AcProtect 1.41 外壳分析[29]

"1">nop 004218cc e8 0e000000 call 004218df 004218d1 8b5c24 0c mov ebx,dword ptr ss:[esp+c] 004218d5 8383 b8000000 0>add dword ptr ds:[ebx+b8],2 004218dc 33c0 xor eax,eax 004218de c3 retn 004218df 64:67:ff36 0000 push dword ptr fs:[0] 004218e5 64:67:8926 0000 mov dword ptr fs:[0],esp 004218eb 33c0 xor eax,eax 004218ed cd 01 int 1 004218ef 40 inc eax 004218f0 40 inc eax 004218f1 0bc0 or eax,eax 004218f3 75 27 jnz short 0042191c ; 如果没有发现则跳 004218f5 90 nop 004218f6 90 nop 004218f7 90 nop 004218f8 90 nop 004218f9 60 pushad 004218fa e8 2ef6ffff call <getebp> 004218ff b8 00010000 mov eax,100 00421904 e8 31f6ffff call 00420f3a 00421909 8bc8 mov ecx,eax 0042190b 8dbd 9a404000 lea edi,dword ptr ss:[ebp+40409a] 00421911 03f8 add edi,eax 00421913 e8 36f6ffff call 00420f4e 00421918 ab stos dword ptr es:[edi] 00421919 ^ e2 f8 loopd short 00421913 0042191b 61 popad 0042191c 33c0 xor eax,eax 0042191e 64:8f00 pop dword ptr fs:[eax] 00421921 58 pop eax 00421922 > 60 pushad ; os is win9x 00421923 e8 00000000 call 00421928 00421928 5e pop esi 00421929 83ee 06 sub esi,6 0042192c b9 6c000000 mov ecx,6c 00421931 29ce sub esi,ecx 00421933 ba 2b3c3c6d mov edx,6d3c3c2b 00421938 c1e9 02 shr ecx,2 0042193b 83e9 02 sub ecx,2 0042193e 83f9 00 cmp ecx,0 00421941 7c 1a jl short 0042195d 00421943 8b048e mov eax,dword ptr ds:[esi+ecx*4] 00421946 8b5c8e 04 mov ebx,dword ptr ds:[esi+ecx*4+4] 0042194a 03c3 add eax,ebx 0042194c c1c8 1b ror eax,1b 0042194f 03c2 add eax,edx 00421951 81f2 c6e14f4d xor edx,4d4fe1c6 00421957 89048e mov dword ptr ds:[esi+ecx*4],eax 0042195a 49 dec ecx 0042195b ^ eb e1 jmp short 0042193e 0042195d 61 popad 0042195e 61 popad 0042195f c3 retn sub_anti_fake_unpack: 00422027 > 60 pushad ; sub_anti_fake_unpack 00422028 4e dec esi 00422029 87ea xchg edx,ebp 0042202b 46 inc esi 0042202c 50 push eax 0042202d e8 01000000 call 00422033 00422032 ^ 77 83 ja short 00421fb7 00422034 c40458 les eax,fword ptr