AcProtect 1.41 外壳分析[60]

id="1">nop 0058e316 . 90 nop 0058e317 . 90 nop 0058e318 . 90 nop 0058e319 . 8bbd 4b814100 mov edi,dword ptr ss:[ebp+41814b] ; 如果crc值不正确的话，这里开始出阴招:-) 0058e31f . 03bd 46f84000 add edi,dword ptr ss:[ebp+40f846] 0058e325 . b9 0a000000 mov ecx,0a 0058e32a . f3:ab rep stos dword ptr es:[edi] 0058e32c > 61 popad 0058e32d . 8d85 35334100 lea eax,dword ptr ss:[ebp+413335] 0058e333 . 50 push eax 0058e334 . c3 retn 0058e335 . 53 push ebx ; /hmem 0058e336 . ff95 03fd4000 call dword ptr ss:[ebp+40fd03] ; \globalfree 0058e33c . 96 xchg eax,esi 0058e33d > 50 push eax 0058e33e . 57 push edi ; /hobject 0058e33f . ff95 27fd4000 call dword ptr ss:[ebp+40fd27] ; \closehandle 0058e345 . 58 pop eax 0058e346 > 60 pushad ; 加密代码 0058e347 > e8 00000000 call 0058e34c 0058e34c /$ 5e pop esi 0058e34d |. 83ee 06 sub esi,6 0058e350 |. b9 c0000000 mov ecx,0c0 0058e355 |. 29ce sub esi,ecx 0058e357 |. ba e86dcb4b mov edx,4bcb6de8 0058e35c |. c1e9 02 shr ecx,2 0058e35f |. 83e9 02 sub ecx,2 0058e362 |> 83f9 00 /cmp ecx,0 0058e365 |. 7c 1a |jl short 0058e381 0058e367 |. 8b048e |mov eax,dword ptr ds:[esi+ecx*4] 0058e36a |. 8b5c8e 04 |mov ebx,dword ptr ds:[esi+ecx*4+4] 0058e36e |. 2bc3 |sub eax,ebx 0058e370 |. c1c0 06 |rol eax,6 0058e373 |. 03c2 |add eax,edx 0058e375 |. 81f2 13fdb951 |xor edx,51b9fd13 0058e37b |. 89048e |mov dword ptr ds:[esi+ecx*4],eax 0058e37e |. 49 |dec ecx 0058e37f |.^ eb e1 \jmp short 0058e362 0058e381 |> 61 popad 0058e382 |. 61 popad 0058e383 \. c3 retn calc crc value: 0058e384 > 8bf8 mov edi,eax ; 计算crc值 0058e386 33c0 xor eax,eax 0058e388 33db xor ebx,ebx 0058e38a 33d2 xor edx,edx 0058e38c > 8a07 mov al,byte ptr ds:[edi] 0058e38e f7e2 mul edx 0058e390 03d8 add ebx,eax 0058e392 42 inc edx 0058e393 47 inc edi 0058e394 ^ e2 f6 loopd short <loop calc> 0058e396 93 xchg eax,ebx 0058e397 c3 retn sub_check_reg: 0058fa6e > 60 pushad ; 检测使用有没有过期之类的 0058fa6f eb 04 jmp short 0058fa75 0058fa71 90