AcProtect 1.41 外壳分析[57]|中文方案文档站(提供各类方案下载,WORD文档下载,范文,案例等)

cmp dword ptr ss:[ebp+402016],esi ; 判断hmodule是否为user32.dll的句柄 005905f9 74 09 je short 00590604 005905fb 90 nop 005905fc 90 nop 005905fd 90 nop 005905fe 90 nop 005905ff eb 63 jmp short 00590664 00590601 90 nop 00590602 90 nop 00590603 90 nop 00590604 80bd 16564100 0>cmp byte ptr ss:[ebp+415616],0 ; 如果是kernel32.dll或user32.dll的话，再判断是否要加密特殊函数 0059060b 74 57 je short 00590664 0059060d 90 nop 0059060e 90 nop 0059060f 90 nop 00590610 90 nop 00590611 eb 07 jmp short 0059061a 00590613 90 nop 00590614 90 nop 00590615 90 nop 00590616 0100 add dword ptr ds:[eax],eax 00590618 0000 add byte ptr ds:[eax],al 0059061a 8bb5 0bf94000 mov esi,dword ptr ss:[ebp+40f90b] 00590620 83c6 0d add esi,0d 00590623 81ee 02184000 sub esi,00401802 00590629 2bf5 sub esi,ebp 0059062b 83fe 00 cmp esi,0 0059062e 7f 34 jg short 00590664 00590630 90 nop 00590631 90 nop 00590632 90 nop 00590633 90 nop 00590634 8bb5 0bf94000 mov esi,dword ptr ss:[ebp+40f90b] 0059063a 53 push ebx 0059063b 50 push eax 0059063c e8 8db2ffff call <get_rnd_value> 00590641 8bd8 mov ebx,eax 00590643 58 pop eax 00590644 33c3 xor eax,ebx 00590646 c606 68 mov byte ptr ds:[esi],68 ; 改成push address xor [esp],key,ret的方式 00590649 8946 01 mov dword ptr ds:[esi+1],eax 0059064c c746 05 8134240>mov dword ptr ds:[esi+5],243481 00590653 895e 08 mov dword ptr ds:[esi+8],ebx 00590656 c646 0c c3 mov byte ptr ds:[esi+c],0c3 0059065a 5b pop ebx 0059065b 8bc6 mov eax,esi 0059065d 8385 0bf94000 0>add dword ptr ss:[ebp+40f90b],0d 00590664 5e pop esi ; 普通api函数的处理 00590665 60 pushad 00590666 8bd0 mov edx,eax 00590668 2bbd 46f84000 sub edi,dword ptr ss:[ebp+40f846] 0059066e 8bc7 mov eax,edi 00590670 b9 01010000 mov ecx,101 00590675 8dbd ebec4000 lea edi,dword ptr ss:[ebp+40eceb] 0059067b f2:af repne scas dword ptr es:[edi] 0059067d 0bc9 or ecx,ecx 0059067f 74 13 je short 00590694 00590681 90 nop 005906

AcProtect 1.41 外壳分析[57]

[入库：2005年8月19日] [更新：2007年3月24日]