VMP逆向分析笔记(连载ing~)

cu629944

       好久没来52了。这篇文作为我即将告别破解一段时间的纪念吧，等高考结束再重新接触破解吧，我年纪小，才17~接触计算机技术时间也不长，所以文章里面难免有错误。请大家提出来，然后我好知道我下一个学习的目标是啥，正所谓，脸就是用来丢的，我就把我分析的文贴出来，这个文我是边调试边写的，故肯定有考虑不周，有错误的地方，请大家谅解，小菜玩高科技，打肿脸充胖子嘛。这篇文没有完结，下一面是NAND门分析和跳转的方式。更新ING~
    VMP 逆向分析笔记

——作者：Kinney

山有木兮木有枝

心悦君兮君不知

只愿君心似我心

鸿雁在云鱼在水

天气还是一成不变的炎热，空气中的灰尘与水滴无一例外的都被蒸发掉。

尽管不知道是不是暂时的。只是感觉阵阵热浪席卷而来，日子还是一样过。

我庆幸，在你最美丽的时刻被我遇见。我庆幸，我遇见你在你最美丽的时刻。

狒狒~加油...！ BY_Kinney

一、VMP入口(新老对比)

将Test.exe分别用VMP1.8和VMP2.05的流程，来V+M一下（即虚拟+变异）。

将Test.VMP1.X.exe载入OD，可以看到程序在00401000断下来：
   

[HTML] 纯文本查看 复制代码

?

1 2	00401000 > 68 2765A8D0 push 0xD0A86527 00401005 E8 97510000 call Test_vmp.004061A1

由一个PUSH DWORD来作为VMP的VM入口，这个Dword在这个程序里是 0xD0A86527，VMP将 0xD0A86527压入堆栈来作为源程序的入口，这个 0xD0A86527有什么用呢？它是用来计算函数VM开始执行的地址，可以利用68 ?? ?? ?? ?? E8(这个特征码是NOOBY牛公开的)来暴力猜测入口。

我们再来看看VMP新版本的入口，将Test.VMP2.X.exe载入OD后，也是中断在00401000处，很明显，VMP将入口改成了一个JMP跳转。我们F7单步跟踪下看看。

   

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11

00401000 > $-E9 586F0000 JMP Test_vmp.00407F5D #入口改成了JMP指令 00407F5D > 60 PUSHAD 00407F5E . E9 20000000 JMP Test_vmp.00407F83 00407F83 > 9C PUSHFD 00407F63 $ C74424 24 4B032AF2 MOV DWORD PTR SS:[ESP+24],F22A034B #这个才是真正的KEY 00407F6B . 9C PUSHFD 00407F6C . C74424 24 80C91693 MOV DWORD PTR SS:[ESP+24],9316C980 #模拟旧版CALL的返回，无用 00407F74 . 55 PUSH EBP 00407F75 . 9C PUSHFD 00407F76 . C60424 EB MOV BYTE PTR SS:[ESP],0EB 00407F7A . 8D6424 2C LEA ESP,DWORD PTR SS:[ESP+2C] 00407F7E .^E9 92E5FFFF JMP Test_vmp.00406515

从这里可以看出来了，高版本的VMP将PUSH KEY改成了JMP指令，并且把68 ?? ?? ?? ?? E8这样的特征码给擦除了。

继续单步跟踪，紧接着就是VM的虚拟机的入口：

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

<font face="宋体">　　00406515 > E8 49060000 CALL Test_vmp.00406B63 　　00406B63 $ 891C24 MOV DWORD PTR SS:[ESP],EBX 　　00406B66 . 60 PUSHAD 　　00406B67 . 57 PUSH EDI 00405617 $ 894424 24 MOV DWORD PTR SS:[ESP+24],EAX 　　0040561B . 880424 MOV BYTE PTR SS:[ESP],AL 　　30040561F . 897424 40 MOV DWORD PTR SS:[ESP+40],ESI 　　00405623 . FF3424 PUSH DWORD PTR SS:[ESP] 　　00405626 . 68 EEBA723B PUSH 3B72BAEE 　　0040562B . 54 PUSH ESP 　　0040562C . C64424 08 1E MOV BYTE PTR SS:[ESP+8],1E 　　00405631 . 8D6424 4C LEA ESP,DWORD PTR SS:[ESP+4C] 　　00405635 . E9 580F0000 JMP Test_vmp.00406592 　　00406592 > F6D7 NOT BH 　　00406E6E $ 60 PUSHAD 　　004055DE $ 897424 24 MOV DWORD PTR SS:[ESP+24],ESI 　　004055E2 . 0F90C0 SETO AL 　　004055E5 . 9C PUSHFD 　　004055E6 . 8F4424 20 POP DWORD PTR SS:[ESP+20] 　　004055EA . 66:0FBAFE 0F BTC SI,0F 　　004055EF . 66:87F3 XCHG BX,SI 　　004055F2 . 66:0FCE BSWAP SI 　　004055F5 . 66:D3E6 SHL SI,CL 　　004055F8 . 877C24 1C XCHG DWORD PTR SS:[ESP+1C],EDI 　　004055FC . 66:F7D7 NOT DI 　　004055FF . 894C24 18 MOV DWORD PTR SS:[ESP+18],ECX 　　00405603 . 66:FFC6 INC SI 　　00405606 . 00CB ADD BL,CL 　　00405608 . 66:0FB6F1 MOVZX SI,CL 　　0040560C . 895424 14 MOV DWORD PTR SS:[ESP+14],EDX 　　00405610 . 39D4 CMP ESP,EDX</font>

各种保存寄存器啊！保存完收工~ESP不用保存~VMP在任何时候都可以获取现在的ESP，现在堆栈等于进行了pushad,pushfd但ESP位置随即用一个通用寄存器替代了。

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19

<font face="宋体">　　004052FF . FF35 186D4000 PUSH DWORD PTR DS:[406D18] #这个数据很重要，用来在虚拟 机中随即算法解密时用 　　00405305 . 8F4424 0C POP DWORD PTR SS:[ESP+C] 　　00405309 . 66:87D6 XCHG SI,DX 　　开始解密虚拟机的EIP： 　　0040530C . C74424 08 00000000 MOV DWORD PTR SS:[ESP+8],0 #这个是常量，是虚拟机堆栈的 顶端数据，作用是初始EIP的 一个偏移和控制虚拟代码的解 密偏移。 　　00405314 . 30D3 XOR BL,DL 　　00405316 . 66:87FE XCHG SI,DI 　　00405319 . F9 STC 　　0040531A . 66:F7DE NEG SI 　　0040531D . 8B7424 38 MOV ESI,DWORD PTR SS:[ESP+38] #这里就是call之前压入堆栈 的KEY 　　00405321 . A9 FB87394E TEST EAX,4E3987FB 　　00405326 . F5 CMC 　　00405327 . 66:81E5 D910 AND BP,10D9 　　0040532C . F7D6 NOT ESI 　　0040532E . 66:C1ED 0C SHR BP,0C 　　00405332 . 81EE 996B5878 SUB ESI,78586B99 　　00405338 . 38D5 CMP CH,DL 　　0040533A . 66:FFCB DEC BX 　　0040533D . 81F6 0F163D95 XOR ESI,953D160F</font>

   

ESI就是VM的起始地址，就是VMP虚拟机的EIP

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15

<font face="宋体">　　00405343 . 87D7 XCHG EDI,EDX 　　00405345 . 66:F7D7 NOT DI 　　00405348 . 4D DEC EBP 　　00405349 . 66:0FBAF7 0B BTR DI,0B 　　0040534E . 8D6C24 08 LEA EBP,DWORD PTR SS:[ESP+8] #EBP == 0012FF90 建立虚拟堆 栈 　　00405352 . 85C1 TEST ECX,EAX 　　00405354 . 60 PUSHAD 　　00405355 . 81EC 98000000 SUB ESP,98 　　0040535B . 66:D3D7 RCL DI,CL 　　0040535E . D0F8 SAR AL,1 　　00405360 . 89E7 MOV EDI,ESP #EDI == 0012FED0,建立的堆栈大 小为C0 　　00405362 > D2EF SHR BH,CL 　　00405364 . C0E8 03 SHR AL,3 　　00405367 . D2FB SAR BL,CL 　　00405369 . D0F3 SAL BL,1</font>

这个版本里前面0x40是作为通用寄存器时用的，其他作为缓存堆栈，其算法会在下面看到。缓存中保存的是真正的寄存器0x24，和一个返回地址，一个KEY，一个全局控制变量。

[C++] 纯文本查看 复制代码

?

1 2 3 4 5 6

<font face="宋体">　　0040536B . 89F3 MOV EBX,ESI 　　0040536D . 0FBAFA 09 BTC EDX,9 　　00405371 . F6D2 NOT DL 　　00405373 . 66:0FBED3 MOVSX DX,BL 　　00405377 . 0375 00 ADD ESI,DWORD PTR SS:[EBP] 　　0040537A > 66:0FB3EA BTR DX,BP</font>

这一段代码就是VMP_JMP指令的后半段，主要是初始化校验寄存器和设置起始地址，这里只是下半部分，因此没有偏移量，VMP在入口出用一个0来模拟偏移量。

入口到这里就完成了。

二、VMP的基本构架
   

ESI 相当于常规的EIP，即VM.EIP

EDI 指向虚拟机通用寄存器的地址，[EDI + XXXX]是虚拟机在操作内存，且EDI指向虚拟机的堆栈的上限， 用[EDI + EAX]向下发展

EBP 指向虚拟机堆栈的栈顶，且EBP指向堆栈下限并向上发展

EAX 计算将要执行的指令序列号和选择虚拟机通用寄存器，指令执行时用作中间变量.其它时候用作花指令

EDX 执行时通常用作中间变量，其它大部分时间用来做花指令

EBX BL用作校验码.

ECX SHLD，SHRD时用作中间变量，其他大部分时间用来做花指令

ESP 指向垃圾，这个寄存器就是用来迷惑追踪者的，一般对ESP的操作都是花指令，大部分可以忽略

在VM运行的时候，通常一切操作都是在VM堆栈内完成的。在一些虚拟与常规（比如说调用系统函数）交接的地方，系统并不知道VM的堆栈的存在，这就需要把数据（比如系统函数的调用参数）移动到常规的ESP栈顶，然后继续执行的。
   

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20

0040537E . 8A46 FF MOV AL,BYTE PTR DS:[ESI-1] #这里的1是可变的，每次都不 一样 00405381 . 0FA3E0 BT EAX,ESP 00405384 . 28D8 SUB AL,BL 00405386 . 66:0FB6D2 MOVZX DX,DL 0040538A . 80D2 3E ADC DL,3E 0040538D . 34 EE XOR AL,0EE  0040538F . 0F80 AA150000 JO Test_vmp.0040693F #迷惑你的假跳转 00405395 . 66:0FCA BSWAP DX 00405398 . D0C0 ROL AL,1 0040539A . 66:0FB6D2 MOVZX DX,DL 0040539E . 66:0FBDD3 BSR DX,BX 004053A2 . 66:0FA4DA 0A SHLD DX,BX,0A 004053A7 . 04 1A ADD AL,1A 004053A9 . 66:81E2 F5C2 AND DX,0C2F5 004053AE . 8D9424 ADF56060 LEA EDX,DWORD PTR SS:[ESP+6060F5AD] 004053B5 . C1F2 11 SAL EDX,11 004053B8 . 66:19CA SBB DX,CX 004053BB . 28C3 SUB BL,AL 004053BD . 53 PUSH EBX 004053BE . 83C6 FF ADD ESI,-1 #相当于SUB ESI,1，这种就是 升序，ESI是往上走的，也就是 说，会有LEA等形式

指令表和索引(Dispatch)

我们回到VMP，虚拟机是在一个大的循环里面执行的，现在我们就在这个大循环的起点，这个循环将解释所有的指令和参数，直到执行退出指令，在VMP里面，执行退出指令并不是代表退出虚拟机，现在我们继续进行调试，首先看一下循环开始的指令
   
   

看看寄存器
   
   

此时ESI和EBX都是指向OPCODE的第一个地址

[C++] 纯文本查看 复制代码

?

1 2 3

<font face="宋体">　　0040537E . 8A46 FF MOV AL,BYTE PTR DS:[ESI-1] 　　00405381 . 0FA3E0 BT EAX,ESP 　　00405384 . 28D8 SUB AL,BL #减去校验值</font>

   

这个是虚拟机中常见的手段，就是通过当前的校验码来影响下一条指令的解码，通过解码后的指令来计算新的校验码，如果这个校验码不正确的话，那么下面的指令就会出错，不过不一定是立即出错。这个技术主要是防止通过强行修改EIP来改变程序执行的流畅，要进行爆破的话，除了要获得目标EIP的值以外，还要获得校验寄存器当时的状态，然后同时修改EIP和校验寄存器，才可以实施爆破。
   

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

0040538D . 34 EE XOR AL,0EE 0040538F . 0F80 AA150000 JO Test_vmp.0040693F 00405395 . 66:0FCA BSWAP DX 00405398 . D0C0 ROL AL,1 0040539A . 66:0FB6D2 MOVZX DX,DL 0040539E . 66:0FBDD3 BSR DX,BX 004053A2 . 66:0FA4DA 0A SHLD DX,BX,0A 004053A7 . 04 1A ADD AL,1A 004053A9 . 66:81E2 F5C2 AND DX,0C2F5 004053AE . 8D9424 ADF56060 LEA EDX,DWORD PTR SS:[ESP+6060F5AD] 004053B5 . C1F2 11 SAL EDX,11 004053B8 . 66:19CA SBB DX,CX 004053BB . 28C3 SUB BL,AL #修正校验值 004053BD . 53 PUSH EBX 004053BE . 83C6 FF ADD ESI,-1 004053C1 . E9 56130000 JMP Test_vmp.0040671C 0040671C > 0FB6C0 MOVZX EAX,AL #到这里EAX解码完成

EAX用来作为一个索引，在指令表里查找指令，这里有效的部分就是AL，所以最多会有FF个指令

[C++] 纯文本查看 复制代码

?

1 2 3 4

<font face="宋体">　　00406727 . 8B1485 62594000 MOV EDX,DWORD PTR DS:[EAX*4+405962] #405962就是指令表 　　0040672E . 66:0FA3CA BT DX,CX 　　00406732 . F8 CLC 　　00406733 . 38DB CMP BL,BL</font>

405692是硬编码，所以很容易看出来，而EAX的作用和Handle很像，因此很多人都叫这个为Handle，指令表是防御中的重中之重，是重点保护对象撒~

接下来看解码指令执行地址

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13

<font face="宋体">　　0040672E . 66:0FA3CA BT DX,CX 　　00406732 . F8 CLC 　　00406733 . 38DB CMP BL,BL 　　00406735 . 81C2 F899DAC8 ADD EDX,C8DA99F8 　　0040673B . FF3424 PUSH DWORD PTR SS:[ESP] 　　0040673E . F8 CLC 　　0040673F . 81C2 00000000 ADD EDX,0 　　00406745 .^E9 20EBFFFF JMP Test_vmp.0040526A 0040526A > 895424 04 MOV DWORD PTR SS:[ESP+4],EDX 　　0040526E . 9C PUSHFD 　　0040526F . 883424 MOV BYTE PTR SS:[ESP],DH 　　00405272 . FF7424 08 PUSH DWORD PTR SS:[ESP+8] 　　00405276 . C2 0C00 RETN 0C #跳到Handle执行的地址</font>

接下来这个是第一条Handle：

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

<font face="宋体">　　0040641E . 60 PUSHAD 　　0040641F . FEC2 INC DL 　　00406421 . 66:0FBED3 MOVSX DX,BL 　　00406425 . 9C PUSHFD 　　00406426 . FEC8 DEC AL 　　00406428 . 60 PUSHAD 　　00406429 . 9C PUSHFD 　　0040642A . 8A7424 04 MOV DH,BYTE PTR SS:[ESP+4] 　　0040642E . C0CA 07 ROR DL,7 　　00406431 . C0C0 02 ROL AL,2 　　00406434 . 66:0FA3C5 BT BP,AX 　　00406438 . 9C PUSHFD 　　00406439 . F9 STC 　　0040643A . 2C 7A SUB AL,7A 　　0040643C . F5 CMC 　　0040643D . 66:F7C5 C905 TEST BP,5C9 　　00406442 . 66:FFC2 INC DX 　　00406445 . F6DA NEG DL 　　00406447 . 24 3C AND AL,3C 　　00406449 . 66:0FBBEA BTC DX,BP 　　0040644D . 8B55 00 MOV EDX,DWORD PTR SS:[EBP] #这句可以看出，前面关于EDX 寄存器的操作都是花指令 　　00406450 . 84C7 TEST BH,AL 　　00406452 . 80FD 6A CMP CH,6A 　　00406455 . C60424 85 MOV BYTE PTR SS:[ESP],85 　　00406459 . 9C PUSHFD 　　0040645A . 83C5 04 ADD EBP,4 　　0040645D . E9 DD080000 JMP Test_vmp.00406D3F 　　0040626D $ 891438 MOV DWORD PTR DS:[EAX+EDI],EDX 　　00406270 . 881424 MOV BYTE PTR SS:[ESP],DL 　　00406273 . 66:891C24 MOV WORD PTR SS:[ESP],BX 　　00406277 . 880424 MOV BYTE PTR SS:[ESP],AL 　　0040627A . 8D6424 54 LEA ESP,DWORD PTR SS:[ESP+54] 　　0040627E .^E9 F7F0FFFF JMP Test_vmp.0040537A</font>

很容易看出来，这段代码相当于一个汇编指令 mov reg,const，我将这段Handle称为SetR32 。(也叫原子指令，我自己是这么理解的)

至于const是什么东西，就不知道了，这要看前面的指令把什么压入堆栈了，有可能是常量，也有可能是地址（当前面的指令模拟lea的时候）。

重新回到DISPATCH，然后寻找他的解密指令：

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13

<font face="宋体">　　0040672E . 66:0FA3CA BT DX,CX 　　00406732 . F8 CLC 　　00406733 . 38DB CMP BL,BL 　　00406735 . 81C2 F899DAC8 ADD EDX,C8DA99F8 #这一句是解密DISPATCHTABLE的代 码 　　0040673B . FF3424 PUSH DWORD PTR SS:[ESP] 　　0040673E . F8 CLC 　　0040673F . 81C2 00000000 ADD EDX,0 　　00406745 .^E9 20EBFFFF JMP Test_vmp.0040526A 0040526A > 895424 04 MOV DWORD PTR SS:[ESP+4],EDX 　　0040526E . 9C PUSHFD 　　0040526F . 883424 MOV BYTE PTR SS:[ESP],DH 　　00405272 . FF7424 08 PUSH DWORD PTR SS:[ESP+8] 00405276 . C2 0C00 RETN 0C </font>

接下来我们来解密DISPATCHTABLE，找空代码区域，自己写PATCH代码进行恢复：

[C++] 纯文本查看 复制代码

?

1	<font face="宋体">　　00409396 0000 ADD BYTE PTR DS:[EAX],AL</font>

我们就在这里写PATCH代码吧：

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13

00409396 60 PUSHAD 00409397 BE 62594000 MOV ESI,Test_vmp.00405962 0040939C BF 00954000 MOV EDI,Test_vmp.00403010 004093A1 B9 00010000 MOV ECX,100 004093A6 33DB XOR EBX,EBX 004093A8 8B0433 MOV EAX,DWORD PTR DS:[EBX+ESI] 004093AB 81C2 F899DAC8 ADD EDX,C8DA99F8 004093B1 89043B MOV DWORD PTR DS:[EBX+EDI],EAX 004093B4 83C3 04 ADD EBX,4 004093B7 49 DEC ECX 004093B8 ^75 EE JNZ SHORT Test_vmp.004093A8 004093BA 61 POPAD 004093BB ^\E9 AABEFFFF jmp Test_vmp.0040526A

   
二进制代码为：
   

[C++] 纯文本查看 复制代码

?

1 2	60 BE 62 59 40 00 BF 10 30 40 00 B9 00 01 00 00 33 DB 8B 04 33 81 C2 F8 99 DA C8 89 04 3B 83 C3 04 49 75 EE 61 E9 AA BE FF FF

将垃圾代码、重复的handle去掉，就可以分析Handle了。

第一条handle是SetR32，已经在上面分析完毕了，就不再重复了。直接从第二条Handle开始了。
   

[C++] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65

GetI32 代码： 00406E39 66:31D0 xor ax,dx #各种花指令.... 00406E3C F6D0 not al 00406E3E 08CC or ah,cl 00406E40 8B46 FC mov eax,dword ptr ds:[esi-0x4] #这个才是重点啊.... 0040681B 0FC8 bswap eax 00406EAA 66:F7C7 C665 test di,0x65C6 00406EAF 29D8 sub eax,ebx 004065F2 40 inc eax 004065F3 52 push edx 004065F4 9C pushfd 004065F5 F7D0 not eax 004065F7 9C pushfd 004065F8 56 push esi 00405513 48 dec eax 0040512D 9C pushfd 0040512E F9 stc 0040512F 29C3 sub ebx,eax 00405131 F9 stc 00405132 FF7424 04 push dword ptr ss:[esp+0x4] 00405136 9C pushfd 00405137 F5 cmc 00405138 83ED 04 sub ebp,0x4 004068D0 886C24 04 mov byte ptr ss:[esp+0x4],ch 004068D4 66:897C24 04 mov word ptr ss:[esp+0x4],di 004068D9 8945 00 mov dword ptr ss:[ebp],eax 004068DC 68 015E8A55 push 0x558A5E01 004068E1 66:897424 08 mov word ptr ss:[esp+0x8],si 004068E6 8D76 FC lea esi,dword ptr ds:[esi-0x4] 004068E9 68 A9C40EBC push 0xBC0EC4A9 004068EE 8D6424 34 lea esp,dword ptr ss:[esp+0x34] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 00405DB4 ^\0F87 C0F5FFFF ja Test_vmp.0040537A 作用： 从指令表中读取dword字节的立即数保存到EBP堆栈栈顶，并检测堆栈大小。 Add32: 代码： 004054A9 F9 stc 004054AA 2F das 004054AB 8B45 00 mov eax,dword ptr ss:[ebp] 004054AE 66:0FBAE1 0E bt cx,0xE 004054B3 F9 stc 004056D9 8D6424 04 lea esp,dword ptr ss:[esp+0x4] 004056DD 0F87 430F0000 ja Test_vmp.00406626 004056E3 0145 04 add dword ptr ss:[ebp+0x4],eax 004056E6 9C pushfd 004056E6 9C pushfd 00406DFC 9C pushfd 00406DFD 8F0424 pop dword ptr ss:[esp] 00406E00 9C pushfd 00406E01 FF7424 04 push dword ptr ss:[esp+0x4] 00406E05 8F45 00 pop dword ptr ss:[ebp] 00406E08 68 B6979826 push 0x269897B6 00406E0D 8D6424 0C lea esp,dword ptr ss:[esp+0xC] 作用： 将栈顶数据以Dword与[EBP+4]相加，标志位保存在栈顶，计算结果保存在[EBP+4] 例子：

[C++] 纯文本查看 复制代码

?

001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052 053 054 055 056 057 058 059 060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338

<font face="宋体">GetR32: 代码： 004060AE 50 push eax 004060AF FEC8 dec al 004060B1 D2D2 rcl dl,cl 004060B3 66:0FBED1 movsx dx,cl 004060B7 0F94C6 sete dh 004060BA C0C0 02 rol al,0x2 004060BD 60 pushad 004060BE 80DA E4 sbb dl,0xE4 004060C1 66:0FBCD3 bsf dx,bx 004060C5 2C 7A sub al,0x7A 004060C7 30CE xor dh,cl 004060C9 66:FFC2 inc dx 004060CC FEC6 inc dh 004060CE 24 3C and al,0x3C 004060D0 D2DA rcr dl,cl 004060D2 66:C1C2 05 rol dx,0x5 004060D6 C0D6 07 rcl dh,0x7 004060D9 8B1438 mov edx,dword ptr ds:[eax+edi] 004060DC 66:0FBAE3 01 bt bx,0x1 004060E1 F5 cmc 004060E2 83ED 04 sub ebp,0x4 004060E5 51 push ecx 004060E6 8955 00 mov dword ptr ss:[ebp],edx 004060E9 54 push esp 004060EA 68 2BA533D4 push 0xD433A52B 004060EF 66:896424 08 mov word ptr ss:[esp+0x8],sp 004060F4 8D6424 30 lea esp,dword ptr ss:[esp+0x30] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 00405DB0 8D6424 08 lea esp,dword ptr ss:[esp+0x8] 00405DB4 ^ 0F87 C0F5FFFF ja Test_vmp.0040537A 作用： 将EDI堆栈数据以解密出来的EAX为偏移，以Dword保存到栈顶，并检查堆栈是否碰撞。 GetESP： 代码： 004058EF D2F0 sal al,cl 004058F1 20D4 and ah,dl 004058F3 D0CC ror ah,1 004058F5 F6D8 neg al 004058F7 89E8 mov eax,ebp 004058F9 F6C2 E8 test dl,0xE8 004058FC 83ED 04 sub ebp,0x4 00406700 8945 00 mov dword ptr ss:[ebp],eax 00406703 50 push eax 00406704 8D6424 04 lea esp,dword ptr ss:[esp+0x4] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B73 39C5 cmp ebp,eax 00405DB0 8D6424 08 lea esp,dword ptr ss:[esp+0x8] 00405DB4 ^ 0F87 C0F5FFFF ja Test_vmp.0040537A 作用： 以EBP栈顶地址为数据保存在EBP栈顶，并检查堆栈是否碰撞。 GetI8To16 代码： 00405E14 52 push edx ; 00405E15 51 push ecx 00405E16 34 48 xor al,0x48 00405E18 8A46 FF mov al,byte ptr ds:[esi-0x1] 00405E1B C64424 04 F8 mov byte ptr ss:[esp+0x4],0xF8 00405E20 66:897424 04 mov word ptr ss:[esp+0x4],si 00405E25 28D8 sub al,bl 00405E27 FF7424 04 push dword ptr ss:[esp+0x4] 00405E2B 60 pushad 00405E2C FEC8 dec al 00405E2E 0FA3FD bt ebp,edi 00405E31 F6D0 not al 00405E33 68 4E13BE6A push 0x6ABE134E 00405E38 66:81FB E930 cmp bx,0x30E9 00405EF3 04 0C add al,0xC 00405EF5 66:0FBAE6 03 bt si,0x3 00405EFA 28C3 sub bl,al 00405EFC FF7424 04 push dword ptr ss:[esp+0x4] 00405F00 66:0FBAE3 06 bt bx,0x6 00405F05 F8 clc 00405F06 83ED 02 sub ebp,0x2 00405F09 9C pushfd 00405F0A 66:8945 00 mov word ptr ss:[ebp],ax 00405F0E 68 ED219CFC push 0xFC9C21ED 0040563F 8D76 FF lea esi,dword ptr ds:[esi-0x1] 00405642 9C pushfd 00405643 880C24 mov byte ptr ss:[esp],cl 00405646 9C pushfd 00405647 8D6424 44 lea esp,dword ptr ss:[esp+0x44] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 作用： 从指令表获取一个Byte立即数，扩展到word字节保存到EBP栈顶并检查堆栈是否碰撞。 SetR16： 代码： 00405424 66:0FBAEA 09 bts dx,0x9 ; 00405429 60 pushad 0040542A 66:0FBDD2 bsr dx,dx 0040542E 66:0FCA bswap dx 00405431 8A46 FF mov al,byte ptr ds:[esi-0x1] 00405434 80CA EA or dl,0xEA 00405437 28D8 sub al,bl 00405439 F6D6 not dh 0040543B 66:0FB6D1 movzx dx,cl 0040518B 4E dec esi ; Test_vmp.004086E7 0040518C FEC2 inc dl 0040518E 9C pushfd 0040518F 54 push esp 00405190 FEC0 inc al 00406A89 28CE sub dh,cl 00406A8B F9 stc 00406A8C 34 BD xor al,0xBD 00406A8E C0FA 04 sar dl,0x4 00406A91 F6D6 not dh 00406A93 D0DA rcr dl,1 00406A95 04 93 add al,0x93 00406A97 D0CA ror dl,1 00406A99 FEC6 inc dh 00406A9B 80C2 70 add dl,0x70 00406A9E 9C pushfd 00406A9F 28C3 sub bl,al 00406AA1 00EA add dl,ch 00406AA3 80F2 6A xor dl,0x6A 00406AA6 0F9AC2 setpe dl 00406AA9 38DF cmp bh,bl 00406AAB 66:8B55 00 mov dx,word ptr ss:[ebp] 00406AAF 66:F7C6 80D4 test si,0xD480 00406AB4 C60424 F9 mov byte ptr ss:[esp],0xF9 00406AB8 83C5 02 add ebp,0x2 00406ABB 68 FA91AC0D push 0xDAC91FA 00406AC0 66:891438 mov word ptr ds:[eax+edi],dx 00406AC4 55 push ebp 00406AC5 68 2A1F493D push 0x3D491F2A 00406ACA 881424 mov byte ptr ss:[esp],dl 00406ACD 8D6424 40 lea esp,dword ptr ss:[esp+0x40] 作用： 从EBP堆栈栈顶读取Word长度数据保存到[EAX+EDI]堆栈。 RmDs32 代码： 00405706 F6D0 not al 00405708 8B45 00 mov eax,dword ptr ss:[ebp] 00406BCB 9C pushfd 00406BCC 9C pushfd 00406BCD FF7424 04 push dword ptr ss:[esp+0x4] 00406BD1 8B00 mov eax,dword ptr ds:[eax] 00406BD3 68 503CC298 push 0x98C23C50 00406BD8 68 8717E2A4 push 0xA4E21787 00406BDD 8945 00 mov dword ptr ss:[ebp],eax 00406BE0 C60424 00 mov byte ptr ss:[esp],0x0 00406BE4 9C pushfd 00406BE5 FF3424 push dword ptr ss:[esp] 00406BE8 C74424 08 BCE71>mov dword ptr ss:[esp+0x8],0x361FE7BC 00406BF0 8D6424 1C lea esp,dword ptr ss:[esp+0x1C] 作用： 以EBP堆栈栈顶数据为地址，取出Dwrod长度数据保存到EBP栈顶。 GetR16 代码： 00405808 28D8 sub al,bl ; 0040580A 18F8 sbb al,bh 0040580C D0C8 ror al,1 0040580E 8A46 FF mov al,byte ptr ds:[esi-0x1] 00406005 3C 3C cmp al,0x3C 00406007 28D8 sub al,bl 00406009 9C pushfd 0040600A 68 FBA19387 push 0x8793A1FB 0040600F FEC0 inc al 00406011 60 pushad 00406012 66:85E2 test dx,sp 00406015 C60424 72 mov byte ptr ss:[esp],0x72 00406019 34 BD xor al,0xBD 0040601B F5 cmc 0040601C 04 93 add al,0x93 0040601E 9C pushfd 0040601F 66:C74424 04 CB>mov word ptr ss:[esp+0x4],0xA4CB 00406026 66:0FA3EE bt si,bp 0040602A 28C3 sub bl,al 0040602C 9C pushfd 0040602D 66:8B0438 mov ax,word ptr ds:[eax+edi] 00406031 66:0FA3DC bt sp,bx 00406035 83C6 FF add esi,-0x1 00406038 66:0FBAE2 09 bt dx,0x9 0040603D 83ED 02 sub ebp,0x2 00406040 9C pushfd 00406041 66:8945 00 mov word ptr ss:[ebp],ax 00406045 884C24 08 mov byte ptr ss:[esp+0x8],cl 00406049 68 E954CEDF push 0xDFCE54E9 0040604E 68 2141065F push 0x5F064121 00406053 9C pushfd 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 00405DB0 8D6424 08 lea esp,dword ptr ss:[esp+0x8] 00405DB4 ^ 0F87 C0F5FFFF ja Test_vmp.0040537A 作用： 从EDI堆栈以EAX为偏移量取出数据保存到EBP栈顶，并检查堆栈是否碰撞。   RmSs32 代码： 00406A35 66:F7D0 not ax ; 00406A38 8B45 00 mov eax,dword ptr ss:[ebp] 00406A3B 53 push ebx 00406A3C 57 push edi 00406A3D 9C pushfd 00406A3E FF3424 push dword ptr ss:[esp] 00406A41 36:8B00 mov eax,dword ptr ss:[eax] 00406A44 60 pushad 00406A45 53 push ebx 00406A46 66:895424 04 mov word ptr ss:[esp+0x4],dx 00406A4B 8945 00 mov dword ptr ss:[ebp],eax 00406A4E 9C pushfd 00406A4F 884424 0C mov byte ptr ss:[esp+0xC],al 00406A53 9C pushfd 00406A54 8D6424 3C lea esp,dword ptr ss:[esp+0x3C] 作用： 从EPB堆栈栈顶读取Dword长度数据为地址保存到EBP堆栈栈顶。 GetI8To32 代码： 00406C47 C0C8 07 ror al,0x7 ; 00406C4A 8A46 FF mov al,byte ptr ds:[esi-0x1] 00406B26 66:0FBAE6 05 bt si,0x5 00406B2B 66:0FBAE2 03 bt dx,0x3 00406B30 F5 cmc 00406B31 28D8 sub al,bl 00406A74 9C pushfd 004063C2 FEC8 dec al 004063C4 51 push ecx 00405D71 66:C70424 C3CB mov word ptr ss:[esp],0xCBC3 00405D77 4E dec esi 00405D78 FF7424 04 push dword ptr ss:[esp+0x4] 00405D7C F6D0 not al 00405D7E 9C pushfd 00405D7F 881424 mov byte ptr ss:[esp],dl 00405D82 9C pushfd 00405D83 04 0C add al,0xC 00405D85 882C24 mov byte ptr ss:[esp],ch 00405D88 28C3 sub bl,al 00405D8A 883424 mov byte ptr ss:[esp],dh 00401005 F9 stc 00401006 F9 stc 00401007 66:98 cbw 00401009 80FA C2 cmp dl,0xC2 00405ED4 84F1 test cl,dh 00406315 98 cwde 00406316 9C pushfd 00406317 F9 stc 00406318 83ED 04 sub ebp,0x4 0040631B 9C pushfd 0040540C 8945 00 mov dword ptr ss:[ebp],eax 0040540F C64424 10 8F mov byte ptr ss:[esp+0x10],0x8F 00405414 55 push ebp 00405415 66:C70424 890C mov word ptr ss:[esp],0xC89 0040541B 8D6424 38 lea esp,dword ptr ss:[esp+0x38] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 00405DB0 8D6424 08 lea esp,dword ptr ss:[esp+0x8] 00405DB4 ^ 0F87 C0F5FFFF ja Test_vmp.0040537A 作用： 从指令表里取出BYTE长度立即数，扩展为32位保存到EBP堆栈栈顶，并检查堆栈大小 WmSs32 代码： 00406D56 66:F7C7 C521 test di,0x21C5 ; 00406D5B 66:0FBAE7 06 bt di,0x6 00406D60 F7DA neg edx 00406D62 8B45 00 mov eax,dword ptr ss:[ebp] 00406D65 8D97 A6EA741E lea edx,dword ptr ds:[edi+0x1E74EAA6] 00406D6B F7D2 not edx 00406D6D 8B55 04 mov edx,dword ptr ss:[ebp+0x4] 00406D70 F9 stc 00406D71 F9 stc 00405F1D 51 push ecx 00405F1E 83C5 08 add ebp,0x8 00405F21 50 push eax 00405DF5 68 2AACF49B push 0x9BF4AC2A 00405DFA 36:8910 mov dword ptr ss:[eax],edx 00405DFD 68 C47FBCD1 push 0xD1BC7FC4 00405E02 60 pushad 00405E03 884424 04 mov byte ptr ss:[esp+0x4],al 00405E07 886424 08 mov byte ptr ss:[esp+0x8],ah 00405E0B 8D6424 34 lea esp,dword ptr ss:[esp+0x34] 作用： 从EBP栈顶读出Dword长度数据作为数据，并将[EBP+4]保存到该地址中。 nor32 代码： 0040589D 66:92 xchg ax,dx ; 0040589F 20DE and dh,bl 004058A1 8B45 00 mov eax,dword ptr ss:[ebp] 004058A4 0F92C6 setb dh 004058A7 8B55 04 mov edx,dword ptr ss:[ebp+0x4] 004058AA F7C2 7A44722B test edx,0x2B72447A 004058B0 F7D0 not eax 004058B2 68 946AEF00 push 0xEF6A94 004058B7 F9 stc 004058B8 60 pushad 004058B9 F9 stc 004058BA F7D2 not edx 004058BC 66:0FA3F5 bt bp,si 004058C0 66:0FBAE0 0F bt ax,0xF 004058C5 66:0FA3F0 bt ax,si 004058C9 60 pushad 004058CA 21D0 and eax,edx 004058CC 57 push edi 004058CD 8945 04 mov dword ptr ss:[ebp+0x4],eax 00405E70 9C pushfd 00405E71 8F4424 48 pop dword ptr ss:[esp+0x48] 00405E75 68 9FFA557B push 0x7B55FA9F 00405E7A C64424 1C D0 mov byte ptr ss:[esp+0x1C],0xD0 00405E7F 66:895424 04 mov word ptr ss:[esp+0x4],dx 00405E84 FF7424 4C push dword ptr ss:[esp+0x4C] 00405E88 8F45 00 pop dword ptr ss:[ebp] 00405E8B C60424 F7 mov byte ptr ss:[esp],0xF7 00405E8F C60424 F5 mov byte ptr ss:[esp],0xF5 00405E93 880C24 mov byte ptr ss:[esp],cl 00405E96 8D6424 50 lea esp,dword ptr ss:[esp+0x50] 作用： Dword版Nand门。从EBP堆栈栈顶和[EBP+4]读取出两个数据作为操作数，运算结果保存到[EBP+4]，标志位保存到EBP栈顶。 例子：</font>

   

[C++] 纯文本查看 复制代码

?

001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052 053 054 055 056 057 058 059 060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129

add8 代码： 00406D9E F6D8 neg al ; 00406DA0 8A45 00 mov al,byte ptr ss:[ebp] 00406DA3 F5 cmc 00406DA4 68 AD4C75F8 push 0xF8754CAD 00406DA9 F9 stc 00406DAA F9 stc 00406DAB 83ED 02 sub ebp,0x2 00405100 C60424 9C mov byte ptr ss:[esp],0x9C 00405104 0045 04 add byte ptr ss:[ebp+0x4],al 00405107 60 pushad 00405108 9C pushfd 00405109 C64424 10 8A mov byte ptr ss:[esp+0x10],0x8A 0040510E 9C pushfd 0040510F 9C pushfd 00405110 8F4424 28 pop dword ptr ss:[esp+0x28] 00405114 9C pushfd 00405115 FF7424 2C push dword ptr ss:[esp+0x2C] 00405119 8F45 00 pop dword ptr ss:[ebp] 0040511C 885C24 04 mov byte ptr ss:[esp+0x4],bl 00405120 C60424 F8 mov byte ptr ss:[esp],0xF8 00405124 8D6424 30 lea esp,dword ptr ss:[esp+0x30] 00405F43 66:0FA5C0 shld ax,ax,cl 00405F47 0FBAE1 07 bt ecx,0x7 00405F4B D2C0 rol al,cl 00405F4D 8D47 50 lea eax,dword ptr ds:[edi+0x50] 00405F50 F9 stc 00406B72 F8 clc 00406B73 39C5 cmp ebp,eax 00406B75 9C pushfd 作用： 从EBP堆栈读取BYTE长度数据与[EBP+4]相加，计算结果保存到[ebp+4]，标志位保存到栈顶，并校验堆栈是否碰撞。 SetR8By16 代码： 00405716 FEC8 dec al ; 00405718 88C0 mov al,al 0040571A F8 clc 0040571B 0FB646 FF movzx eax,byte ptr ds:[esi-0x1] 00405168 FECE dec dh 0040516A 66:0FB6D0 movzx dx,al 0040516E 66:0FCA bswap dx 00405171 28D8 sub al,bl 00405173 66:0FABEA bts dx,bp 00405177 C0C8 06 ror al,0x6 0040517A 60 pushad 0040517B 66:0FB6D1 movzx dx,cl 0040517F FEC2 inc dl 0040567A FEC8 dec al 0040567C F6D6 not dh 0040567E F5 cmc 0040567F 66:D3C2 rol dx,cl 00405682 C0DA 07 rcr dl,0x7 00405685 F6D0 not al 00405687 F6DE neg dh 00405689 C0EA 03 shr dl,0x3 0040568C D2C6 rol dh,cl 0040568E 83C6 FF add esi,-0x1 00405691 F8 clc 00405692 28C3 sub bl,al 00405694 60 pushad 00405695 0F90C6 seto dh 00405698 66:8B55 00 mov dx,word ptr ss:[ebp] 0040569C 9C pushfd 0040569D 83EC B8 sub esp,-0x48 0040646C 83C5 02 add ebp,0x2 0040646F 9C pushfd 00406470 881438 mov byte ptr ds:[eax+edi],dl 00406473 FF3424 push dword ptr ss:[esp] 00406476 60 pushad 00406477 9C pushfd 00406478 8D6424 30 lea esp,dword ptr ss:[esp+0x30] 作用： 将EBP栈顶数据读取WORD长度数据，取BYTE长度保存到EDI堆栈。 SetEIP 代码： 00406CF4 F5 cmc ; 00406CF5 F7D6 not esi 00406CF7 66:C1E6 02 shl si,0x2 00406CFB 8B75 00 mov esi,dword ptr ss:[ebp] 00406CFE F5 cmc 00406CFF 66:81F9 B522 cmp cx,0x22B5 00406D04 83C5 04 add ebp,0x4 00406D07 60 pushad 00406D08 9C pushfd 00406D09 60 pushad 00406D0A 8D6424 44 lea esp,dword ptr ss:[esp+0x44] 作用： 这里出示的是前半部分，从EBP栈顶读取数据给ESI，该指令是VMP里面的唯一一个跳转指令。 Retn 指令： 0040616E 80C2 E7 add dl,0xE7 00406171 89EC mov esp,ebp 00406173 66:19DD sbb bp,bx 00406176 FD std 00406177 D2D9 rcr cl,cl 00406179 59 pop ecx 0040617A F9 stc 0040617B 66:29FE sub si,di 0040617E 59 pop ecx 0040617F 66:81FF 8AAC cmp di,0xAC8A 00406184 98 cwde 00406185 5D pop ebp 00406186 80EE 8E sub dh,0x8E 00406189 66:89C7 mov di,ax 0040618C 5A pop edx 0040618D 88ED mov ch,ch 0040618F C0E9 02 shr cl,0x2 00406192 66:0FBCF3 bsf si,bx 00406196 59 pop ecx 00406197 F5 cmc 00406198 5F pop edi 00406199 66:0FBAF6 0F btr si,0xF 0040619E 66:29F6 sub si,si 004061A1 9D popfd 00406E23 8D9E E98ED341 lea ebx,dword ptr ds:[esi+0x41D38EE9] 00406E29 8B7424 04 mov esi,dword ptr ss:[esp+0x4] 00406633 8B4424 0C mov eax,dword ptr ss:[esp+0xC] 00406637 98 cwde 00406638 8D83 CF4CE596 lea eax,dword ptr ds:[ebx+0x96E54CCF] 0040663E 8B4424 10 mov eax,dword ptr ss:[esp+0x10] 00406642 9C pushfd 00406643 8B5C24 18 mov ebx,dword ptr ss:[esp+0x18] 00406647 C64424 0C F2 mov byte ptr ss:[esp+0xC],0xF2 0040664C FF7424 1C push dword ptr ss:[esp+0x1C] 00406650 C2 2000 retn 0x20 作用： 恢复堆栈原环境，并退出虚拟机。 至此，我调试本程序的从运行到弹出对话框的原子指令分析完毕。

pxhb

期待已久，终于发出来了

djy597060921

谢谢分享！

LShang

膜拜下
基本看不懂
这样的连载牛文，加个精华吧

yuan71058

前排占 了 .............

小雨细无声

额滴神.....膜拜折服

a070458

期待楼主高考成功回来继续发表好文章  
文章太大  机子卡飞了。。。。。
有木有PDF

jaffer

膜拜一下。

Rookietp

笨笨师傅,排版太差啦,看起来好费力.

gxwtk

整理成doc或pdf文件就更好了。。。。。
要不看着费劲