏòÏ¿´ÓÐÒ»¸öÖ÷³ÌÐò·µ»ØºÍСѭ»·¡£

0012DC3C   00689000  XPStyle.00689000
0012DC40   00000020
0012DC44   01231048
0012DC48   00001000
0012DC4C   01231048
0012DC50  /0012DC84
0012DC54  |0077ECC3  ·µ»Øµ½ XPStyle.0077ECC3 À´×Ô XPStyle.0077F00B           ; ÔÚÕâÀï¡£

ÔÚCPU´°¿Ú£¬Ctrl+G£º0077F00B
0077F00B    55               push ebp                                        ; µ½ÕâÀï¡£  
0077F00C    8BEC             mov ebp,esp
0077F00E    81EC 00010000    sub esp,100
0077F014    53               push ebx
0077F015    56               push esi
0077F016    57               push edi
0077F017    8B45 08          mov eax,dword ptr ss:[ebp+8]

Alt+R
==============================================================================
²Î¿¼Î»ÓÚ XPStyle:.text µ½ 0077F00B
µØÖ·        ·´»ã±à                                           ×¢ÊÍ
0077ECBE    call XPStyle.0077F00B
0077EF93    call XPStyle.0077F00B       ¡îË«»÷
0077F00B    push ebp                                         £¨³õʼ CPU Ñ¡Ôñ£©
==============================================================================
Ë«»÷0077EF93ÐУ¬À´µ½ÕâÀï¡£
0077EF93    E8 73000000      call XPStyle.0077F00B                           ; nopÕâ¸öCALL
0077EF98    83C4 0C          add esp,0C
0077EF9B    50               push eax
0077EF9C    F7D0             not eax
0077EF9E    0FC8             bswap eax
0077EFA0    58               pop eax
0077EFA1    73 00            jnb short XPStyle.0077EFA3
---------------------------------------------------------------------------------------------------------
»Øµ½¶ÑÕ»´°¿Ú¡£ÔÚ·´»ã±à´°¿ÚÖиúËæÏÂÃæ¡£
0012DB2C   00780055  /CALL µ½ WriteProcessMemory À´×Ô XPStyle.0078004F       ; ÔÚÕâÀï¸úËæ¡£

µ½ÁËÕâÀï¡£ÔÚ00780055϶ϣ¬F9£¬×¢ÒâÊý¾Ý´°¿ÚÖи¸½ø³ÌOEPµÄ±ä»¯ºóÍ£Ö¹¡£
0078004F    FF15 14F17A00    call dword ptr ds:[<&KERNEL32.Writ>; kernel32.WriteProcessMemory
00780055    85C0             test eax,eax
00780057    75 4B            jnz short XPStyle.007800A4
00780059    50               push eax
0078005A    F7D0             not eax
0078005C    0FC8             bswap eax
0078005E    58               pop eax
0078005F    73 00            jnb short XPStyle.00780061
----------------------------------------------------------------------------------------------------------
---ÐÞ¸ÄOEP´¦µÄ×Ó½ø³ÌΪÎÞÏÞÑ­»·---

»Øµ½¶ÑÕ»´°¿Ú¡£ÔÚ·´»ã±à´°¿ÚÖиúËæ¡£

ºÃÁË£¬´Ó6892BC±ä³É407010£¬Õâ¸ö¾ÍÊÇ×Ó½ø³ÌµÄOEP£¡PID=0950
=============================================================================
0012ED7C  01 00 00 00 50 09 00 00 64 03 00 00 01 00 00 80  ...P...d....€
0012ED8C  00 00 00 00 00 00 00 00 10 70 40 00 02 00 00 00  ........p@....
0012ED9C  00 00 00 00 10 70 40 00 10 70 40 00 06 00 00 00  ....p@.p@....
0012EDAC  00 00 00 00 E8 8C 5C B4 00 00 00 00 00 00 00 00  ....èŒ\?.......
0012EDBC  13 00 00 00 00 7D 5C 00 64 1D 92 B2 F1 2F 4E 80  ....}\.d’²?N€
0012EDCC  00 00 00 00 10 70 40 00 01 00 00 00 01 00 00 00  ....p@.......
0012EDDC  01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ...............
=============================================================================
ÔÚ¶ÑÕ»´°¿ÚCtrl+G£º0012ED7C
========================================================
0012ED94  |00407010  XPStyle.00407010    ¡ï×Ó½ø³ÌOEP¡ï
0012ED98  |00000002
0012ED9C  |00000000
0012EDA0  |00407010  XPStyle.00407010
0012EDA4  |00407010  XPStyle.00407010
=======================================================
¡ø×Ó½ø³ÌOEPΪ00407010,×¢Ò⣬ÎÒÃÇÉÔºó»áÐèÒªÕâÈý¸öµØÖ·¡£¡ø

´ò¿ªPUPE,´ò¿ª³ÌÐò(¼ÇµÃʹÓÃÕýÈ·µÄ½ø³Ì),¼üÈë×Ó½ø³ÌµÄOEP=00407010¡£
   
Ñ¡Ôñ×Ó½ø³ÌPID=D0C
   
¼ÇÏÂÔ­×Ö½Ú: 55 B8£¬ ÐÞ¸ÄΪ£ºEBFE¡£

¹Ø±ÕPUPE£¬»Øµ½Olly¡£

Çå³ý BC 00780055
----------------------------------------------------------------------------------------------------------
--н¨EIP--

϶Ϡbp WaitForDebugEvent £¬F9¡£
===================================================================================
0012DC8C   0077C056  /CALL µ½ WaitForDebugEvent À´×Ô XPStyle.0077C050 ¡îÔÚCPUÖиúËæ
0012DC90   0012ED7C  |pDebugEvent = 0012ED7C
0012DC94   000003E8  \Timeout = 1000. ms
===================================================================================
È¡Ïû bc WaitForDebugEvent

ÔÚ·´»ã±à´°¿ÚÖиúËæµ½ÕâÀÓÒ¼ü-->н¨EIP£¬»ý´æÆ÷ÖÐEIPÒ²±äÁË¡£
¸úËæµ½ÕâÀ0077C056н¨EIP¡£
0077C056    85C0             test eax,eax                       
0077C058    0F84 64270000    je XPStyle.0077E7C2
0077C05E    8B85 FCFDFFFF    mov eax,dword ptr ss:[ebp-204]
0077C064    25 FF000000      and eax,0FF
0077C069    85C0             test eax,eax
0077C06B    74 13            je short XPStyle.0077C080
0077C06D    8B0D 40657B00    mov ecx,dword ptr ds:[7B6540]
0077C073    8379 20 00       cmp dword ptr ds:[ecx+20],0
0077C077    74 07            je short XPStyle.0077C080

ÍùÉÏ¿´£¬nopµôÒÔϲ¿·Ö¡£
0077C046    0300             add eax,dword ptr ds:[eax]
0077C048    008B 95DCF5FF    add byte ptr ds:[ebx+FFF5DC95],cl
0077C04E    FF52 FF          call dword ptr ds:[edx-1]
0077C051    15 E4F07A00      adc eax,<&KERNEL32.WaitForDebugEve>

--¸Ä±äÌøת--

½«0077C058¸Ä±ä³Éjmp 00401000¡£
0077C058   /0F84 64270000    je XPStyle.0077E7C2
0077C05E   |8B85 FCFDFFFF    mov eax,dword ptr ss:[ebp-204]
0077C064   |25 FF000000      and eax,0FF
0077C069   |85C0             test eax,eax
0077C06B   |74 13            je short XPStyle.0077C080

¸Ä¶¯ºó¡£
0077C056    85C0             test eax,eax                       ; ¸Ä¶¯ºó¡£
0077C058  - 0F84 A24FC8FF    je XPStyle.00401000                ; ¼ÇסÕâ¸öµØÖ·£¡
0077C05E    8B85 FCFDFFFF    mov eax,dword ptr ss:[ebp-204]
0077C064    25 FF000000      and eax,0FF
0077C069    85C0             test eax,eax
0077C06B    74 13            je short XPStyle.0077C080

--ÐÞ¸Ä×Ó½ø³ÌµÄ3¸öOEP--

ÔÚÊý¾Ý´°¿Ú£¬Ñ¡Ôñ×Ó½ø³ÌµÄ3¸öOEPÖµ£¬Ctrl+E,±à¼­¸Ä³É400000¡£

ÔÚת´æÖÐÐÞ¸Ä×Ó½ø³ÌOEP=00400000¡£ 
======================================
0012ED94   00400000  ASCII "MZP"         ; ²¹¶¡ÓõØÖ·1
0012ED98   00000002
0012ED9C   00000000
0012EDA0   00400000  ASCII "MZP"         ; ²¹¶¡ÓõØÖ·2
0012EDA4   00400000  ASCII "MZP"         ; ²¹¶¡ÓõØÖ·3
======================================
ÏÖÔÚ£¬¿ÉÒÔ´Ó0077C056¿ªÊ¼F8²½½ø£¬ÔÚ0077C058Ìøת´¦£¬Ìøµ½ÁË00401000¡£

×¢Ò⣺Çå³ýËùÓжϵ㣡
----------------------------------------------------------------------------------------------------------
--ÎÒÃÇ¿ªÊ¼¼üÈëÒÔϲ¹¶¡--

00401000    8105 A8CD1200 > add dword ptr ds:[12ED94],1000      ; ²¹¶¡ÓõØÖ·1
0040100A    8105 B4CD1200 > add dword ptr ds:[12EDA0],1000      ; ²¹¶¡ÓõØÖ·2
00401014    8105 B8CD1200 > add dword ptr ds:[12EDA4],1000      ; ²¹¶¡ÓõØÖ·3
0040101E    813D B8CD1200 > cmp dword ptr ds:[12EDA4],68A000
00401028  - 0F85 B8544F00   jnz 0077C05D                        
0040102E    68 2C090000     push 0FA4          ¡ïPID¡ï
00401033    E8 5993457C     call DebugActiveProcessStop
00401038    90              nop                                  ; ÕâÀïÖжϡ£
00401039    90              nop                                 

¿´»ý´æÆ÷ÖУ¬EAX=1£¬OK¡£
EAX=00000001£¬¾ÍÒâζ×Å×Ó½ø³ÌÍêÈ«ÍÑÀ븸½ø³ÌÁË¡£
¹Ø±ÕÕâ¸öOD£¬
----------------------------------------------------------------------------------------------------------
ÏÂÃæ¶Ô×Ó½ø³Ì¿ªÊ¼ÐÞ¸´¡£

ÔÙÆô¶¯OD(µ÷ÊÔOD)£¬Îļþ--->¸½¼Ó--->PID(¾¡¹ÜÎÒÃǹرÕÁËOD£¬×Ó½ø³Ì»¹ÔÚÄÚ´æÖÐ)¡£

Í£ÔÚÕâÀïÁË¡£
7C921231    C3               retn
7C921232    8BFF             mov edi,edi
7C921234    90               nop
7C921235    90               nop
7C921236    90               nop
7C921237    90               nop
7C921238    90               nop
7C921239 >  CC               int3
7C92123A    C3               retn

F9£¬F12¡£

006892BC  - EB FE            jmp short XPStyle.006892BC        
006892BE    EC               in al,dx
006892BF    83C4 EC          add esp,-14
006892C2    33C0             xor eax,eax
006892C4    8945 EC          mov dword ptr ss:[ebp-14],eax
006892C7    B8 9C8B6800      mov eax,XPStyle.00688B9C
006892CC    E8 3FDDD7FF      call XPStyle.00407010

Ctrl+E£¬½«×Ó½ø³ÌµÄÈë¿Ú¸Ä»ØÀ´£¬ EB FE-->558B

006892BC    55               push ebp                          
006892BD    8BEC             mov ebp,esp
006892BF    83C4 EC          add esp,-14
006892C2    33C0             xor eax,eax
006892C4    8945 EC          mov dword ptr ss:[ebp-14],eax
006892C7    B8 9C8B6800      mov eax,XPStyle.00688B9C
006892CC    E8 3FDDD7FF      call XPStyle.00407010


F7²½½øµ½006892CCÕâ¸öCALL£¬µ½×Ó½ø³ÌOEPÁË¡£
00407010    53               push ebx
00407011    8BD8             mov ebx,eax                       ; XPStyle.00688B9C
00407013    33C0             xor eax,eax
00407015    A3 CCA06800      mov dword ptr ds:[68A0CC],eax
0040701A    6A 00            push 0
0040701C    E8 2BFFFFFF      call XPStyle.00406F4C

¼ÌÐøF7µ½0040701CÕâ¸öCALL£¬¿´¼ûIAT±í¡£
¿ÉÊÇ£¬µÚÒ»¸ö00406F4C [727338]ÄÚȱÉÙº¯ÊýÖµ£¡ÎÒÃÇÏÈÀ´½â¾öÕâ¸öÎÊÌâ¡£

00406F4A    C3               retn
00406F4B    90               nop
00406F4C  - FF25 38737200    jmp dword ptr ds:[727338]
00406F52    8BC0             mov eax,eax
00406F54  - FF25 34737200    jmp dword ptr ds:[727334]         ; kernel32.LocalAlloc
00406F5A    8BC0             mov eax,eax
00406F5C  - FF25 30737200    jmp dword ptr ds:[727330]         ; kernel32.TlsGetValue
00406F62    8BC0             mov eax,eax
00406F64  - FF25 2C737200    jmp dword ptr ds:[72732C]         ; kernel32.TlsSetValue
00406F6A    8BC0             mov eax,eax
00406F6C    50               push eax
00406F6D    6A 40            push 40
00406F6F    E8 E0FFFFFF      call XPStyle.00406F54             ; jmp to kernel32.LocalAlloc
00406F74    C3               retn

ÓÒ¼ü--->ÔÚÊý¾Ý´°¿Ú¸úËæ--->ÄÚ´æµØÖ·¡£

ȷʵûÓÐÊýÖµ¡£

ÓÃÒ»¸öarmС¹¤¾ßArmaDetach£¬ÍÏקXPStyle.exeµ½ArmaDetachÉÏ¡£
DONE!
Child process ID: 00000CC4   PID
Entry point: 0078BF43        
Original bytes: 558B         Èë¿Ú×Ö½Ú
----------------------------------------------------------------------------------------------------------
ÔÙÆô¶¯Ò»¸öOD(²ÎÕÕOD)£¬Îļþ--->¸½¼Ó--->PID=CC4

F9£¬F12¡£
0078BF43 >- EB FE            jmp short XPStyle.<ModuleEntryPoi>
0078BF45    EC               in al,dx
0078BF46    6A FF            push -1
0078BF48    68 E84F7B00      push XPStyle.007B4FE8
0078BF4D    68 80BC7800      push XPStyle.0078BC80
0078BF52    64:A1 00000000   mov eax,dword ptr fs:[0]
0078BF58    50               push eax
0078BF59    64:8925 00000000 mov dword ptr fs:[0],esp

Ctrl+E£¬½«×Ó½ø³ÌµÄÈë¿Ú¸Ä»ØÀ´£¬ EB FE-->558B

0078BF43 >  55               push ebp
0078BF44    8BEC             mov ebp,esp
0078BF46    6A FF            push -1
0078BF48    68 E84F7B00      push XPStyle.007B4FE8
0078BF4D    68 80BC7800      push XPStyle.0078BC80
0078BF52    64:A1 00000000   mov eax,dword ptr fs:[0]
0078BF58    50               push eax
0078BF59    64:8925 00000000 mov dword ptr fs:[0],esp
0078BF60    83EC 58          sub esp,58
0078BF63    53               push ebx
0078BF64    56               push esi
0078BF65    57               push edi
0078BF66    8965 E8          mov dword ptr ss:[ebp-18],esp
0078BF69    FF15 8CF17A00    call dword ptr ds:[<&KERNEL32.Get>; kernel32.GetVersion
----------------------------------------------------------------------------------------------------------
Õâ¸ö²ÎÕÕOD£¬ÏÖÔÚÒѾ­±ä³ÉÁ˵¥½ø³Ì£¬ÊÖ¶¯¹ý³ÌÊ¡ÂÔ¹ý¡£
½¨ÒéÓÃfly´óÏÀµÄArmadillo V4.0-V4.4.Standard.Protection½Å±¾Íê³É¡£

006892BC    47               inc edi                           ; This is the OEP!  Found By: fly
006892BD    019D 07D66642    add dword ptr ss:[ebp+4266D607],e>
006892C3    44               inc esp
006892C4    9B               wait
006892C5    CF               iretd
006892C6    9D               popfd
006892C7    3C 8E            cmp al,8E
006892C9    0119             add dword ptr ds:[ecx],ebx
006892CB    84FA             test dl,bh
006892CD    B5 AC            mov ch,0AC
006892CF    53               push ebx
006892D0    ED               in eax,dx
006892D1    B9 B1D17A68      mov ecx,687AD1B1
006892D6  ^ E2 EC            loopd short XPStyle.006892C4

ÎÒÃÇ´Óµ÷ÊÔODÖªµÀ£¬IATÔÚµØÖ·727000¸½½ü£¬ÔÚÊý¾Ý´°¿Ú CTRL+G£º727000

ÏòÏ»عö£¬·¢ÏÖIAT¿ªÊ¼£º
0072722C  00000000
00727230  7C93188A  ntdll.RtlDeleteCriticalSection
00727234  7C9210ED  ntdll.RtlLeaveCriticalSection
00727238  7C921005  ntdll.RtlEnterCriticalSection
0072723C  7C809FA1  kernel32.InitializeCriticalSection
00727240  7C809B14  kernel32.VirtualFree
00727244  7C809A81  kernel32.VirtualAlloc
00727248  7C80995D  kernel32.LocalFree
¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£
00727B7C  77455011  SHELL32.RestartDialog
00727B80  01347550
00727B84  73ACFB78  avifil32.AVIStreamGetFrameClose
00727B88  73AC5E5F  avifil32.AVIStreamRelease
00727B8C  73AC5E5F  avifil32.AVIStreamRelease
00727B90  73AC589F  avifil32.AVIFileExit
00727B94  0134748C

Ñ¡Ôñ00727230~00727B90¶Î¶þ½øÖƸ´ÖÆ¡£
----------------------------------------------------------------------------------------------------------
»Øµ½µ÷ÊÔOD£¬Ñ¡ÔñIAT¿ªÊ¼00727340~00727BA4 IAT½áÊø²¿·Ö¡£
0072733C  01347451
00727340  77DAEBE7  ADVAPI32.RegSetValueExA
00727344  77DA7883  ADVAPI32.RegQueryValueExA
00727348  77DCC1B5  ADVAPI32.RegQueryInfoKeyA
0072734C  77DA761B  ADVAPI32.RegOpenKeyExA
00727350  77DBB908  ADVAPI32.RegFlushKey
00727354  77DCC8C1  ADVAPI32.RegEnumKeyExA
00727358  77DAEDE5  ADVAPI32.RegDeleteValueA
0072735C  77DCC123  ADVAPI32.RegDeleteKeyA
00727360  0134AD7E
¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£¡£
00727B90  73AC589F  avifil32.AVIFileExit
00727B94  0134748C
00727B98  73B423CA  MSVFW32.DrawDibRealize
00727B9C  73B441C7  MSVFW32.DrawDibOpen
00727BA0  73B4191A  MSVFW32.DrawDibDraw
00727BA4  73B49AAD  MSVFW32.DrawDibClose

00727BA4-00727340=864

¶þ½øÖÆÕ³Ìù£¬·´»ã±à´°¿ÚÒѾ­²¹ÉÏ£¬ÔÚÊý¾Ý´°¿ÚÖÐÓкܶàºìÉ«µÄ¸Ä±äÏî¡£
ÕâÑù£¬²Î¿¼ODµÄÈÎÎñÒѾ­Íê³É£¬¿ÉÒԹرÕÁË¡£

00406F4A    C3               retn
00406F4B    90               nop
00406F4C  - FF25 38737200    jmp dword ptr ds:[727338]    ; kernel32.GetModuleHandleA
00406F52    8BC0             mov eax,eax
00406F54  - FF25 34737200    jmp dword ptr ds:[727334]    ; kernel32.LocalAlloc
00406F5A    8BC0             mov eax,eax
00406F5C  - FF25 30737200    jmp dword ptr ds:[727330]    ; kernel32.TlsGetValue
00406F62    8BC0             mov eax,eax
00406F64  - FF25 2C737200    jmp dword ptr ds:[72732C]    ; kernel32.TlsSetValue
00406F6A    8BC0             mov eax,eax
00406F6C    50               push eax
00406F6D    6A 40            push 40
00406F6F    E8 E0FFFFFF      call XPStyle.00406F54        ; jmp to kernel32.LocalAlloc
---------------------------------------------------------------------------------------------------------
ÏÖÔÚ¿ÉÒÔÐÞ¸´Strategic Code Splicing+Nanomites Processing¡£