[原创]WL猥琐部分-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]WL猥琐部分

发表于: 2009-3-22 13:49 2719

[原创]WL猥琐部分

option

2009-3-22 13:49

2719

WL的猥琐代码：
第一部分：
WinLicen:00D09014 start:
WinLicen:00D09014 mov    eax, 0
WinLicen:00D09019 pusha
WinLicen:00D0901A or    eax, eax
WinLicen:00D0901C jz    short loc_D09086
WinLicen:00D0901C ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0901E db 0E8h, 4 dup(0), 58h, 5, 53h, 3 dup(0), 80h, 38h, 0E9h, 75h, 13h, 61h
WinLicen:00D0901E db 0EBh, 45h, 0DBh, 2Dh, 37h, 90h, 0D0h, 0, 8 dup(0FFh), 3Dh, 40h, 0E8h
WinLicen:00D0901E db 4 dup(0), 58h, 25h, 0, 0F0h, 2 dup(0FFh), 33h, 0FFh, 66h, 0BBh, 19h
WinLicen:00D0901E db 5Ah, 66h, 83h, 0C3h, 34h, 66h, 39h, 18h, 75h, 12h, 0Fh, 0B7h, 50h, 3Ch
WinLicen:00D0901E db 3, 0D0h, 0BBh, 0E9h, 44h, 2 dup(0), 83h, 0C3h, 67h, 39h, 1Ah, 74h, 7
WinLicen:00D0901E db 2Dh, 0, 10h, 2 dup(0), 0EBh, 0DAh, 8Bh, 0F8h, 0E9h, 0EDh, 1, 2 dup(0)
WinLicen:00D0901E db 3, 0C7h, 0B9h, 6Dh, 92h, 90h, 0, 3, 0CFh, 0EBh, 0Ah
WinLicen:00D09086 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09086
WinLicen:00D09086 loc_D09086:                            ; CODE XREF: WinLicen:00D0901Cj
WinLicen:00D09086 mov    eax, 128719Dh
WinLicen:00D0908B mov    ecx, 0D0926Dh
WinLicen:00D09090 push eax
WinLicen:00D09091 push ecx
WinLicen:00D09092 call loc_D0911E
WinLicen:00D09097 call $+5
WinLicen:00D0909C pop    eax
WinLicen:00D0909D sub    eax, 26h
WinLicen:00D090A2 mov    ecx, 69F47Eh
WinLicen:00D090A7 sub    ecx, 69F291h
WinLicen:00D090AD mov    [eax+1], ecx
WinLicen:00D090B0 mov    byte ptr [eax], 0E9h
WinLicen:00D090B3 popa
WinLicen:00D090B4 jmp    loc_D09268
WinLicen:00D090B4 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D090B9 db 6Ch, 36h, 1Ah, 8Ch, 46h, 22h, 90h, 48h, 24h, 12h, 8, 84h, 0C2h, 60h
WinLicen:00D090B9 db 30h, 18h, 8Ch, 46h, 0A2h, 0D0h, 0E8h, 74h, 0BAh, 5Ch, 2Eh, 16h, 0Ah
WinLicen:00D090B9 db 84h, 0C2h, 60h, 0B0h, 0D8h, 6Ch, 36h, 1Ah, 8Ch, 46h, 22h, 90h, 48h
WinLicen:00D090B9 db 24h, 12h, 8, 84h, 0C2h, 60h, 30h, 18h, 8Ch, 46h, 0A2h, 0D0h, 0E8h, 74h
WinLicen:00D090B9 db 0BAh, 5Ch, 2Eh, 16h, 0Ah, 84h, 0C2h, 60h, 0B0h, 0D8h, 6Ch, 36h, 1Ah
WinLicen:00D090B9 db 8Ch, 46h, 22h, 90h, 48h, 24h, 12h, 8, 84h, 0C2h, 60h, 30h, 18h, 8Ch
WinLicen:00D090B9 db 46h, 0A2h, 0D0h, 0E8h, 74h, 0BAh, 5Ch, 2Eh, 16h, 0Ah, 84h, 0C2h, 60h
WinLicen:00D090B9 db 0B0h, 0D8h, 6Ch, 36h, 1Ah, 8Ch, 46h
WinLicen:00D0911E ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0911E
WinLicen:00D0911E loc_D0911E:                            ; CODE XREF: WinLicen:00D09092p
WinLicen:00D0911E pusha
WinLicen:00D0911F mov    esi, [esp+24h]
WinLicen:00D09123 mov    edi, [esp+28h]
WinLicen:00D09127 cld
WinLicen:00D09128 mov    dl, 80h
WinLicen:00D0912A
WinLicen:00D0912A loc_D0912A:                            ; CODE XREF: WinLicen:loc_D0913Ej
WinLicen:00D0912A mov    al, [esi]
WinLicen:00D0912C inc    esi
WinLicen:00D0912D mov    [edi], al
WinLicen:00D0912F inc    edi
WinLicen:00D09130 mov    ebx, 2
WinLicen:00D09135
WinLicen:00D09135 loc_D09135:                            ; CODE XREF: WinLicen:00D09198j
WinLicen:00D09135                                        ; WinLicen:00D091E1j ...
WinLicen:00D09135 add    dl, dl
WinLicen:00D09137 jnz    short loc_D0913E
WinLicen:00D09139 mov    dl, [esi]
WinLicen:00D0913B inc    esi
WinLicen:00D0913C adc    dl, dl
WinLicen:00D0913E
WinLicen:00D0913E loc_D0913E:                            ; CODE XREF: WinLicen:00D09137j
WinLicen:00D0913E jnb    short loc_D0912A
WinLicen:00D09140 add    dl, dl
WinLicen:00D09142 jnz    short loc_D09149
WinLicen:00D09142 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09144 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D09149 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09149
WinLicen:00D09149 loc_D09149:                            ; CODE XREF: WinLicen:00D09142j
WinLicen:00D09149 jnb    short loc_D0919A
WinLicen:00D0914B xor    eax, eax
WinLicen:00D0914D add    dl, dl
WinLicen:00D0914F jnz    short loc_D09156
WinLicen:00D09151 mov    dl, [esi]
WinLicen:00D09153 inc    esi
WinLicen:00D09154 adc    dl, dl
WinLicen:00D09156
WinLicen:00D09156 loc_D09156:                            ; CODE XREF: WinLicen:00D0914Fj
WinLicen:00D09156 jnb    loc_D0923B
WinLicen:00D0915C add    dl, dl
WinLicen:00D0915E jnz    short loc_D09165
WinLicen:00D0915E ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09160 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D09165 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09165
WinLicen:00D09165 loc_D09165:                            ; CODE XREF: WinLicen:00D0915Ej
WinLicen:00D09165 adc    eax, eax
WinLicen:00D09167 add    dl, dl
WinLicen:00D09169 jnz    short loc_D09170
WinLicen:00D09169 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0916B db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D09170 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09170
WinLicen:00D09170 loc_D09170:                            ; CODE XREF: WinLicen:00D09169j
WinLicen:00D09170 adc    eax, eax
WinLicen:00D09172 add    dl, dl
WinLicen:00D09174 jnz    short loc_D0917B
WinLicen:00D09174 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09176 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D0917B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0917B
WinLicen:00D0917B loc_D0917B:                            ; CODE XREF: WinLicen:00D09174j
WinLicen:00D0917B adc    eax, eax
WinLicen:00D0917D add    dl, dl
WinLicen:00D0917F jnz    short loc_D09186
WinLicen:00D09181 mov    dl, [esi]
WinLicen:00D09183 inc    esi
WinLicen:00D09184 adc    dl, dl
WinLicen:00D09186
WinLicen:00D09186 loc_D09186:                            ; CODE XREF: WinLicen:00D0917Fj
WinLicen:00D09186 adc    eax, eax
WinLicen:00D09188 jz    short loc_D09190
WinLicen:00D09188 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0918A db 57h, 2Bh, 0F8h, 8Ah, 7, 5Fh
WinLicen:00D09190 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09190
WinLicen:00D09190 loc_D09190:                            ; CODE XREF: WinLicen:00D09188j
WinLicen:00D09190 mov    [edi], al
WinLicen:00D09192 inc    edi
WinLicen:00D09193 mov    ebx, 2
WinLicen:00D09198 jmp    short loc_D09135
WinLicen:00D0919A ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0919A
WinLicen:00D0919A loc_D0919A:                            ; CODE XREF: WinLicen:loc_D09149j
WinLicen:00D0919A mov    eax, 1
WinLicen:00D0919F
WinLicen:00D0919F loc_D0919F:                            ; CODE XREF: WinLicen:loc_D091B3j
WinLicen:00D0919F add    dl, dl
WinLicen:00D091A1 jnz    short loc_D091A8
WinLicen:00D091A1 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091A3 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D091A8 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091A8
WinLicen:00D091A8 loc_D091A8:                            ; CODE XREF: WinLicen:00D091A1j
WinLicen:00D091A8 adc    eax, eax
WinLicen:00D091AA add    dl, dl
WinLicen:00D091AC jnz    short loc_D091B3
WinLicen:00D091AE mov    dl, [esi]
WinLicen:00D091B0 inc    esi
WinLicen:00D091B1 adc    dl, dl
WinLicen:00D091B3
WinLicen:00D091B3 loc_D091B3:                            ; CODE XREF: WinLicen:00D091ACj
WinLicen:00D091B3 jb    short loc_D0919F
WinLicen:00D091B5 sub    eax, ebx
WinLicen:00D091B7 mov    ebx, 1
WinLicen:00D091BC jnz    short loc_D091E6
WinLicen:00D091BE mov    ecx, 1
WinLicen:00D091C3
WinLicen:00D091C3 loc_D091C3:                            ; CODE XREF: WinLicen:loc_D091D7j
WinLicen:00D091C3 add    dl, dl
WinLicen:00D091C5 jnz    short loc_D091CC
WinLicen:00D091C5 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091C7 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D091CC ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091CC
WinLicen:00D091CC loc_D091CC:                            ; CODE XREF: WinLicen:00D091C5j
WinLicen:00D091CC adc    ecx, ecx
WinLicen:00D091CE add    dl, dl
WinLicen:00D091D0 jnz    short loc_D091D7
WinLicen:00D091D2 mov    dl, [esi]
WinLicen:00D091D4 inc    esi
WinLicen:00D091D5 adc    dl, dl
WinLicen:00D091D7
WinLicen:00D091D7 loc_D091D7:                            ; CODE XREF: WinLicen:00D091D0j
WinLicen:00D091D7 jb    short loc_D091C3
WinLicen:00D091D9 push esi
WinLicen:00D091DA mov    esi, edi
WinLicen:00D091DC sub    esi, ebp
WinLicen:00D091DE rep movsb
WinLicen:00D091E0 pop    esi
WinLicen:00D091E1 jmp    loc_D09135
WinLicen:00D091E6 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091E6
WinLicen:00D091E6 loc_D091E6:                            ; CODE XREF: WinLicen:00D091BCj
WinLicen:00D091E6 dec    eax
WinLicen:00D091E7 shl    eax, 8
WinLicen:00D091EA mov    al, [esi]
WinLicen:00D091EC inc    esi
WinLicen:00D091ED mov    ebp, eax
WinLicen:00D091EF mov    ecx, 1
WinLicen:00D091F4
WinLicen:00D091F4 loc_D091F4:                            ; CODE XREF: WinLicen:loc_D09208j
WinLicen:00D091F4 add    dl, dl
WinLicen:00D091F6 jnz    short loc_D091FD
WinLicen:00D091F6 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091F8 db 8Ah, 16h, 46h, 12h, 0D2h
WinLicen:00D091FD ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D091FD
WinLicen:00D091FD loc_D091FD:                            ; CODE XREF: WinLicen:00D091F6j
WinLicen:00D091FD adc    ecx, ecx
WinLicen:00D091FF add    dl, dl
WinLicen:00D09201 jnz    short loc_D09208
WinLicen:00D09203 mov    dl, [esi]
WinLicen:00D09205 inc    esi
WinLicen:00D09206 adc    dl, dl
WinLicen:00D09208
WinLicen:00D09208 loc_D09208:                            ; CODE XREF: WinLicen:00D09201j
WinLicen:00D09208 jb    short loc_D091F4
WinLicen:00D0920A cmp    eax, 7D00h
WinLicen:00D0920F jnb    short loc_D0922B
WinLicen:00D09211 cmp    eax, 500h
WinLicen:00D09216 jb    short loc_D09226
WinLicen:00D09216 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09218 db 41h, 56h, 8Bh, 0F7h, 2Bh, 0F0h, 0F3h, 0A4h, 5Eh, 0E9h, 0Fh, 3 dup(0FFh)
WinLicen:00D09226 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09226
WinLicen:00D09226 loc_D09226:                            ; CODE XREF: WinLicen:00D09216j
WinLicen:00D09226 cmp    eax, 7Fh
WinLicen:00D09229 ja    short loc_D0922E
WinLicen:00D0922B
WinLicen:00D0922B loc_D0922B:                            ; CODE XREF: WinLicen:00D0920Fj
WinLicen:00D0922B add    ecx, 2
WinLicen:00D0922E
WinLicen:00D0922E loc_D0922E:                            ; CODE XREF: WinLicen:00D09229j
WinLicen:00D0922E push esi
WinLicen:00D0922F mov    esi, edi
WinLicen:00D09231 sub    esi, eax
WinLicen:00D09233 rep movsb
WinLicen:00D09235 pop    esi
WinLicen:00D09236 jmp    loc_D09135
WinLicen:00D0923B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0923B
WinLicen:00D0923B loc_D0923B:                            ; CODE XREF: WinLicen:loc_D09156j
WinLicen:00D0923B mov    al, [esi]
WinLicen:00D0923D inc    esi
WinLicen:00D0923E xor    ecx, ecx
WinLicen:00D09240 shr    al, 1
WinLicen:00D09243 jz    short loc_D0925C
WinLicen:00D09245 adc    ecx, 2
WinLicen:00D09248 mov    ebp, eax
WinLicen:00D0924A push esi
WinLicen:00D0924B mov    esi, edi
WinLicen:00D0924D sub    esi, eax
WinLicen:00D0924F rep movsb
WinLicen:00D09251 pop    esi
WinLicen:00D09252 mov    ebx, 1
WinLicen:00D09257 jmp    loc_D09135
WinLicen:00D0925C ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D0925C
WinLicen:00D0925C loc_D0925C:                            ; CODE XREF: WinLicen:00D09243j
WinLicen:00D0925C sub    edi, [esp+28h]
WinLicen:00D09260 mov    [esp+1Ch], edi
WinLicen:00D09264 popa
WinLicen:00D09265 retn 8
WinLicen:00D09268 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:00D09268
WinLicen:00D09268 loc_D09268:                            ; CODE XREF: WinLicen:00D090B4j
WinLicen:00D09268 jmp    loc_128719D
WinLicen:00D09268 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
第二部分：VM 内部？
WinLicen:0128719D jmp    loc_128A782

WinLicen:0128A782 mov    eax, ebp
WinLicen:0128A784 mov    edx, esp
WinLicen:0128A786 pusha
WinLicen:0128A787 call $+5
WinLicen:0128A78C
WinLicen:0128A78C saved_fp:
WinLicen:0128A78C pop    ebp
WinLicen:0128A78D sub    ebp, 92C35EFh
WinLicen:0128A793 mov    [ebp+92C0E3Dh], edx
WinLicen:0128A799 mov    [ebp+92C0B09h], esi
WinLicen:0128A79F mov    [ebp+92C3175h], eax
WinLicen:0128A7A5 cmp    dword ptr [ebp+92C27A9h], 0
WinLicen:0128A7AC jz    short loc_128A7BA
WinLicen:0128A7AE mov    ebp, eax
WinLicen:0128A7B0 mov    esp, edx
WinLicen:0128A7B2 mov    eax, 1
WinLicen:0128A7B7 retn 0Ch
WinLicen:0128A7BA ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128A7BA
WinLicen:0128A7BA loc_128A7BA:                         ; CODE XREF: WinLicen:0128A7ACj
WinLicen:0128A7BA mov    eax, [esp+24h]
WinLicen:0128A7BE mov    [ebp+92C14ADh], eax
WinLicen:0128A7C4 push 45h
WinLicen:0128A7C6 call loc_128A86E
WinLicen:0128A7CB push 783749Ah
WinLicen:0128A7D0 call loc_128A8B4 //VM
WinLicen:0128A7D5 push 0A894B25h
WinLicen:0128A7DA call loc_128A8B4  //VM
WinLicen:0128A7DF jmp    loc_128ABCD //VM
WinLicen:0128A7DF ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128A7E4 db 45h, 46h, 47h, 48h, 49h, 4Ah, 4Bh, 4Ch, 4Dh, 4Eh, 4Fh, 50h, 51h, 52h
WinLicen:0128A7E4 db 53h, 54h, 55h, 56h, 57h, 58h, 59h, 5Ah, 5Bh, 5Ch, 5Dh, 5Eh, 5Fh, 60h
WinLicen:0128A7E4 db 61h, 62h, 63h, 64h, 65h, 66h, 67h, 68h, 69h, 6Ah, 6Bh, 6Ch, 6Dh, 6Eh
WinLicen:0128A7E4 db 6Fh, 70h, 71h, 72h, 73h, 74h, 75h, 76h, 77h, 78h, 79h, 7Ah, 7Bh, 7Ch
WinLicen:0128A7E4 db 7Dh, 7Eh, 7Fh, 80h, 81h, 82h, 83h, 84h, 85h, 86h, 87h, 88h, 89h, 8Ah
WinLicen:0128A7E4 db 8Bh, 8Ch, 8Dh, 8Eh, 8Fh, 90h, 91h, 92h, 93h, 94h, 95h, 96h, 97h, 98h
WinLicen:0128A7E4 db 99h, 9Ah, 9Bh, 9Ch, 9Dh, 9Eh, 9Fh, 0A0h, 0A1h, 0A2h, 0A3h, 0A4h, 0A5h
WinLicen:0128A7E4 db 0A6h, 0A7h, 0A8h, 0A9h, 0AAh, 0ABh, 0ACh, 0ADh, 0AEh, 0AFh, 0B0h, 0B1h
WinLicen:0128A7E4 db 0B2h, 0B3h, 0B4h, 0B5h, 0B6h, 0B7h, 0B8h, 0B9h, 0BAh, 0BBh, 0BCh, 0BDh
WinLicen:0128A7E4 db 0BEh, 0BFh, 0C0h, 0C1h, 0C2h, 0C3h, 0Bh dup(0)
WinLicen:0128A86E ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128A86E
WinLicen:0128A86E loc_128A86E:                         ; CODE XREF: WinLicen:0128A7C6p
WinLicen:0128A86E push ebp
WinLicen:0128A86F mov    ebp, esp
WinLicen:0128A871 add    esp, 0FFFFFFD8h
WinLicen:0128A874 pusha
WinLicen:0128A875 call $+5
WinLicen:0128A87A pop    edx
WinLicen:0128A87B sub    edx, 92C36DDh
WinLicen:0128A881 mov    ebx, edx
WinLicen:0128A883 mov    dword ptr [ebp-28h], 0
WinLicen:0128A88A
WinLicen:0128A88A loc_128A88A:                         ; CODE XREF: WinLicen:0128A8A7j
WinLicen:0128A88A mov    eax, [ebp-28h]
WinLicen:0128A88D inc    eax
WinLicen:0128A88E mov    [ebp-28h], eax
WinLicen:0128A891 cmp    dword ptr [ebp-28h], 80h
WinLicen:0128A898 jz    short loc_128A8A9
WinLicen:0128A89A mov    eax, [ebp+8]
WinLicen:0128A89D mov    [ebx+92C3647h], eax
WinLicen:0128A8A3 inc    dword ptr [ebp+8]
WinLicen:0128A8A6 inc    ebx
WinLicen:0128A8A7 jmp    short loc_128A88A
WinLicen:0128A8A9 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128A8A9
WinLicen:0128A8A9 loc_128A8A9:                         ; CODE XREF: WinLicen:0128A898j
WinLicen:0128A8A9 mov    [ebp-24h], eax
WinLicen:0128A8AC popa
WinLicen:0128A8AD mov    eax, [ebp-24h]
WinLicen:0128A8B0 leave
WinLicen:0128A8B1 retn 4
WinLicen:0128A8B4 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128A8B4
WinLicen:0128A8B4 loc_128A8B4:                         ; CODE XREF: WinLicen:0128A7D0p
WinLicen:0128A8B4                                        ; WinLicen:0128A7DAp
WinLicen:0128A8B4 push ebp
WinLicen:0128A8B5 mov    ebp, esp
WinLicen:0128A8B7 add    esp, 0FFFFFF7Ch
WinLicen:0128A8BD pusha
WinLicen:0128A8BE call $+5
WinLicen:0128A8C3 pop    edx
WinLicen:0128A8C4 sub    edx, 92C3726h
WinLicen:0128A8CA lea    eax, [ebp-80h]
WinLicen:0128A8CD mov    ebx, [ebp+8]
WinLicen:0128A8D0 mov    dword ptr [ebp-84h], 0
WinLicen:0128A8DA
WinLicen:0128A8DA loc_128A8DA:                         ; CODE XREF: WinLicen:0128A8F5j
WinLicen:0128A8DA mov    ecx, [ebp-84h]
WinLicen:0128A8E0 rol    ebx, 1
WinLicen:0128A8E2 mov    [eax], bl
WinLicen:0128A8E4 inc    ecx
WinLicen:0128A8E5 mov    [ebp-84h], ecx
WinLicen:0128A8EB cmp    dword ptr [ebp-84h], 80h
WinLicen:0128A8F5 jnz    short loc_128A8DA
WinLicen:0128A8F7 mov    dword ptr [ebp-84h], 0
WinLicen:0128A901 lea    edi, [edx+92C3647h]
WinLicen:0128A907 lea    esi, [ebp-80h]
WinLicen:0128A90A
WinLicen:0128A90A loc_128A90A:                         ; CODE XREF: WinLicen:0128A937j
WinLicen:0128A90A mov    cl, [esi]
WinLicen:0128A90C mov    ebx, 1F4h
WinLicen:0128A911 mov    eax, 785437ABh
WinLicen:0128A916
WinLicen:0128A916 loc_128A916:                         ; CODE XREF: WinLicen:0128A91Dj
WinLicen:0128A916 rcl    eax, cl
WinLicen:0128A918 mov    cl, [edi]
WinLicen:0128A91A rcl    eax, cl
WinLicen:0128A91C dec    ebx
WinLicen:0128A91D jnz    short loc_128A916
WinLicen:0128A91F imul eax, ebx
WinLicen:0128A922 inc    edi
WinLicen:0128A923 inc    esi
WinLicen:0128A924 mov    ecx, [ebp-84h]
WinLicen:0128A92A inc    ecx
WinLicen:0128A92B mov    [ebp-84h], ecx
WinLicen:0128A931 cmp    ecx, 80h
WinLicen:0128A937 jnz    short loc_128A90A
WinLicen:0128A939 popa
WinLicen:0128A93A leave
WinLicen:0128A93B retn 4

WinLicen:0128ABCD loc_128ABCD:                         ; CODE XREF: WinLicen:0128A7DFj
WinLicen:0128ABCD mov    ecx, 7000h
WinLicen:0128ABD2 lea    edi, [ebp+92C3A41h]
WinLicen:0128ABD8
WinLicen:0128ABD8 loc_128ABD8:                         ; CODE XREF: WinLicen:0128ABDCj
WinLicen:0128ABD8 dec    byte ptr [edi]
WinLicen:0128ABDA inc    edi
WinLicen:0128ABDB dec    ecx
WinLicen:0128ABDC jnz    short loc_128ABD8
WinLicen:0128ABDE mov    eax, 48692121h
WinLicen:0128ABE3 mov    edx, 0F0909000h
WinLicen:0128ABE8 sub    edx, 0F0000000h
WinLicen:0128ABEE lea    eax, [ebp+92C3B5Fh]
WinLicen:0128ABF4 push eax
WinLicen:0128ABF5 push large dword ptr fs:0
WinLicen:0128ABFC mov    large fs:0, esp
WinLicen:0128AC03 call $+5
WinLicen:0128AC08 pop    eax
WinLicen:0128AC09 mov    ebx, 2FE5F1FBh
WinLicen:0128AC0E stc
WinLicen:0128AC0F sub    eax, edx
WinLicen:0128AC11 mov    bh, dh
WinLicen:0128AC13 and    eax, 0FFFFF000h
WinLicen:0128AC18 mov    bx, dx
WinLicen:0128AC1B mov    ecx, edx
WinLicen:0128AC1D xor    edi, edi
WinLicen:0128AC1F
WinLicen:0128AC1F loc_128AC1F:                         ; CODE XREF: WinLicen:0128AC3Aj
WinLicen:0128AC1F cmp    word ptr [eax], 5A4Dh
WinLicen:0128AC24 jnz    short loc_128AC34
WinLicen:0128AC26 movzx edx, word ptr [eax+3Ch]
WinLicen:0128AC2A add    edx, eax
WinLicen:0128AC2C cmp    dword ptr [edx], 4550h
WinLicen:0128AC32 jz    short loc_128AC3C
WinLicen:0128AC34
WinLicen:0128AC34 loc_128AC34:                         ; CODE XREF: WinLicen:0128AC24j
WinLicen:0128AC34 sub    eax, 1000h
WinLicen:0128AC39 inc    edi
WinLicen:0128AC3A jmp    short loc_128AC1F
WinLicen:0128AC3C ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128AC3C
WinLicen:0128AC3C loc_128AC3C:                         ; CODE XREF: WinLicen:0128AC32j
WinLicen:0128AC3C pop    large dword ptr fs:0
WinLicen:0128AC43 add    esp, 4
WinLicen:0128AC46 lea    edx, [ebp+92C3B72h]
WinLicen:0128AC4C push edx
WinLicen:0128AC4D push large dword ptr fs:0
WinLicen:0128AC54 mov    large fs:0, esp
WinLicen:0128AC5B mov    edx, eax
WinLicen:0128AC5D add    eax, ecx
WinLicen:0128AC5F sub    eax, 1000h
WinLicen:0128AC64 mov    esi, 0
WinLicen:0128AC69 or    esi, esi
WinLicen:0128AC6B jz    short loc_128AC7F
WinLicen:0128AC6D mov    esi, 908014h
WinLicen:0128AC72 add    esi, edx
WinLicen:0128AC74 mov    esi, [esi+10h]
WinLicen:0128AC77 add    esi, edx
WinLicen:0128AC79 mov    esi, [esi]
WinLicen:0128AC7B mov    ecx, esi
WinLicen:0128AC7D jmp    short loc_128AC8B
WinLicen:0128AC7F ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128AC7F
WinLicen:0128AC7F loc_128AC7F:                         ; CODE XREF: WinLicen:0128AC6Bj
WinLicen:0128AC7F lea    esi, [eax+0Ch]
WinLicen:0128AC82 mov    [ebp+92C1FD9h], esi
WinLicen:0128AC88 mov    esi, [eax+4]
WinLicen:0128AC8B
WinLicen:0128AC8B loc_128AC8B:                         ; CODE XREF: WinLicen:0128AC7Dj
WinLicen:0128AC8B and    esi, 0FFFF0000h
WinLicen:0128AC91 cmp    esi, 80000000h
WinLicen:0128AC97 jbe    short loc_128ACCA
WinLicen:0128AC99 mov    esi, 0
WinLicen:0128AC9E or    esi, esi
WinLicen:0128ACA0 jz    short loc_128ACC7
WinLicen:0128ACA2 mov    esi, ecx
WinLicen:0128ACA4 cmp    esi, 0BFF00000h
WinLicen:0128ACAA jb    short loc_128ACBC
WinLicen:0128ACAC cmp    esi, 0BFFF0000h
WinLicen:0128ACB2 ja    short loc_128ACBC
WinLicen:0128ACB4 and    esi, 0FFFF0000h
WinLicen:0128ACBA jmp    short loc_128ACCA
WinLicen:0128ACBC ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128ACBC
WinLicen:0128ACBC loc_128ACBC:                         ; CODE XREF: WinLicen:0128ACAAj
WinLicen:0128ACBC                                        ; WinLicen:0128ACB2j
WinLicen:0128ACBC mov    esi, [esi+1]
WinLicen:0128ACBF and    esi, 0FFFF0000h
WinLicen:0128ACC5 jmp    short loc_128ACCA
WinLicen:0128ACC7 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128ACC7
WinLicen:0128ACC7 loc_128ACC7:                         ; CODE XREF: WinLicen:0128ACA0j
WinLicen:0128ACC7 mov    esi, [eax+1Ch]
WinLicen:0128ACCA
WinLicen:0128ACCA loc_128ACCA:                         ; CODE XREF: WinLicen:0128AC97j
WinLicen:0128ACCA                                        ; WinLicen:0128ACBAj ...
WinLicen:0128ACCA xor    eax, eax
WinLicen:0128ACCC
WinLicen:0128ACCC loc_128ACCC:                         ; CODE XREF: WinLicen:0128ACDFj
WinLicen:0128ACCC cmp    eax, 32h
WinLicen:0128ACCF jz    short loc_128ACF0
WinLicen:0128ACD1 cmp    word ptr [esi], 5A4Dh
WinLicen:0128ACD6 jz    short loc_128ACE1
WinLicen:0128ACD8
WinLicen:0128ACD8 loc_128ACD8:                         ; CODE XREF: WinLicen:0128ACEEj
WinLicen:0128ACD8 sub    esi, 10000h
WinLicen:0128ACDE inc    eax
WinLicen:0128ACDF jmp    short loc_128ACCC
WinLicen:0128ACE1 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128ACE1
WinLicen:0128ACE1 loc_128ACE1:                         ; CODE XREF: WinLicen:0128ACD6j
WinLicen:0128ACE1 mov    edi, [esi+3Ch]
WinLicen:0128ACE4 add    edi, esi
WinLicen:0128ACE6 cmp    dword ptr [edi], 4550h
WinLicen:0128ACEC jz    short loc_128AD32
WinLicen:0128ACEE jmp    short loc_128ACD8
WinLicen:0128ACF0 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128ACF0
WinLicen:0128ACF0 loc_128ACF0:                         ; CODE XREF: WinLicen:0128ACCFj
WinLicen:0128ACF0 pop    large dword ptr fs:0
WinLicen:0128ACF7 add    esp, 4
WinLicen:0128ACFA popa
WinLicen:0128ACFB retn
WinLicen:0128ACFC ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
WinLicen:0128ACFC push ecx
WinLicen:0128ACFD mov    ecx, [esp+10h]
WinLicen:0128AD01 sub    dword ptr [ecx+0B0h], 1000h
WinLicen:0128AD0B pop    ecx
WinLicen:0128AD0C xor    eax, eax
WinLicen:0128AD0E retn

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・2

免费・0

支持

最新回复 (3)
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 2 楼没看懂啥意思 2009-3-22 19:20 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 3 楼不就是取kernel32基址么?处理了一下98而已。 2009-3-22 20:10 0
雪域剑客雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	雪域剑客 4 楼好像就是虚拟机执行部分吧 2009-3-25 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

option

发帖

727

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 2 楼没看懂啥意思 2009-3-22 19:20 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 3 楼不就是取kernel32基址么?处理了一下98而已。 2009-3-22 20:10 0
雪域剑客雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	雪域剑客 4 楼好像就是虚拟机执行部分吧 2009-3-25 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复