AcProtect 1.41 外壳分析[34]

">; 清除硬件断点 00421b47 8941 08 mov dword ptr ds:[ecx+8],eax 00421b4a 8941 0c mov dword ptr ds:[ecx+c],eax 00421b4d 8941 10 mov dword ptr ds:[ecx+10],eax 00421b50 c3 retn 00421b51 33c0 xor eax,eax 00421b53 64:ff30 push dword ptr fs:[eax] 00421b56 64:8920 mov dword ptr fs:[eax],esp 00421b59 cc int3 00421b5a 90 nop 00421b5b 64:67:8f06 0000 pop dword ptr fs:[0] 00421b61 83c4 04 add esp,4 00421b64 60 pushad 00421b65 e8 00000000 call 00421b6a 00421b6a 5e pop esi 00421b6b 83ee 06 sub esi,6 00421b6e b9 4e000000 mov ecx,4e 00421b73 29ce sub esi,ecx 00421b75 ba 8742cecc mov edx,ccce4287 00421b7a c1e9 02 shr ecx,2 00421b7d 83e9 02 sub ecx,2 00421b80 83f9 00 cmp ecx,0 00421b83 7c 1a jl short 00421b9f 00421b85 8b048e mov eax,dword ptr ds:[esi+ecx*4] 00421b88 8b5c8e 04 mov ebx,dword ptr ds:[esi+ecx*4+4] 00421b8c 2bc3 sub eax,ebx 00421b8e c1c8 02 ror eax,2 00421b91 33c2 xor eax,edx 00421b93 81ea fec97e35 sub edx,357ec9fe 00421b99 89048e mov dword ptr ds:[esi+ecx*4],eax 00421b9c 49 dec ecx 00421b9d ^ eb e1 jmp short 00421b80 00421b9f 61 popad 00421ba0 61 popad 00421ba1 c3 retn anti_fake_unpack_check_import: 00422691 > 60 pushad ; anti_fake_unpack_check_import 00422692 4f dec edi 00422693 66:d3e7 shl di,cl 00422696 03f3 add esi,ebx 00422698 e8 01000000 call 0042269e 0042269d ^ 76 83 jbe short 00422622 ...... 0042283c e8 ece6ffff call <getebp> 00422841 c685 f72d4000 c>mov byte ptr ss:[ebp+402df7],0c3 00422848 8bb5 28164000 mov esi,dword ptr ss:[ebp+401628] ; 定位pe头 0042284e 0fb756 3c movzx edx,word ptr ds:[esi+3c] 00422852 8bfe mov edi,esi 00422854 03fa add edi,edx 00422856 83c7 78 add edi,78 00422859 83c7 08 add edi,8 0042285c 8b07 mov eax,dword ptr ds:[edi] ; 定位输入表 0042285e 8b5f 04 mov ebx,dword ptr ds:[edi+4] ; 定位输入表大小 00422861 81fb d8000000 cmp ebx,0d8 ; 如果输入表大小不为d8则over 00422867 75 29 jnz short <over> 00422869 90 nop 0042286a 90 nop 0042286b 90 nop 0042286c 9