AcProtect 1.41 外壳分析[13]

">dword ptr ds:[4b7708] sub_replace_code: 0057d02e > 60 pushad ; sub_restore_replace_code 0057d02f 90 nop 0057d030 90 nop 0057d031 90 nop 0057d032 90 nop ...... 0057d1d9 e8 22ef0000 call <sub_getebp >
0057d1de 8b4424 20 mov eax,dword ptr ss:[esp+20] ; 取call这个处理模块的地址 0057d1e2 33c9 xor ecx,ecx 0057d1e4 8b9c8d 812e4000 mov ebx,dword ptr ss:[ebp+ecx*4+402e81] 0057d1eb 039d 46f84000 add ebx,dword ptr ss:[ebp+40f846] 0057d1f1 3bc3 cmp eax,ebx 0057d1f3 74 07 je short 0057d1fc ; 表 里查到符合条件的则跳 0057d1f5 90 nop 0057d1f6 90 nop 0057d1f7 90 nop 0057d1f8 90 nop 0057d1f9 41 inc ecx 0057d1fa ^ eb e8 jmp short 0057d1e4 ; 循 环查表 0057d1fc 8db5 615d4000 lea esi,dword ptr ss:[ebp+405d61] 0057d202 b8 0a000000 mov eax,0a 0057d207 f7e1 mul ecx 0057d209 03f0 add esi,eax 0057d20b 8dbd 07184000 lea edi,dword ptr ss:[ebp+401807] 0057d211 0fb6840d c92240>movzx eax,byte ptr ss:[ebp+ecx+4022c9] 0057d219 fec0 inc al 0057d21b 88840d c9224000 mov byte ptr ss:[ebp+ecx+4022c9],al 0057d222 3c 20 cmp al,20 0057d224 75 13 jnz short 0057d239 0057d226 90 nop 0057d227 90 nop 0057d228 90 nop 0057d229 90 nop 0057d22a 8bbd 4af84000 mov edi,dword ptr ss:[ebp+40f84a] 0057d230 b8 0a000000 mov eax,0a 0057d235 f7e1 mul ecx 0057d237 03f8 add edi,eax 0057d239 8a9d 1e204000 mov bl,byte ptr ss:[ebp+40201e] 0057d23f b9 0a000000 mov ecx,0a 0057d244 > ac lods byte ptr ds:[esi] ; 还 原出正确的代码，加了垃圾代码的 0057d245 32c3 xor al,bl 0057d247 aa stos byte ptr es:[edi] 0057d248 ^ e2 fa loopd short <decrypt_replaced_code> 0057d24a 83ef 0a sub edi,0a 0057d24d 57 push edi 0057d24e 8db5 07184000 lea esi,dword ptr ss:[ebp+401807] 0057d254 33f7 xor esi,edi 0057d256 74 19 je short 0057d271 0057d258 90 nop 0057d259 90 nop 0057d25a 90 nop 0057d25b 90 nop 0057d25c 8b7424 24 mov esi,dword ptr ss:[esp+24] 0057d260 83ee 04 sub esi,4 0057d263 ad lods dword ptr ds:[esi] 0057d264 81ef 2e204000 sub edi,0040202e