00723350 > $ 55 push ebp
00723351 . 8BEA mov ebp, edx
00723353 . 872C24 xchg dword ptr [esp], ebp
00723356 .^ E9 7BDCFFFF jmp 00720FD6
0072335B > F62A imul byte ptr [edx]
0072335D . 3C A4 cmp al, 0A4
0072335F .^ 0F85 87B4FFFF jnz 0071E7EC
00723365 . E8 DF0E0000 call 00724249
0072336A >^ E9 87F1FFFF jmp 007224F6
0072336F > 68 480F7200 push 00720F48
00723374 .^ E9 F4C3FFFF jmp 0071F76D
00723379 > 8348 F8 04 or dword ptr [eax-8], 4
0072337D . E8 29CBFFFF call 0071FEAB
00723382 . 13D5 adc edx, ebp
00723384 . E9 7E0F0000 jmp 00724307
00723389 $ 55 push ebp
0072338A . 8BEC mov ebp, esp
0072338C . 83C4 D8 add esp, -28
0072338F . 8945 E0 mov dword ptr [ebp-20], eax
00723392 . 8B45 E0 mov eax, dword ptr [ebp-20]
00723395 . 8945 D8 mov dword ptr [ebp-28], eax
00723398 . C745 EC 04000>mov dword ptr [ebp-14], 4
0072339F .^ E9 D6C1FFFF jmp 0071F57A
007233A4 .^ 0F8E 30B6FFFF jle 0071E9DA
007233AA .^ E9 C5ECFFFF jmp 00722074
007233AF $ 870424 xchg dword ptr [esp], eax
007233B2 . 58 pop eax
007233B3 . 9D popfd
007233B4 . 68 63AE5C83 push 835CAE63
007233B9 .^ E9 E9BAFFFF jmp 0071EEA7
007233BE >^ 0F8D 8EEAFFFF jge 00721E52
007233C4 >^ E9 24CBFFFF jmp 0071FEED
007233C9 >^ E9 6DE8FFFF jmp 00721C3B
007233CE >^ E9 5FE3FFFF jmp 00721732
007233D3 . 81C7 75FEB903 add edi, 3B9FE75
007233D9 .^ E9 72EAFFFF jmp 00721E50
007233DE . 8B18 mov ebx, dword ptr [eax]
007233E0 .^ E9 7AC7FFFF jmp 0071FB5F
007233E5 > C3 retn ; RET 用作跳转到 0072166D
007233E6 >^ E9 F2CDFFFF jmp 007201DD
007233EB >^ E9 64CBFFFF jmp 0071FF54
007233F0 >^ 0F83 01D4FFFF jnb 007207F7
007233F6 > 8BEC mov ebp, esp
007233F8 . E8 D5FAFFFF call 00722ED2
007233FD . 68 537008C7 push C7087053
00723402 . 871C24 xchg dword ptr [esp], ebx
00723405 . 8BC3 mov eax, ebx
00723407 .^ E9 03ECFFFF jmp 0072200F
0072340C > 8BEA mov ebp, edx
0072340E . 5A pop edx
0072340F . C2 0400 retn 4
00723412 > 8B1424 mov edx, dword ptr [esp]
00723415 . B0 01 mov al, 1
00723417 .^ E9 DED7FFFF jmp 00720BFA
0072341C > C1E0 02 shl eax, 2
0072341F . 99 cdq
00723420 . 030424 add eax, dword ptr [esp]
00723423 . 135424 04 adc edx, dword ptr [esp+4]
00723427 . E8 58F8FFFF call 00722C84
0072342C > E9 82060000 jmp 00723AB3
00723431 >^ E9 82DFFFFF jmp 007213B8
00723436 > C3 retn ; RET 用作跳转到 00723D6C
00723437 > 8B45 FC mov eax, dword ptr [ebp-4]
0072343A . 8945 F8 mov dword ptr [ebp-8], eax
0072343D . 8B45 F8 mov eax, dword ptr [ebp-8]
00723440 . 8BE5 mov esp, ebp
00723442 . 5D pop ebp
00723443 . C3 retn
00723444 > E9 6D0C0000 jmp 007240B6
00723449 >^ 0F84 3EB3FFFF je 0071E78D
0072344F .^ E9 C2ECFFFF jmp 00722116
00723454 > 0F83 EB0F0000 jnb 00724445
0072345A . 68 07C72180 push 8021C707
0072345F . C1E9 02 shr ecx, 2
00723462 > 81C0 2247497A add eax, 7A494722
00723468 . 03C5 add eax, ebp
0072346A .^ E9 E4C8FFFF jmp 0071FD53
0072346F > 9C pushfd
00723470 . C1C0 06 rol eax, 6
00723473 . 9C pushfd
00723474 > 81C0 06008ECA add eax, CA8E0006
0072347A . 81F0 5848F6C3 xor eax, C3F64858
00723480 .^ E9 6AF8FFFF jmp 00722CEF
00723485 > BA 494625E5 mov edx, E5254649
0072348A . E8 7BE9FFFF call 00721E0A
0072348F . A3 EC197200 mov dword ptr [7219EC], eax
00723494 .^ E9 A9C0FFFF jmp 0071F542
00723499 > 833D EC197200>cmp dword ptr [7219EC], 0
007234A0 .^ 0F85 DFE9FFFF jnz 00721E85
007234A6 . E8 D8D4FFFF call 00720983
007234AB .^ E9 6FEFFFFF jmp 0072241F
007234B0 > 83C4 F8 add esp, -8
007234B3 . 8945 FC mov dword ptr [ebp-4], eax
007234B6 . 8B45 FC mov eax, dword ptr [ebp-4]
007234B9 . 68 C9267200 push 007226C9
007234BE .^ E9 32E5FFFF jmp 007219F5
007234C3 > 8B05 0C1A7200 mov eax, dword ptr [721A0C]
007234C9 . 09C0 or eax, eax
007234CB .^ 0F85 55DDFFFF jnz 00721226
007234D1 .^ E9 5AD8FFFF jmp 00720D30
007234D6 81 db 81
007234D7 D7 db D7
007234D8 50 db 50 ; CHAR 'P'
007234D9 4A db 4A ; CHAR 'J'
007234DA 66 db 66 ; CHAR 'f'
007234DB F2 db F2
007234DC E9 db E9
007234DD 17 db 17
007234DE BA db BA
007234DF FF db FF
007234E0 FF db FF
007234E1 > 81E9 A2251840 sub ecx, 401825A2
007234E7 . 230D 27337200 and ecx, dword ptr [723327]
007234ED . 81F1 69240212 xor ecx, 12022469
007234F3 . 03C1 add eax, ecx
007234F5 . 873C24 xchg dword ptr [esp], edi
007234F8 . 8BCF mov ecx, edi
007234FA . 5F pop edi
007234FB . 8B30 mov esi, dword ptr [eax]
007234FD .^ E9 67CBFFFF jmp 00720069
00723502 > 0FB600 movzx eax, byte ptr [eax]
00723505 . 8B55 08 mov edx, dword ptr [ebp+8]
00723508 . 8942 F0 mov dword ptr [edx-10], eax
0072350B . FF45 FC inc dword ptr [ebp-4]
0072350E .^ E9 BEF1FFFF jmp 007226D1
00723513 > 837D FC 00 cmp dword ptr [ebp-4], 0
00723517 . 68 D5F67100 push 0071F6D5
0072351C .^ E9 88AEFFFF jmp 0071E3A9
00723521 >^ 0F85 6BC2FFFF jnz 0071F792
00723527 >^ E9 C1EFFFFF jmp 007224ED
0072352C >^ E9 E1D8FFFF jmp 00720E12
00723531 >^ E9 5DD2FFFF jmp 00720793
00723536 . 81D7 6FBFB7D4 adc edi, D4B7BF6F
0072353C . 85CD test ebp, ecx
0072353E .^ E9 D0BEFFFF jmp 0071F413
00723543 > 8B40 E8 mov eax, dword ptr [eax-18]
00723546 . 83E0 07 and eax, 7
00723549 . 8945 F4 mov dword ptr [ebp-C], eax
0072354C . 837D F0 00 cmp dword ptr [ebp-10], 0
00723550 .^ 0F85 6CC2FFFF jnz 0071F7C2
00723556 . 837D F4 05 cmp dword ptr [ebp-C], 5
0072355A .^ E9 5BB5FFFF jmp 0071EABA
0072355F . 87C5 xchg ebp, eax
00723561 .^ E9 58ADFFFF jmp 0071E2BE
00723566 . 56 push esi
00723567 . 8BF0 mov esi, eax
00723569 . 873424 xchg dword ptr [esp], esi
0072356C . E8 F0C5FFFF call 0071FB61
00723571 >^ E9 B9E5FFFF jmp 00721B2F
00723576 >^ E9 FDE9FFFF jmp 00721F78
0072357B > 0F8D EA0C0000 jge 0072426B
00723581 . 5B pop ebx
00723582 . C1E0 05 shl eax, 5
00723585 . 8955 00 mov dword ptr [ebp], edx
00723588 .^ E9 10D5FFFF jmp 00720A9D
0072358D > 0F8C 9C030000 jl 0072392F
00723593 . 81FE 51F0C5DD cmp esi, DDC5F051
00723599 .^ E9 23CBFFFF jmp 007200C1
0072359E > C3 retn ; RET 用作跳转到 00721AC0
0072359F > E9 CD040000 jmp 00723A71
007235A4 > 81EA 911CD46A sub edx, 6AD41C91
007235AA . 81DF 2301E40A sbb edi, 0AE40123
007235B0 . 81E7 FCE64D43 and edi, 434DE6FC
007235B6 .^ E9 28CCFFFF jmp 007201E3
007235BB > 89EC mov esp, ebp
007235BD . 870424 xchg dword ptr [esp], eax
007235C0 . 8BE8 mov ebp, eax
如上。用PEID和IF都查找不到什么壳。只能载入OD用特征码,另问下是否加了花指令
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
