Hying's arm v0.7x外壳分析(上)

某外挂程序外壳的一点分析(上)
【目    标】:某外挂程序
【工    具】:Olydbg1.1
【操作平台】:WINXP pro sp1
【作    者】:loveboom[DFCG][FCG][US]
【简要说明】:
国庆也过了,自己这段时间也没写什么文章,现趁国庆之余凑上一篇文章,因外壳关系到圈内人士,所以,咱们内部成员看看就是了。没经过本人的同意,请不要随意转载哦:-).
【详细过程】:
也不多说什么了,你慢慢看吧!!…
004C559E > /E9 00000000     JMP 004C55A3                             ; 这里伪装成XPR的壳的入口
004C55A3   /60              PUSHAD
004C55A4    E8 14000000     CALL 004C55BD
004C55A9    5D              POP EBP
004C55AA    81ED 00000000   SUB EBP,0
004C55B0    6A 45           PUSH 45
004C55B2    E8 A3000000     CALL 004C565A
004C55B7    68 00000000     PUSH 0
004C55BC    90              NOP
004C55BD    58              POP EAX
004C55BE    61              POPAD                                    ; 看一下这里就知道是骗人的东西了
004C55BF  ^ E9 0DBBFEFF     JMP 004B10D1
004B10D7    5D              POP EBP                                  ; mov ebp,5b10d7
004B10D8    81ED D7000000   SUB EBP,0D7
004B10DE    8DB5 EE000000   LEA ESI,DWORD PTR SS:[EBP+EE]
004B10E4    55              PUSH EBP
004B10E5    56              PUSH ESI                                 ; 准备从4B10EE处解压代码
004B10E6    81C5 890B0000   ADD EBP,0B89
004B10EC    55              PUSH EBP                                 ; 转去4B1B89处开始解压代码
004B10ED    C3              RETN
……
004B1EA5    45              INC EBP
004B1EA6    25 1C790119     AND EAX,1901791C
004B1EAB    B8 A4C0F368     MOV EAX,68F3C0A4
004B1EB0    8132 91D56240   XOR DWORD PTR DS:[EDX],4062D591          ; 很多类似这样的解压代码
004B1EB6    B8 370C2157     MOV EAX,57210C37
004B1EBB    4F              DEC EDI
004B1EBC    B8 42487B77     MOV EAX,777B4842
004B1EC1    8D85 24ACAE31   LEA EAX,DWORD PTR SS:[EBP+31AEAC24]
004B1EC7    B8 8E336864     MOV EAX,6468338E
004B1ECC    42              INC EDX
……
004B2FE1    81EA 2A812A81   SUB EDX,812A812A
004B2FE7    FF0424          INC DWORD PTR SS:[ESP]
004B2FEA    C3              RETN                                     ; 上面的一段解压后到这里,这里返回到4B10F0处,也就是跳去刚开始解压代码的起始处+1.
……
到了这里我就知道快速到这里方法了.在程序一开始的push esi的esp中下硬件访问断点这样一下两次就会到4B2FEA处.
004B10D7    5D              POP EBP                                  ; mov ebp,5b10d7
004B10D8    81ED D7000000   SUB EBP,0D7
004B10DE    8DB5 EE000000   LEA ESI,DWORD PTR SS:[EBP+EE]
004B10E4    55              PUSH EBP
004B10E5    56              PUSH ESI                                 ; 准备从4B10EE处解压代码
004B10E6    81C5 890B0000   ADD EBP,0B89
004B10EC    55              PUSH EBP                                 ; 转去4B1B89处开始解压代码
004B10ED    C3              RETN
004B10EE    EB 5D           JMP SHORT 004B114D
004B10F0    8B45 00         MOV EAX,DWORD PTR SS:[EBP]               ; 是否已经解压的标志,这个一般是对DLL来说的
004B10F3    0BC0            OR EAX,EAX
004B10F5    74 04           JE SHORT 004B10FB                        ; 如果没有标志就跳
004B10F7    55              PUSH EBP
004B10F8    FF65 0C         JMP DWORD PTR SS:[EBP+C]
004B10FB    FF45 00         INC DWORD PTR SS:[EBP]                   ; 如果是没有解压的话,在4B1000处置一个1的标志
004B10FE    8B4424 24       MOV EAX,DWORD PTR SS:[ESP+24]
004B1102    8945 04         MOV DWORD PTR SS:[EBP+4],EAX
004B1105    8DB5 84000000   LEA ESI,DWORD PTR SS:[EBP+84]            ; 哈哈,看看这里保存了什幺东东哦.把dll的名称保存地址放到esi中
004B110B    56              PUSH ESI                                 ; 地址4B1084入栈(KERNEL32.DLL)
004B110C    FF55 78         CALL DWORD PTR SS:[EBP+78]               ; GetModuleHandleA
004B110F    8D75 1C         LEA ESI,DWORD PTR SS:[EBP+1C]            ; 把VirtualAlloc名称所在的地址传到esi中
004B1112    56              PUSH ESI
004B1113    50              PUSH EAX                                 ; 传入Kernel32的hmodule,因为windows在运行的话,程序就一定GetModuleHandleA成功的
004B1114    FF55 74         CALL DWORD PTR SS:[EBP+74]               ; 获取VirtualAlloc的地址
……
0012FF9C   004B110F  /CALL to GetModuleHandleA from xxx.004B110C
0012FFA0   004B1084  /pModule = "KERNEL32.dll"
……
0012FF98   004B1117  /CALL to GetProcAddress from xxx.004B1114
0012FF9C   77E40000  |hModule = 77E40000 (kernel32)
0012FFA0   004B101C  /ProcNameOrOrdinal = "VirtualAlloc"
0012FFA4   0012CD78
……
004B1117    8945 2C         MOV DWORD PTR SS:[EBP+2C],EAX            ; 再把取出VirtualAlloc的地址存入4B102C处
004B111A    6A 04           PUSH 4                                   ; 这幺快就要申请空间了,够直接嘛!
004B111C    68 00100000     PUSH 1000
004B1121    FF75 10         PUSH DWORD PTR SS:[EBP+10]
004B1124    6A 00           PUSH 0
004B1126    FF55 2C         CALL DWORD PTR SS:[EBP+2C]               ; 申请空间,VirtualAlloc
……
0012FF90   004B1129  /CALL to VirtualAlloc from xxx.004B1126
0012FF94   00000000  |Address = NULL
0012FF98   0001670F  |Size = 1670F (91919.)
0012FF9C   00001000  |AllocationType = MEM_COMMIT
0012FFA0   00000004  /Protect = PAGE_READWRITE
……
004B1129    50              PUSH EAX                                 ; 申请到的空间为00370000,入栈先
004B112A    8945 0C         MOV DWORD PTR SS:[EBP+C],EAX             ; 把申请到的空间保存到4B100C处
004B112D    8B5D 08         MOV EBX,DWORD PTR SS:[EBP+8]             ; 译码代码相对偏移1FFE
004B1130    03DD            ADD EBX,EBP                              ; 把RVA转换成VA=4B2FFE
004B1132    50              PUSH EAX                                 ; 刚纔申请的址址00370000,用于存放解压的代码
004B1133    53              PUSH EBX                                 ; 源地址4B2FFE入栈
004B1134    E8 18000000     CALL 004B1151                                                        ;这里解压代码
……
004B115B    8B7424 20       MOV ESI,DWORD PTR SS:[ESP+20]            ; 源地址入esi
004B115F    8B7C24 24       MOV EDI,DWORD PTR SS:[ESP+24]            ; 目标地址370000入edi
……
解压完毕,到这里.
004B1139    5A              POP EDX                                  ; 解压完毕,把申请的地址370000放到edx中
004B113A    52              PUSH EDX
004B113B    55              PUSH EBP
004B113C    8D85 DE000000   LEA EAX,DWORD PTR SS:[EBP+DE]            ; 把4B10DE 放到eax中
004B1142    C600 EB         MOV BYTE PTR DS:[EAX],0EB                ; [eax]中存放0EB,也就是近距离的跳
004B1145    C640 01 10      MOV BYTE PTR DS:[EAX+1],10               ; 这里还在改代码
004B1149    8B45 30         MOV EAX,DWORD PTR SS:[EBP+30]            ; 改完后,把4B1030处的东西保存到[ebp+74]处
004B114C    8945 74         MOV DWORD PTR SS:[EBP+74],EAX            ; 4B1074保存00EC6915
004B114F  - FFE2            JMP EDX                                  ; 改完后跳去刚才解压的那个地方
00370000    E8 24000000     CALL 00370029                            ; JMP EDX到这里
00370005    8B4424 04       MOV EAX,DWORD PTR SS:[ESP+4]
……
00370027   /EB 24           JMP SHORT 0037004D
00370029   |64:FF35 0000000>PUSH DWORD PTR FS:[0]                    ; 准备异常了
00370030   |EB 12           JMP SHORT 00370044
00370032   |90              NOP
00370033   |9C              PUSHFD
00370034   |74 03           JE SHORT 00370039
00370036   |75 01           JNZ SHORT 00370039
00370038   |90              NOP
00370039   |810C24 00010000 OR DWORD PTR SS:[ESP],100                ; 不小心进来了晕,再来
00370040   |9D              POPFD
……
00370041    90              NOP
00370042  ^ EB F4           JMP SHORT 00370038                       ; 这里单步异常了
……
00370158  ^/EB E6           JMP SHORT 00370140
0037015A    E8 24000000     CALL 00370183                            ; 类似这样的代码就要小心了,不要乱要f7哦,这样的代码我的对付方法是:因壳是用的宏,所以我们看到几个后就可以找到规律的,找到了规律就好办嘛。
0037015F    8B4424 04       MOV EAX,DWORD PTR SS:[ESP+4]             ; 直接在这里下断,后面类似这样的也可以用这种方法解决
00370163    8B00            MOV EAX,DWORD PTR DS:[EAX]
……
0037313B    E8 00000000     CALL 00373140
00373140    5A              POP EDX                                  ; EDX=373140过了N个宏之后到了这里,本来想用脚本跑到这里来,但怕后面的CRC,所以还是慢慢的跟到这里
00373141    81EA 9E1B4000   SUB EDX,401B9E
……
0037314D    90              NOP
0037314E    90              NOP
0037314F    5D              POP EBP                                  ; POP imageBase,4B1000
00373150    EB 4A           JMP SHORT 0037319C
00373152  ^ EB DF           JMP SHORT 00373133
00373154    43              INC EBX
00373155    90              NOP
00373156    90              NOP
00373157    90              NOP
00373158    58              POP EAX
00373159  ^ 7D F4           JGE SHORT 0037314F
0037315B    EB 01           JMP SHORT 0037315E
0037315D    90              NOP
0037315E  ^ 7C EF           JL SHORT 0037314F
00373160    90              NOP
00373161    58              POP EAX
00373162    9C              PUSHFD
00373163    05 E6FFFFFF     ADD EAX,-1A
00373168    9D              POPFD
00373169    FFE0            JMP EAX                                  ; JMP 00373158
0037316B    90              NOP
……
00373178    B9 03000000     MOV ECX,3
0037317D    EB 4A           JMP SHORT 003731C9
……
003731A8    8D75 74         LEA ESI,DWORD PTR SS:[EBP+74]            ; GetProcAddress的地址入esi
……
003731D5    8DBA 020F4100   LEA EDI,DWORD PTR DS:[EDX+410F02]        ; EDI=003824A4
这个版本的壳,垃圾代码真多哦。跟的时候千万要小心一点
00373226    50              PUSH EAX                                 ; eax=003730F3又是来这幺一招,晕倒,已经有好几个这样的东西了
……
00373205    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]       ; 从3824a4处开始替换三次DWORD代码
……
00373252    56              PUSH ESI                                             ; push 4B1080
……
0037355E    6A 00           PUSH 0                                               ; push 0
00373560    FF95 060F4100   CALL DWORD PTR SS:[EBP+410F06]                       ; GetModuleHandleA
00373566    EB 01           JMP SHORT 00373569
00373568    90              NOP
00373569    68 C2100000     PUSH 10C2
0037356E    E8 01000000     CALL 00373574
00373573    90              NOP
00373574    68 24080E68     PUSH 680E0824
00373579    68 90908344     PUSH 44839090
0037357E  - FFE4            JMP ESP                                              ; 跳去12ff90处
……
00373581    8985 120F4100   MOV DWORD PTR SS:[EBP+410F12],EAX                    ; 把GetModuleHandleA获取到的地址4000000入3824b4处
……
0037359E    6A 04           PUSH 4                                               ; 这里再次分配空间
003735A0    68 00100000     PUSH 1000
003735A5    68 00100000     PUSH 1000
003735AA    6A 00           PUSH 0
003735AC    FF95 0E0F4100   CALL DWORD PTR SS:[EBP+410F0E]                       ; VirtualAlloc
……
0012FF8C   003735B2  /CALL to VirtualAlloc from 003735AC
0012FF90   00000000  |Address = NULL
0012FF94   00001000  |Size = 1000 (4096.)
0012FF98   00001000  |AllocationType = MEM_COMMIT
0012FF9C   00000004  /Protect = PAGE_READWRITE
……
003735B2    8985 49184100   MOV DWORD PTR SS:[EBP+411849],EAX        ; 分配的空间390000入382DEB
003735B8    68 003C070A     PUSH 0A073C00
003735BD    68 9FFC0D75     PUSH 750DFC9F
……
0037445B    8BFE            MOV EDI,ESI                              ; 加载数据到373763
0037445D    B9 46040000     MOV ECX,446                              ; size 446
00374462    AC              LODS BYTE PTR DS:[ESI]                   ; 把取出的数据放到al中
00374463    90              NOP
……
0037448E    90              NOP
0037448F    90              NOP
00374490    32C1            XOR AL,CL
00374492    90              NOP
……
003744A7    90              NOP
003744A8    90              NOP
003744A9    C0C0 04         ROL AL,4
……
003744D9    AA              STOS BYTE PTR ES:[EDI]                   ; 从373763处开始译码,大小为446
003744DA  ^ E2 86           LOOPD SHORT 00374462
……
003744DD    33C0            XOR EAX,EAX                              ; 解压后,又准备异常了
003744DF    64:FF30         PUSH DWORD PTR FS:[EAX]
003744E2    64:8920         MOV DWORD PTR FS:[EAX],ESP
003744E5    0F0B            UD2
……
0012FF9C   0012FFE0  Pointer to next SEH record
0012FFA0   00373712  SE handler
……
出现一次0异常后,连续了1311个INT3异常(Crazy).
好了,终于到了光明的地方
00375347    90              NOP
00375348    880431          MOV BYTE PTR DS:[ECX+ESI],AL
0037534B  ^ E2 F6           LOOPD SHORT 00375343
0037534D    64:8F05 0000000>POP DWORD PTR FS:[0]            ;直接在这里下断,然后忽略全部异常
00375354    58              POP EAX
……
003754D6    83C4 04         ADD ESP,4
003754D9    8B85 060F4100   MOV EAX,DWORD PTR SS:[EBP+410F06]        ; kernel32.GetModuleHandleA
……
00381DF2    6A 00           PUSH 0                                   ; push 0
00381DF4    50              PUSH EAX                                 ; push GetModuleHandleA
00381DF5    8B85 49184100   MOV EAX,DWORD PTR SS:[EBP+411849]        ; 刚才申请的空间地址390000
00381F4A    50              PUSH EAX                                 ; push 390000
00381F4B    E8 08000000     CALL 00381F58                            ; 这里进去就是检查API,和把API放到390000那个段里去,变成push api,ret的方式
00381F50    8B85 49184100   MOV EAX,DWORD PTR SS:[EBP+411849]
00381F56    FFE0            JMP EAX
00381F58    60              PUSHAD
00381F59    8B7C24 24       MOV EDI,DWORD PTR SS:[ESP+24]
00381F5D    8B7424 28       MOV ESI,DWORD PTR SS:[ESP+28]            ; 开始检查API函数
……
00381F64    3C 50           CMP AL,50
00381F66    E9 55030000     JMP 003822C0                                                               ;改成jmp 就不会检测API了,
00381F6B    90              NOP
……
003822C0    C607 68         MOV BYTE PTR DS:[EDI],68                 ; 填成push api
003822C3    8977 01         MOV DWORD PTR DS:[EDI+1],ESI
003822C6    C647 05 C3      MOV BYTE PTR DS:[EDI+5],0C3              ; 这里改成retn
003822CA    83C7 06         ADD EDI,6
003822CD    897C24 FC       MOV DWORD PTR SS:[ESP-4],EDI
003822D1    837C24 2C 00    CMP DWORD PTR SS:[ESP+2C],0
003822D6    EB 18           JMP SHORT 003822F0                                          ;这里再次改成jmp,也就是让它直接push api的方式或者直接跳去相关的DLL中找到API
003822D8    8BCE            MOV ECX,ESI
……
00381F50    8B85 49184100   MOV EAX,DWORD PTR SS:[EBP+411849]        ; 这里就是跳去刚纔存放API的那个申请空间里
00381F56    FFE0            JMP EAX                                  ; 跳去GetModuleHandleA
00381F58    60              PUSHAD
……
003754EB    8BF0            MOV ESI,EAX                              ; 获取到的hmodule入esi,第一次取kernel32.dll的
003754ED    8985 3A104100   MOV DWORD PTR SS:[EBP+41103A],EAX        ; 把hInstance(77E40000)入3825dc处
003754F3    8D9D 48104100   LEA EBX,DWORD PTR SS:[EBP+411048]
……
00375662    8DBD 26154100   LEA EDI,DWORD PTR SS:[EBP+411526]        ; 把"CloseHandle"的地址382ad4传入edi中
00375668    51              PUSH ECX                                 ; push 21
……
0038232D    60              PUSHAD                                   ; 循环在dll中找到所要找的API
0038232E    8B75 08         MOV ESI,DWORD PTR SS:[EBP+8]
……..
003823E5    61              POPAD
003823E6    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
003823E9    C9              LEAVE
003823EA    C2 0800         RETN 8                ;找到后返回去
第一次在KERNEL32.DLL中要找的API有:
0012FF9C   00382AC8  ASCII "CloseHandle"
0012FF9C   00382AC8  ASCII "CreateFileA"
0012FF9C   00382AC8  ASCII "CreateFileMappingA"
0012FF9C   00382AC8  ASCII "CreateThread"
0012FF9C   00382AC8  ASCII "DeleteFileA"
0012FF9C   00382AC8  ASCII "DeviceIoControl"
0012FF9C   00382AC8  ASCII "ExitProcess"
0012FF9C   00382AC8  ASCII "FindResourceA"
0012FF9C   00382AC8  ASCII "GetCommandLineA"
0012FF9C   00382AC8  ASCII "GetFileSize"
0012FF9C   00382AC8  ASCII "GetCurrentProcess"
0012FF9C   00382AC8  ASCII "GetCurrentProcessId"
0012FF9C   00382AC8  ASCII "GetCurrentThread"
0012FF9C   00382AC8  ASCII "GetModuleHandleA"
0012FF9C   00382AC8  ASCII "GetModuleFileNameA"
0012FF9C   00382AC8  ASCII "GetTempPathA"
0012FF9C   00382AC8  ASCII "GetVersion"
0012FF9C   00382AC8  ASCII "lstrcmpA"
0012FF9C   00382AC8  ASCII "LoadResource"
0012FF9C   00382AC8  ASCII "MapViewOfFile"
0012FF9C   00382AC8  ASCII "ReadProcessMemory"
0012FF9C   00382AC8  ASCII "ResetEvent"
0012FF9C   00382AC8  ASCII "SetEvent"
0012FF9C   00382AC8  ASCII "SetLastError"
0012FF9C   00382AC8  ASCII "SetThreadPriority"
0012FF9C   00382AC8  ASCII "TerminateThread"
0012FF9C   00382AC8  ASCII "UnmapViewOfFile"
0012FF9C   00382AC8  ASCII "VirtualAllocEx"
0012FF9C   00382AC8  ASCII "VirtualFree"
0012FF9C   00382AC8  ASCII "VirtualProtect"
0012FF9C   00382AC8  ASCII "WaitForSingleObject"
0012FF9C   00382AC8  ASCII "WriteProcessMemory"
0012FF9C   00382AC8  ASCII "WriteFile"
 
……
0037569D    0FB64B FF       MOVZX ECX,BYTE PTR DS:[EBX-1]
003756A1    8903            MOV DWORD PTR DS:[EBX],EAX               ; 取出的API入[EBX]中
003756A3    03D9            ADD EBX,ECX
003756A5    43              INC EBX
003756A6    59              POP ECX
003756A7  ^ E2 A2           LOOPD SHORT 0037564B                     ; 如果没有取完就跳去回去继续
003756A9    8DB5 8A0F4100   LEA ESI,DWORD PTR SS:[EBP+410F8A]        ; mov esi,"user32.dll"
……..
003757FE    56              PUSH ESI                                 ; 准备处理USER32。DLL中要取的API了
003757FF    90              NOP
……….
0037581E    90              NOP
0037581F    8B85 060F4100   MOV EAX,DWORD PTR SS:[EBP+410F06]        ; 第一次用GetModuleHandleA来判断相关的DLL有没有加载
00375825    90              NOP
00375826    90              NOP
00375827    90              NOP
00375828    90              NOP
00375829    90              NOP
0037582A    90              NOP
0037582B    E9 C2C50000     JMP 00381DF2                             ; 这里也就是jmp api调用相关的API
00375830    90              NOP
00375831    0BC0            OR EAX,EAX                               ; 如果GetModuleHandleA失败的话,说明内存中并没有加载相关的DLL
00375833    75 34           JNZ SHORT 00375869                       ; 如果已经加载了相关的DLL就跳去下一步取DLL中相关的API
00375835    56              PUSH ESI                                 ; 因为user32.dll并没有加载所以壳用LoadLibrary来加载这个DLL
00375836    90              NOP
00375855    90              NOP
00375856    8B85 0A0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0A]        ; LoadLibraryA
0037585C    90              NOP
0037585D    90              NOP
0037585E    90              NOP
0037585F    90              NOP
00375860    90              NOP
00375861    90              NOP
00375862    E9 8BC50000     JMP 00381DF2                             ; 看这里又跳去执行API,记住先,JMP 00381DF2就是执行API,我们没必要去跟了
00375867    90              NOP
00375868    90              NOP
00375869    8BF0            MOV ESI,EAX                              ; 加载后的DLL的hmodule入esi中
0037586B    8D9D 960F4100   LEA EBX,DWORD PTR SS:[EBP+410F96]
00375871    6A 0A           PUSH 0A
00375873    59              POP ECX                                  ; mov ecx,0a,又有动作了,这里就是循环取0A个相关的API
00375874    8DBD 26154100   LEA EDI,DWORD PTR SS:[EBP+411526]
0037587A    53              PUSH EBX
……
003758B6    AA              STOS BYTE PTR ES:[EDI]                   ; 又是这一招来取API
003758B7    5B              POP EBX
003758B8    8DBD 26154100   LEA EDI,DWORD PTR SS:[EBP+411526]
………
003758F8    8903            MOV DWORD PTR DS:[EBX],EAX               ; 取到的API (eax)入[ebx]
003758FA    03D9            ADD EBX,ECX
003758FC    43              INC EBX
003758FD    59              POP ECX
003758FE    49              DEC ECX
003758FF  ^ 0F85 6FFFFFFF   JNZ 00375874                             ; 如果没有取完就下一步
00375905    8DB5 49124100   LEA ESI,DWORD PTR SS:[EBP+411249]
……..
00375905    8DB5 49124100   LEA ESI,DWORD PTR SS:[EBP+411249]        ; 现在取WS2_32.DLL中的API了
0037590B    90              NOP
…………
00375A7B    8B85 060F4100   MOV EAX,DWORD PTR SS:[EBP+410F06]        ; GetModuleHandleA
00375A81    90              NOP
00375A82    90              NOP
00375A83    90              NOP
00375A84    90              NOP
00375A85    90              NOP
00375A86    90              NOP
00375A87    E9 66C30000     JMP 00381DF2
00375A8C    90              NOP
00375A8D    0BC0            OR EAX,EAX                               ; 同样判断有没有加载DLL,没有就先LoadLibraryA
00375A8F    75 34           JNZ SHORT 00375AC5
00375A91    56              PUSH ESI
……
00375ACD    B9 04000000     MOV ECX,4                                ; 这次取4个API
要取的4 个API分别为:
00375B29    8903            MOV DWORD PTR DS:[EBX],EAX               ; WS2_32.WSASend
00375B29    8903            MOV DWORD PTR DS:[EBX],EAX               ; WS2_32.WSARecv
00375B29    8903            MOV DWORD PTR DS:[EBX],EAX               ; WS2_32.send
00375B29    8903            MOV DWORD PTR DS:[EBX],EAX               ; WS2_32.recv
 
……
00375B31    8DB5 72124100   LEA ESI,DWORD PTR SS:[EBP+411272]        ; 好了,现在取ADVAPI32.DLL中的api
……..
00375B31    8DB5 72124100   LEA ESI,DWORD PTR SS:[EBP+411272]        ; 好了,现在取ADVAPI32.DLL中的api
……
00375CF9    6A 08           PUSH 8
00375CFB    59              POP ECX                                  ; 在ADVAPI32。DLL里取8个API
这幺八个:
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.CloseServiceHandle
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.ControlService
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.CreateServiceA
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.DeleteService
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.OpenSCManagerA
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.OpenServiceA
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.QueryServiceStatus
00375D53    8903            MOV DWORD PTR DS:[EBX],EAX               ; ADVAPI32.StartServiceA
……
00375D7B    8B85 E60F4100   MOV EAX,DWORD PTR SS:[EBP+410FE6]        ; 取完后,开始GetForegroundWindow,一看这个就知道干什幺了吧:-)
00375D81    90              NOP
00375D82    90              NOP
……
00375E3D    8B85 CB0F4100   MOV EAX,DWORD PTR SS:[EBP+410FCB]        ; BT用EnableWindow来反跟踪
00375E43    90              NOP
00375E44    90              NOP
……
00375E70    8B85 04114100   MOV EAX,DWORD PTR SS:[EBP+411104]        ; kernel32.GetCurrentThread
00375E76    90              NOP
00375E77    90              NOP
00375E78    90              NOP
00375E79    90              NOP
00375E7A    90              NOP
00375E7B    90              NOP
00375E7C    E9 71BF0000     JMP 00381DF2
……
00375EA6    8B85 B4114100   MOV EAX,DWORD PTR SS:[EBP+4111B4]        ; kernel32.SetThreadPriority
00375EAC    90              NOP
……
0012FF98   00375EB9  /CALL to SetThreadPriority
0012FF9C   FFFFFFFE  |hThread = FFFFFFFE
0012FFA0   00000002  /Priority = THREAD_PRIORITY_HIGHEST
……
00375EB9    50              PUSH EAX
00375EBA    52              PUSH EDX
00375EBB    51              PUSH ECX
00375EBC    EB 01           JMP SHORT 00375EBF
00375EBE    90              NOP
00375EBF    0F31            RDTSC
00375EC1    8BC8            MOV ECX,EAX                              ; RDTSC时间反跟踪
……..
00375ECD    90              NOP
00375ECE    E8 38000000     CALL 00375F0B
00375ED3    90              NOP
进去看看有啥东西:
00375F0E    68 C2100000         PUSH 10C2
00375F13    E8 01000000         CALL 00375F19
00375F18    90                  NOP
00375F19    68 24080E68         PUSH 680E0824
00375F1E    68 90908344         PUSH 44839090
00375F23    FFE4                JMP ESP
00375F25    90                  NOP
00375F26    C3                  RETN
 
0012FF86    834424 08 0E        ADD DWORD PTR SS:[ESP+8],0E
0012FF8B    68 185F3700         PUSH 375F18
0012FF90    C2 1000             RETN 10
……
00375EDB    90                  NOP
00375EDC    E8 46000000         CALL 00375F27                            ; 里面全部是垃圾来的/lh
00375EE1    90                  NOP
……
00375EF4    0F31                RDTSC
00375EF6    83C4 04             ADD ESP,4
00375EF9    2BC1                SUB EAX,ECX
00375EFB    3D 00000200         CMP EAX,20000                            ; 这里进行比较,如果小于20000就说明程序在跟踪
00375F00    76 04               JBE SHORT 00375F06                       ; 这里一定要跳
……
00375F3B    8B85 120F4100       MOV EAX,DWORD PTR SS:[EBP+410F12]        ; IMAGEBASE(40000)入EAX
00375F41    0340 3C             ADD EAX,DWORD PTR DS:[EAX+3C]            ; 定位PE位置
……
00376093    8B40 50             MOV EAX,DWORD PTR DS:[EAX+50]            ; sizeof image(C5AFA) 入EAX
00376096    3385 260F4100       XOR EAX,DWORD PTR SS:[EBP+410F26]        ; [EBP+410F26]=[003824C8]=E033EF
0037609C    90                  NOP
……
003761EA    90                  NOP
003761EB    8B8D 020F4100       MOV ECX,DWORD PTR SS:[EBP+410F02]        ; MOV ECX,EC6915
003761F1    3BC1                CMP EAX,ECX
003761F3    8DB5 29144100       LEA ESI,DWORD PTR SS:[EBP+411429]        ; MOV ESI,3829CB
003761F9    46                  INC ESI
……
003763A0    56                  PUSH ESI                                 ; PUSH //.NTICE
003763A1    90                  NOP
003763A2    90                  NOP
003763A3    90                  NOP
003763A4    90                  NOP
003763A5    90                  NOP
003763A6    90                  NOP
003763A7    90                  NOP
003763A8    90                  NOP
003763A9    90                  NOP
003763AA    8D85 314E4000       LEA EAX,DWORD PTR SS:[EBP+404E31]        ; 准备检查调试器
003763B0    90                  NOP
……
003763BF    90                  NOP
003763C0    90                  NOP
003763C1    8B85 55104100       MOV EAX,DWORD PTR SS:[EBP+411055]        ; kernel32.CreateFileA
003763C7    90                  NOP
……
003763D9    0F31                RDTSC                                    ; 检查过程还不忘记用RDTSC的方法来反跟踪
003763DB    8BC8                MOV ECX,EAX
……
0037640D    90                  NOP
0037640E    0F31                RDTSC
00376410    83C4 04             ADD ESP,4
00376413    2BC1                SUB EAX,ECX
00376415    3D 00000200         CMP EAX,20000
0037641A    76 04               JBE SHORT 00376420                       ; 如果检查到就over了
0037641C    83C4 0C             ADD ESP,0C
0037641F    C3                  RETN                                     ; 跳去OVER处
……
00376455    83F8 FF             CMP EAX,-1
00376458    74 05               JE SHORT 0037645F                        ; 如果通过CreateFileA的方法没有找到的话就跳
0037645A    E9 F5CC0000         JMP 00383154                             ; 如果检查到调试器就跳去over处
0037645F    56                  PUSH ESI
00376461   /EB 06               JMP SHORT 00376469
00376463   |F6D0                NOT AL                                   ; 每执行完一次不忘记把字符给去掉,好样的
00376465   |8846 FF             MOV BYTE PTR DS:[ESI-1],AL
00376468   |AC                  LODS BYTE PTR DS:[ESI]
00376469   /0AC0                OR AL,AL
0037646B  ^ 75 F6               JNZ SHORT 00376463                       ; 如果没有擦完则继续
0037646D    5E                  POP ESI
0037647D    0F31                RDTSC                                    ; 还在用时间的方法检测调试器
0037647F    8BC8                MOV ECX,EAX
00376481    90                  NOP
……
003764B2    0F31                RDTSC
003764B4    83C4 04             ADD ESP,4
003764B7    2BC1                SUB EAX,ECX
003764B9    3D 00000200         CMP EAX,20000
003764BE    76 04               JBE SHORT 003764C4                       ; 这里同上
003764C0    83C4 0C             ADD ESP,0C
003764C3    C3                  RETN
……
003764F9    0BC9                OR ECX,ECX                               ; 如果没有检测完还要回去检测,
003764FB  ^ 0F85 50FEFFFF       JNZ 00376351
检测了八九次
00376501    8CC9                MOV CX,CS
00376503    32C9                XOR CL,CL
00376505    0BC9                OR ECX,ECX
00376507    0F84 01080000       JE 00376D0E                                     ;默认这里跳的,晕,这里又是跳去检测有没有调试器
……
00376DBE    90                  NOP
00376DBF    8B85 060F4100       MOV EAX,DWORD PTR SS:[EBP+410F06]        ; kernel32.GetModuleHandleA
00376DC5    90                  NOP
……
0012FF9C   00376DD1  /CALL to GetModuleHandleA
0012FFA0   00376D95  /pModule = "ntdll.dll"
……
00376F68    90                  NOP
00376F69    E9 84AE0000         JMP 00381DF2                             ; 跳去取NTDLL。DLL里所需的API
00376F6E    90                  NOP
第一次就是取ZwInformationThread
003770BD    90            NOP
003770BE    8BF8          MOV EDI,EAX                              ; ntdll.ZwSetInformationThread
003770C0    50            PUSH EAX
003770C1    52            PUSH EDX
003770C2    51            PUSH ECX
003770C3    EB 01         JMP SHORT 003770C6
003770C5    90            NOP
003770C6    0F31          RDTSC
003770C8    8BC8          MOV ECX,EAX                              ; 很多这样的检测调试器的宏哦
003770CA    90            NOP
……
00377174    6A 00         PUSH 0                                                                  ;又是反调试器用的.
………..
00377162    8B85 0411410>MOV EAX,DWORD PTR SS:[EBP+411104]        ; kernel32.GetCurrentThread先获取当前线程信息,然后搞破坏
00377168    90           NOP
00377169    90           NOP
0037716A    90           NOP                
0037716B    90           NOP
0037716C    90           NOP
0037716D    90           NOP
0037716E    E9 7FAC0000  JMP 00381DF2
00377173    90           NOP
00377176    6A 00         PUSH 0
00377178    6A 11         PUSH 11
0037717A    50            PUSH EAX
0037717B    8D85 E85B4000 LEA EAX,DWORD PTR SS:[EBP+405BE8]
00377181    50            PUSH EAX
00377182    8BC7          MOV EAX,EDI                              ; ntdll.ZwSetInformationThread
00377184    E9 69AC0000   JMP 00381DF2
……
0037718A    8D1D C9174100 LEA EBX,DWORD PTR DS:[4117C9]
00377190    833C2B 00     CMP DWORD PTR DS:[EBX+EBP],0             ; Text section vsize
……
003771CC    8D042B          LEA EAX,DWORD PTR DS:[EBX+EBP]
003771FA    8B48 08         MOV ECX,DWORD PTR DS:[EAX+8]                 ;text section vsize 40000
00377225    8B70 04         MOV ESI,DWORD PTR DS:[EAX+4]                        ;text section voffset
00377255    03B5 120F4100   ADD ESI,DWORD PTR SS:[EBP+410F12]        ; text section start address
00377288    8BFE            MOV EDI,ESI
003772B4    8D85 E4144100   LEA EAX,DWORD PTR SS:[EBP+4114E4]                  ;382A86
003772E3    50              PUSH EAX
0037730E    51              PUSH ECX
00377338    56              PUSH ESI
00377366    E8 D19F0000     CALL 0038133C                                   ;对text段解压
00377395    53              PUSH EBX
003773C3    6A 04           PUSH 4
003773EE    68 00100000     PUSH 1000
00377418    FF342B          PUSH DWORD PTR DS:[EBX+EBP]
0037741B    6A 00           PUSH 0
0037741D    8D85 FE634000   LEA EAX,DWORD PTR SS:[EBP+4063FE]
00377423    50              PUSH EAX
……..
00377573    8B85 0E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0E]        ; kernel32.VirtualAlloc
00377579    E9 74A80000     JMP 00381DF2
……
0012FF8C   003779A0  /CALL to VirtualAlloc
0012FF90   00000000  |Address = NULL
0012FF94   000A8000  |Size = A8000 (688128.)
0012FF98   00001000  |AllocationType = MEM_COMMIT
0012FF9C   00000004  /Protect = PAGE_READWRITE
003779D4    8BF0               MOV ESI,EAX                              ; 申请到的空间9B0000入esi
003779FE    8BC3               MOV EAX,EBX                              ; 4117c9
00377A2B    03C5               ADD EAX,EBP                              ; eax==382d68
00377A56    8B78 04            MOV EDI,DWORD PTR DS:[EAX+4]             ; mov edi,1000
00377A84    03BD 120F4100      ADD EDI,DWORD PTR SS:[EBP+410F12]        ; 转换成VA 401000
00377AB5    56                 PUSH ESI                                 ; push 9b0000
00377AE2    57                 PUSH EDI                                 ; push 401000
00377B17    8D85 9E654000      LEA EAX,DWORD PTR SS:[EBP+40659E]        ; EAX==377b40
00377B21    50                 PUSH EAX
00377B2E    8B85 7E0F4100      MOV EAX,DWORD PTR SS:[EBP+410F7E]        ; 4b1151
进入4b1151 后发现还是在解压数据.
00377B39    90              NOP
00377B3A    E9 B3A20000     JMP 00381DF2                             ; 跳去解压数据处,是面是DEPACK(apLib)的代码
00377B3F    90              NOP
 
……
00377B69    8B0C2B          MOV ECX,DWORD PTR DS:[EBX+EBP]           ; push size?? A8000
00377B96    56              PUSH ESI                                 ; push 9b0000,这个步骤就是要把相关的数据还原回去
00377BC1    51              PUSH ECX
00377BC2    C1E9 02         SHR ECX,2                                ; ecx=2a000把解压出来的东西再施加到401000开始的地方
00377BC5    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
ECX=0002A000 (decimal 172032.)
DS:[ESI]=[009B0000]=00401004
ES:[EDI]=[00401000]=0609B0A1
……
00377BC7    59              POP ECX
00377BC8    83E1 03         AND ECX,3
00377BCB    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
ECX=00000000 (decimal 0.)
DS:[ESI]=[00A58000]=???                                                                     ;这里为什幺会这样??我不知道,请教各位高手了.
ES:[EDI]=[004A9000]=00
 
00377BF6    5E              POP ESI                                  ; 009B0000
操作完毕,开始释放原来申请的空间.
00377CF6    90              NOP
00377CF7    8B85 F9114100   MOV EAX,DWORD PTR SS:[EBP+4111F9]        ; kernel32.VirtualFree
00377CFD    90              NOP
……
0012FF90   00377D0A  /CALL to VirtualFree
0012FF94   009B0000  |Address = 009B0000
0012FF98   00000000  |Size = 0
0012FF9C   00008000  /FreeType = MEM_RELEASE
……
00377D64    83C3 0C         ADD EBX,0C                               ; 4117c9+0c
00377190    833C2B 00       CMP DWORD PTR DS:[EBX+EBP],0             ; [382D77]==7584
003771CC    8D042B          LEA EAX,DWORD PTR DS:[EBX+EBP]           ; mov eax,382d77
003771FA    8B48 08         MOV ECX,DWORD PTR DS:[EAX+8]             ; mov ecx,1e84
00377225    8B70 04         MOV ESI,DWORD PTR DS:[EAX+4]             ; mov esi,A9A7C
00377255    03B5 120F4100   ADD ESI,DWORD PTR SS:[EBP+410F12]        ; 转成VA
00377288    8BFE            MOV EDI,ESI                              ; 把转成的VA(4A9A7C)入EDI
003772B4    8D85 E4144100   LEA EAX,DWORD PTR SS:[EBP+4114E4]        ; mov eax,382a86
00377366    E8 D19F0000     CALL 0038133C                                                 ; 4A9A7C进行解压代码:
……
003773EE    68 00100000     PUSH 1000                                ; 准备分配空间了
……
00377573    8B85 0E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0E]        ; kernel32.VirtualAlloc
00377579    E9 74A80000     JMP 00381DF2                             ; 进行分配空间
0012FF8C   003779A0  /CALL to VirtualAlloc
0012FF90   00000000  |Address = NULL
0012FF94   00007584  |Size = 7584 (30084.)
0012FF98   00001000  |AllocationType = MEM_COMMIT
0012FF9C   00000004  /Protect = PAGE_READWRITE
……
00377B2C    90              NOP
00377B2D    90              NOP
00377B2E    8B85 7E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F7E]        ; xxx.004B1151
00377B34    90              NOP
00377B35    90              NOP
00377B36    90              NOP
00377B37    90              NOP
00377B38    90              NOP
00377B39    90              NOP
00377B3A    E9 B3A20000     JMP 00381DF2                             ; 再次进去译码
00377B3F    90              NOP
……
00377BC2    C1E9 02         SHR ECX,2
00377BC5    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>; 解开4A9A7C处的代码
00377BC7    59              POP ECX                                  ; 作者用了几次这个宏
00377BC8    83E1 03         AND ECX,3
00377BCB    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; 把代码放到41000处
00377BCD    90              NOP
……
00377CF5    90              NOP
00377CF6    90              NOP
00377CF7    8B85 F9114100   MOV EAX,DWORD PTR SS:[EBP+4111F9]        ; kernel32.VirtualFree
00377CFD    90              NOP                                      ; 解压完毕同上,释放空间
00377CFE    90              NOP
……
00377D90    8DB5 BD694000   LEA ESI,DWORD PTR SS:[EBP+4069BD]
00377EE5    87E6            XCHG ESI,ESP                             ; 从377F5F处解开一段代码
00377EE7    B9 8C7D0000     MOV ECX,7D8C                             ; 解压大小为7d8c
00377EEC    58              POP EAX
00377EED    90              NOP
00377EF3    F6D0            NOT AL
00377F00    50              PUSH EAX
00377F07    44              INC ESP
00377F0D  ^/E2 DD           LOOPD SHORT 00377EEC                     ; 如果没有解压完则跳上去继续
 
……
00377F11    6A 04           PUSH 4
00377F13    68 00100000     PUSH 1000
00377F18    68 00200000     PUSH 2000
00377F1D    6A 00           PUSH 0
……
00377F3F    8B85 0E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0E]        ; kernel32.VirtualAlloc
00377F45    90              NOP                                      ; 又分配一个空间
0012FF90   00377F52  /CALL to VirtualAlloc
0012FF94   00000000  |Address = NULL
0012FF98   00002000  |Size = 2000 (8192.)
0012FF9C   00001000  |AllocationType = MEM_COMMIT
0012FFA0   00000004  /Protect = PAGE_READWRITE
……
00377F52    8985 51184100   MOV DWORD PTR SS:[EBP+411851],EAX        ; 分配的空间地址3F0000入[382DF3]
00377F58    83A5 55184100 0>AND DWORD PTR SS:[EBP+411855],0
00377F5F    8B85 420F4100   MOV EAX,DWORD PTR SS:[EBP+410F42]        ; mov eax,1
……
00377F92    0BC0            OR EAX,EAX
00377F94    0F85 AF090000   JNZ 00378949                             ; 判断eax是否为0不为0则跳,这里也就是判断IAT有没有加密.因为前面已经是1也就说明IAT是加密了的.
……
0037897C    0395 620F4100   ADD EDX,DWORD PTR SS:[EBP+410F62]
00378982    8B3A            MOV EDI,DWORD PTR DS:[EDX]               ; 判断IAT?
00378AD3    0BFF            OR EDI,EDI
00378AD5    75 05           JNZ SHORT 00378ADC                                        ;没处理完IAT则跳
00378AD7    E9 89370000     JMP 0037C265                                                        ;处理完毕这里跳走
00378ADC    83C2 05         ADD EDX,5
……
00378C2E    8BF2            MOV ESI,EDX                              ; DLL名称入esi第一次是ADVAPI32.DLL
00378C30    56              PUSH ESI
……
00378C4F    90              NOP
00378C50    90              NOP
00378C51    8B85 060F4100   MOV EAX,DWORD PTR SS:[EBP+410F06]        ; kernel32.GetModuleHandleA
00378C57    90              NOP                                      ; 先用GetModuleHandleA判断目标DLL有没有加载
……
00378C64    0BC0            OR EAX,EAX
00378C66    75 3D           JNZ SHORT 00378CA5                       ; 如果已经加载则下一步,否则先用LoadLibraryA加载DLL,前面跟过就发现,这个DLL已经加载了.
00378C68    56              PUSH ESI                                 ; push dll的名字
……..
00378C89    8B85 0A0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0A]        ; LoadLibraryA
00378C8F    90              NOP                                      ; 加载dll
……
00378C9A    90              NOP
00378C9B    90              NOP
00378C9C    0BC0            OR EAX,EAX                               ; 如果加载成功就下一步
00378C9E    75 05           JNZ SHORT 00378CA5
00378CA0    E9 34A40000     JMP 003830D9                             ; 如果加载失败跳去over 处
00378CA5    EB 26           JMP SHORT 00378CCD
00378CDA    68 E8EB6B3C     PUSH 3C6BEBE8
……
00378F0F    8BF0            MOV ESI,EAX                              ; 获取到的hmodule入esi
00378F11    0BC9            OR ECX,ECX
00378F13    0F85 A5070000   JNZ 003796BE
00378F19    8BCF            MOV ECX,EDI
……
0037906A    8B3A            MOV EDI,DWORD PTR DS:[EDX]
0037906C    03BD 120F4100   ADD EDI,DWORD PTR SS:[EBP+410F12]        ; RVA转换成VA49a210
00379072    83C2 04         ADD EDX,4
00379075    51              PUSH ECX
00379076    0FB602          MOVZX EAX,BYTE PTR DS:[EDX]
00379079    0BC0            OR EAX,EAX
……
003793C8    61              POPAD
003793C9    8D95 26154100   LEA EDX,DWORD PTR SS:[EBP+411526]        ; 第一次取RegQueryValueExA入EDX
……
0037951D    90              NOP
0037951E    52              PUSH EDX                                 ; PUSH API NAME
0037951F    56              PUSH ESI                                 ; PUSH hModule
00379520    90              NOP
……
00379540    8B85 FE0E4100   MOV EAX,DWORD PTR SS:[EBP+410EFE]        ; 3824a0
00379546    90              NOP
00379547    90              NOP
00379548    90              NOP
00379549    90              NOP
0037954A    90              NOP
0037954B    90              NOP
0037954C    E9 A1880000     JMP 00381DF2                             ; GetProcAddress
00379551    90              NOP
00379552    90              NOP
00379553    E8 FC8E0000     CALL 00382454                            ; 判断相关的api  有没有下断点,只比较一位而已
00379558    90              NOP
……..
003796A7    8907            MOV DWORD PTR DS:[EDI],EAX               ; 把api入到相关的位置,第一个就是RegQueryValueExA
EAX=77DA2410 (ADVAPI32.RegQueryValueExA)
DS:[0049A210]=00000000
 
003796A9    5A              POP EDX
003796AA    0FB642 FF       MOVZX EAX,BYTE PTR DS:[EDX-1]
003796AE    03D0            ADD EDX,EAX
003796B0    42              INC EDX
003796B1    59              POP ECX
003796B2    49              DEC ECX
003796B3  ^ 0F85 B1F9FFFF   JNZ 0037906A                             ; 如果没有取完就回去继续
第二次取Oleaut32.dll,因为这个DLL一开始没载加载,所以这次要先加载的。
到了加载这个DLL的时候就要小心了:
0012FF9C   00378C9C  /CALL to LoadLibraryA
0012FFA0   00383CE7  /FileName = "wsock32.dll"
……
00378F0F    8BF0                 MOV ESI,EAX                              ; 获取到的hmodule入esi
00378F11    0BC9                 OR ECX,ECX
00378F13    0F85 A5070000        JNZ 003796BE                             ; 加载上面的那个DLL后到这里就会跳了,前面几上DLL都没有跳的
00378F19    8BCF                 MOV ECX,EDI
00378F1B    68 00FE98C7          PUSH C798FE00
……
003796BE    8BCF                 MOV ECX,EDI                              ; 重新定位iat
003796C0    81E1 FFFFFF7F        AND ECX,7FFFFFFF
003796C6    51                   PUSH ECX
003796C7    52                   PUSH EDX
……
0037981A    6A 04                PUSH 4                                   ; 准备分配空间
0037981C    68 00100000          PUSH 1000
00379821    51                   PUSH ECX
00379822    6A 00                PUSH 0
00379844    8B85 0E0F4100        MOV EAX,DWORD PTR SS:[EBP+410F0E]        ; kernel32.VirtualAlloc
0037984A    90                   NOP
0037984B    90                   NOP
0037984C    90                   NOP
0037984D    90                   NOP
0037984E    90                   NOP
0037984F    90                   NOP
00379850    E9 9D850000          JMP 00381DF2                             ; 跳去分配空间
00379856    8985 5E0F4100        MOV DWORD PTR SS:[EBP+410F5E],EAX        ; 分配好的空间AB0000放到[382500]处
0037985C    5A                   POP EDX
0037985D    59                   POP ECX
0037985E    60                   PUSHAD
0037985F    90                   NOP
……
003799AE    8BD8                 MOV EBX,EAX                              ; 把分配好的空间在EBX里也放一个
003799B0    EB 17                JMP SHORT 003799C9
003799B2    8B3A                 MOV EDI,DWORD PTR DS:[EDX]
003799B4    03BD 120F4100        ADD EDI,DWORD PTR SS:[EBP+410F12]        ; 把RVA换成VA,第一次是49a818
003799BA    891F                 MOV DWORD PTR DS:[EDI],EBX               ; 晕哦,这里想破坏IAT
003799BC    83C3 20              ADD EBX,20
003799BF    0FB642 04            MOVZX EAX,BYTE PTR DS:[EDX+4]
003799C3    03D0                 ADD EDX,EAX
003799C5    83C2 06              ADD EDX,6
003799C8    49                   DEC ECX
003799C9    0BC9                 OR ECX,ECX
003799CB  ^ 75 E5                JNZ SHORT 003799B2                       ; 没有破坏完就回去继续破坏
……
00379A34    66:C707 FF35         MOV WORD PTR DS:[EDI],35FF               ; 准备填充真正的API到刚才分配的空间里
00379A39    90                   NOP
……
00379B87    90                   NOP
00379B88    C747 06 81342400     MOV DWORD PTR DS:[EDI+6],243481          ; XOR DWORD PTR [ESP],XORKEY
00379B8F    90                   NOP
……
00379CDE    8947 02              MOV DWORD PTR DS:[EDI+2],EAX             ; 准备放入返回字符串
00379CE1    90                   NOP
00379D0E    C647 0D C3           MOV BYTE PTR DS:[EDI+D],0C3                          ;放入RET
00379D12    52                   PUSH EDX                                 ; 这里又准备用时间来检查调试器
……
00379E87    8947 09              MOV DWORD PTR DS:[EDI+9],EAX             ; XORKEY
00379E8A    5A                   POP EDX
00379E8B    83C7 20              ADD EDI,20
00379E8E    49                   DEC ECX
00379E8F    0BC9                 OR ECX,ECX
00379E91  ^ 0F85 6DFBFFFF        JNZ 00379A04                                   ;如果没有“填满”代码则继续破坏.
……
0037AE28    8B85 56114100        MOV EAX,DWORD PTR SS:[EBP+411156]        ; 比较字符串
0037AE2E    90                   NOP
……
0012FF8C   0037AE3A  /CALL to lstrcmpA
0012FF90   00382986  |String1 = "LoadLibraryA"
0012FF94   00382AC8  /String2 = "WSACleanup"
0012FF98   00382AC8  ASCII "WSACleanup"
……
0037AE3B    85C0                 TEST EAX,EAX
0037AE3D    75 0B                JNZ SHORT 0037AE4A                       ; 比较如果不同就跳
又在找,找有没有要特殊加密的api??
看看这个表有什幺东西要“关照”的。
003828A5  58 44 4C 4C 2E 44 4C 4C 00 46 75 6E 63 32 46 75  XDLL.DLL.Func2Fu
003828B5  6E 63 00 54 65 73 74 44 65 62 75 67 00 45 6E 43  nc.TestDebug.EnC
003828C5  72 79 70 74 00 44 65 43 72 79 70 74 00 43 52 43  rypt.DeCrypt.CRC
003828D5  00 54 65 73 74 42 6D 70 00 43 72 65 61 74 65 44  .TestBmp.CreateD
003828E5  69 61 6C 6F 67 50 61 72 61 6D 41 00 44 69 61 6C  ialogParamA.Dial
003828F5  6F 67 42 6F 78 50 61 72 61 6D 41 00 44 65 62 75  ogBoxParamA.Debu
00382905  67 42 72 65 61 6B 00 45 78 69 74 50 72 6F 63 65  gBreak.ExitProce
00382915  73 73 00 46 72 65 65 52 65 73 6F 75 72 63 65 00  ss.FreeResource.
00382925  47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 47  GetProcAddress.G
00382935  65 74 56 65 72 73 69 6F 6E 00 47 65 74 4D 6F 64  etVersion.GetMod
00382945  75 6C 65 48 61 6E 64 6C 65 41 00 47 65 74 43 75  uleHandleA.GetCu
00382955  72 72 65 6E 74 50 72 6F 63 65 73 73 00 47 65 74  rrentProcess.Get
00382965  43 75 72 72 65 6E 74 50 72 6F 63 65 73 73 49 64  CurrentProcessId
00382975  00 47 65 74 43 6F 6D 6D 61 6E 64 4C 69 6E 65 41  .GetCommandLineA
00382985  00 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 4C 6F  .LoadLibraryA.Lo
00382995  63 6B 52 65 73 6F 75 72 63 65 00 53 65 6E 64 4D  ckResource.SendM
003829A5  65 73 73 61 67 65 41 00 73 65 6E 64 00 72 65 63  essageA.send.rec
003829B5  76 00                                            v.
……
0037B124    85C0                 TEST EAX,EAX
0037B126    75 0B                JNZ SHORT 0037B133                       ; 第二次没找到跳
0037B128    8D85 09FE4000        LEA EAX,DWORD PTR SS:[EBP+40FE09]
0037B16E    5A                   POP EDX
0037B16F    85C0                 TEST EAX,EAX
0037B171    75 0B                JNZ SHORT 0037B17E                       ; 第三次没有找到
0037B1B9    5A                   POP EDX
0037B1BA    85C0                 TEST EAX,EAX
0037B1BC    75 0B                JNZ SHORT 0037B1C9                       ; 第四次比较
0037B204    5A                   POP EDX
0037B205    85C0                 TEST EAX,EAX
0037B207    75 0B                JNZ SHORT 0037B214                       ; 第五次
0037B209    8D85 67FE4000        LEA EAX,DWORD PTR SS:[EBP+40FE67]
0037B250    85C0                 TEST EAX,EAX                             ; 第六次
0037B252    75 0B                JNZ SHORT 0037B25F
……
0037B3A1   /E9 4C6A0000          JMP 00381DF2                             ; 这里有点不同,这次不是返回下面一两行的
0037B3A6  -|E9 8BC55052          JMP 52887936
0037B3AB   |51                   PUSH ECX
一共十六次,分别比较这幺几个API
LoadLibraryA
GetProcAddress
GetVersion
GetModuleHandleA
GetCurrentProcess
GetCurrentProcessId
GetCommandLineA
Lockresource
FreeResource
ExitProcess
DialogBoxParamA
CreateDialogParamA
SendMessageA
Send
recv
DebugBreak
……
0037BB1B    52                   PUSH EDX                                 ; 如果没有找到就开始获取API
0037BB1C    56                   PUSH ESI
0037BB3C    90                   NOP
0037BB3D    8B85 FE0E4100        MOV EAX,DWORD PTR SS:[EBP+410EFE]
0037BB43    90                   NOP
0037BB44    90                   NOP
0037BB45    90                   NOP
0037BB46    90                   NOP
0037BB47    90                   NOP
0037BB48    90                   NOP
0037BB49    E9 A4620000          JMP 00381DF2                             ; 进入获取API
0037BB4E    90                   NOP
0037BB4F    8B9D 51184100        MOV EBX,DWORD PTR SS:[EBP+411851]        ; 第二层复位位IMAGEBASE(003F0000)
0037BB55    039D 55184100        ADD EBX,DWORD PTR SS:[EBP+411855]        ; 第二层复位位相对地址
0037BB5C    6A 00                PUSH 0
0037BB5E    50                   PUSH EAX
0037BB5F    53                   PUSH EBX
0037BB60    E8 F3630000          CALL 00381F58                            ; 获取API地址变成push API的方式,如果没有改前面的代码壳还会先抽代码到壳里
0037BB65    2B85 51184100        SUB EAX,DWORD PTR SS:[EBP+411851]
0037BB6B    8985 55184100        MOV DWORD PTR SS:[EBP+411855],EAX
0037BB71    60                   PUSHAD
0037BB72    3D C01F0000          CMP EAX,1FC0                             ; 检查够不够空间放东西,如果不够就再申请一段空间
0037BB77    0F86 8A010000        JBE 0037BD07                             ; 我们这里够了,所以壳这里跳
0037BB7D    6A 04                PUSH 4
0037BB7F    68 00100000          PUSH 1000                                ; 一般看到这样的东西就知道十有九是分配空间来的
0037BB84    68 00200000          PUSH 2000
0037BB89    6A 00                PUSH 0
0037BB8B    8D85 58A74000        LEA EAX,DWORD PTR SS:[EBP+40A758]
0037BB91    50                   PUSH EAX
0037BB92    8B85 0E0F4100        MOV EAX,DWORD PTR SS:[EBP+410F0E]
0037BB98    E9 55620000          JMP 00381DF2                             ; 跳去分配空间
0037BB9D    EB 64                JMP SHORT 0037BC03
0037BE57    5B                   POP EBX
0037BE58    8BC3                 MOV EAX,EBX
0037BE5A    3347 09              XOR EAX,DWORD PTR DS:[EDI+9]
……
0037BFAC    8947 1C              MOV DWORD PTR DS:[EDI+1C],EAX            ; 还在向里面填垃圾
0037BFAF    5A                   POP EDX
0037C258    59                   POP ECX
0037C259    49                   DEC ECX
0037C25A  ^ 0F85 39DCFFFF        JNZ 00379E99                             ; 如果没有操作完成还要回去继续
0037C260  ^/E9 1DC7FFFF          JMP 00378982
0037C265    E8 0A000000  CALL 0037C274                            ; 处理IAT完毕到这里
……
0037C293    90           NOP
0037C294    8B85 060F410>MOV EAX,DWORD PTR SS:[EBP+410F06]        ; 获取NTDLL.dll的hmodule
0037C29A    90           NOP
0037C29B    90           NOP
0037C29C    90           NOP
0037C29D    90           NOP
0037C29E    90           NOP
0037C29F    90           NOP
0037C2A0    E9 4D5B0000  JMP 00381DF2                             ; GetModuleHandleA
……
0037C3F5    0BC0         OR EAX,EAX                               ; 因为我的系统是XP,所以这里不会跳的
0037C3F7    0F84 E709000>JE 0037CDE4                              ; 如果获取NTDLL。DLL失败则跳去下一步,不知道这里是不是去加win9x的路呢
0037C43C    90           NOP
0037C43D    8B85 FE0E410>MOV EAX,DWORD PTR SS:[EBP+410EFE]        ; 跳去ZwQueryInformationProcess
0037C443    90           NOP
0037C444    90           NOP
0037C445    90           NOP
0037C446    90           NOP
0037C447    90           NOP
0037C448    90           NOP
0037C449    E9 A4590000  JMP 00381DF2                             ; GetProcAddress
0037C44E    90           NOP
0037C44F    68 00FE9804  PUSH 498FE00
……
0037C59E    0BC0         OR EAX,EAX                               ; ntdll.ZwQueryInformationProcess
0037C5A0    0F84 3E08000>JE 0037CDE4                              ; 这里判断有没有取到那个API,如果没有取到则跳
……
0037C5CD    90           NOP
0037C5CE    8B85 DC10410>MOV EAX,DWORD PTR SS:[EBP+4110DC]        ; kernel32.GetCurrentProcess
0037C5D4    90           NOP                                      ; 获取当前的Process,看到这里就知道他想做了吧
……
0037C72F    8BF8            MOV EDI,EAX
0037C731    50              PUSH EAX
0037C732    8BC4            MOV EAX,ESP
……
0037C883    6A 00           PUSH 0                                   ; 到了这里还不忘记放炸弹
0037C885    6A 04           PUSH 4
……
0037C9D6    50              PUSH EAX
0037C9D7    6A 07           PUSH 7
0037CB28    57              PUSH EDI
0037CB29    FFD6            CALL ESI                                 ; ntdll.ZwQueryInformationProcess
……
0037CC7A    58              POP EAX
0037CC7B    0BC0            OR EAX,EAX
0037CC7D    0F84 61010000   JE 0037CDE4                              ; 这里判断上面的API有没有起作用
0037CC83    0F31            RDTSC
0037CC85    25 FF0F0000     AND EAX,0FFF
0037CC8A    05 00100000     ADD EAX,1000
…..
0037CF39    8BF4            MOV ESI,ESP
0037CF3B    8BFC            MOV EDI,ESP
……
0037D1E0    F3:AB           REP STOS DWORD PTR ES:[EDI]
0037D1E2    68 00010000     PUSH 100                                                                     ;length
……
0037D336    56              PUSH ESI                                                              ;缓冲地址
0037D337    8B85 120F4100   MOV EAX,DWORD PTR SS:[EBP+410F12]        ; hmodule
0037D33D    90              NOP
……
0037D48C    50              PUSH EAX                                 ; xxx.00400000
0037D4AD    8B85 28114100   MOV EAX,DWORD PTR SS:[EBP+411128]        ; kernel32.GetModuleFileNameA
0037D4B3    90              NOP
0037D4B4    90              NOP
0037D4B5    90              NOP
0037D4B6    90              NOP
0037D4B7    90              NOP
0037D4B8    90              NOP
0037D4B9    E9 34490000     JMP 00381DF2                             ; Run API
……
0012FE94   0037D4BF  /CALL to GetModuleFileNameA
0012FE98   00400000  |hModule = 00400000 (xxx)
0012FE9C   0012FEA4  |PathBuffer = 0012FEA4
0012FEA0   00000100  /BufSize = 100 (256.)
……
0037D60E    6A 00           PUSH 0
0037D610    68 80000000     PUSH 80
0037D615    6A 03           PUSH 3
0037D617    6A 00           PUSH 0
0037D619    6A 03           PUSH 3
0037D61B    68 00000080     PUSH 80000000
0037D620    56              PUSH ESI                                 ; push 文件名
0037D621    8D85 9AC04000   LEA EAX,DWORD PTR SS:[EBP+40C09A]
0037D627    50              PUSH EAX
0037D628    8B85 55104100   MOV EAX,DWORD PTR SS:[EBP+411055]        ; kernel32.CreateFileA
0037D62E    E9 BF470000     JMP 00381DF2                             ; Run API
……
0012FE84   0037D63C  /CALL to CreateFileA
0012FE88   0012FEA4  |FileName = "xxxxxxxx.exe"                                          ;为了引起公愤而去掉了.
0012FE8C   80000000  |Access = GENERIC_READ
0012FE90   00000003  |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0012FE94   00000000  |pSecurity = NULL
0012FE98   00000003  |Mode = OPEN_EXISTING
0012FE9C   00000080  |Attributes = NORMAL
0012FEA0   00000000  /hTemplateFile = NULL
……
0037D63C    8BD8            MOV EBX,EAX                              ; hFile=40 to ebx
0037D63E    81C4 00010000   ADD ESP,100
0037D644    6A 00           PUSH 0
0037D646    53              PUSH EBX                                 ; push hfile
……
0037D667    8B85 CF104100   MOV EAX,DWORD PTR SS:[EBP+4110CF]        ; kernel32.GetFileSize
0037D66D    90              NOP                                      ; 获取文件大小
0037D66E    90              NOP
0037D66F    90              NOP
0037D670    90              NOP
0037D671    90              NOP
0037D672    90              NOP
0037D673    E9 7A470000     JMP 00381DF2                             ; Run API
……
0012FF98   0037D679  /CALL to GetFileSize
0012FF9C   00000040  |hFile = 00000040 (window)
0012FFA0   00000000  /pFileSizeHigh = NULL
……
0037D678    90              NOP
0037D679    8985 160F4100   MOV DWORD PTR SS:[EBP+410F16],EAX        ; 文件大小入[3824B8]处
0037D67F    6A 00           PUSH 0
0037D681    FFB5 160F4100   PUSH DWORD PTR SS:[EBP+410F16]           ; 文件大小入栈
0037D687    6A 00           PUSH 0
0037D689    6A 02           PUSH 2
0037D68B    6A 00           PUSH 0
0037D68D    53              PUSH EBX                                 ; push hFile
0037D6AE    8B85 62104100   MOV EAX,DWORD PTR SS:[EBP+411062]        ; kernel32.CreateFileMappingA
0037D6B4    90              NOP
0037D6B5    90              NOP
0037D6B6    90              NOP
0037D6B7    90              NOP
0037D6B8    90              NOP
0037D6B9    90              NOP
0037D6BA    E9 33470000     JMP 00381DF2                             ; 把文件影射到内存中
0037D6BF    90              NOP
0037D6C0    8985 1A0F4100   MOV DWORD PTR SS:[EBP+410F1A],EAX        ; hMap==44
0037D6C6    6A 00           PUSH 0
0037D6C8    6A 00           PUSH 0
0037D6CA    6A 00           PUSH 0
0037D6CC    6A 04           PUSH 4
0037D6CE    FFB5 1A0F4100   PUSH DWORD PTR SS:[EBP+410F1A]           ; push hmap
0037D6D4    8D85 4CC14000   LEA EAX,DWORD PTR SS:[EBP+40C14C]
0037D6DA    50              PUSH EAX
0037D6DB    8B85 6E114100   MOV EAX,DWORD PTR SS:[EBP+41116E]        ; kernel32.MapViewOfFile
……
0012FF8C   0037D6EE  /CALL to MapViewOfFile
0012FF90   00000044  |hMapObject = 00000044 (window)
0012FF94   00000004  |AccessMode = FILE_MAP_READ
0012FF98   00000000  |OffsetHigh = 0
0012FF9C   00000000  |OffsetLow = 0
0012FFA0   00000000  /MapSize = 0
……
0037D6EE    8985 1E0F4100   MOV DWORD PTR SS:[EBP+410F1E],EAX        ; pMap==AF0000
0037D6F4    53              PUSH EBX                                 ; push hfile
0037D6F5    8B40 3C         MOV EAX,DWORD PTR DS:[EAX+3C]            ; 定位PE部分 e_lfanew
0037D6F8    8B8D 160F4100   MOV ECX,DWORD PTR SS:[EBP+410F16]        ; 文件大小入ecx
0037D6FE    2BC8            SUB ECX,EAX
0037D700    8BB5 1E0F4100   MOV ESI,DWORD PTR SS:[EBP+410F1E]
0037D706    03F0            ADD ESI,EAX                              ; 把RVA转换成VA
0037D708    E8 CD360000     CALL 00380DDA                            ; 计算CRC 的值
0037D70D    5B              POP EBX
0037D70E    3385 260F4100   XOR EAX,DWORD PTR SS:[EBP+410F26]
0037D714    C1C8 03         ROR EAX,3
0037D717    8BF0            MOV ESI,EAX                              ; CRC值为6D478F72
0037D719    8B85 1E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F1E]
……
0037D86E    0340 3C         ADD EAX,DWORD PTR DS:[EAX+3C]            ; 把CRC值保存在PE头减4的位置:-)
0037D871    8B78 FC         MOV EDI,DWORD PTR DS:[EAX-4]             ; 文件原来计算好的CRC值(6D478F72)
0037D874    FFB5 1E0F4100   PUSH DWORD PTR SS:[EBP+410F1E]
……
0037D897    90              NOP
0037D898    90              NOP
0037D899    90              NOP
0037D89A    8B85 D8114100   MOV EAX,DWORD PTR SS:[EBP+4111D8]        ; kernel32.UnmapViewOfFile
0037D8A0    90              NOP                                      ; 取完CRC的值后,关闭对象
……
0037D8AB    90              NOP
0037D8AC    FFB5 1A0F4100   PUSH DWORD PTR SS:[EBP+410F1A]           ; push hmap
0037D8B2    90              NOP
…….
0037D8D1    90              NOP
0037D8D2    8B85 48104100   MOV EAX,DWORD PTR SS:[EBP+411048]        ; kernel32.CloseHandle
0037D8D8    90              NOP
……
0012FF9C   0037D917  /CALL to CloseHandle
0012FFA0   00000040  /hObject = 00000040 (window)                     ;hFile
……
0037D916    90              NOP
0037D917    8B85 4A0F4100   MOV EAX,DWORD PTR SS:[EBP+410F4A]        ; 判断是否要进行CRC检测
……
0037DA6C    83F8 01         CMP EAX,1
0037DA6F    75 08           JNZ SHORT 0037DA79                       ; 不要进行CRC检测就跳
0037DA71    3BF7            CMP ESI,EDI
0037DA73    0F85 DB560000   JNZ 00383154                             ; 如果两个CRC相等就不跳,不等就完了
0037DA79    80BD C0164100 0>CMP BYTE PTR SS:[EBP+4116C0],0           ;里面的值为DF,判断是否对CALL和JMP处理过???
0037DA80    75 05           JNZ SHORT 0037DA87                                         ;因为我们这里程序是处理过的,所以这里会跳,跳完后还是到下一步(jmp 0037E2B8)
0037DA82    E9 31080000     JMP 0037E2B8
……
0037DA87    8BB5 41174100   MOV ESI,DWORD PTR SS:[EBP+411741]        ; 准备从401000处开始搜索有没有0E9或是0E8
0037DA8D    03B5 120F4100   ADD ESI,DWORD PTR SS:[EBP+410F12]        ; TO VA  401000
0037DBE2    8B8D 45174100   MOV ECX,DWORD PTR SS:[EBP+411745]        ; mov ecx,10b0
0037DD37    83E9 05         SUB ECX,5                                ; 10b0-5
0037DD3A    E9 6D050000     JMP 0037E2AC
0037DD3F    66:8B06         MOV AX,WORD PTR DS:[ESI]                 ; 每次取两个第一次比较是不是0E8如果不是则跳
0037DD42    3C E8           CMP AL,0E8
0037DD44    0F85 C0010000   JNZ 0037DF0A                             ; 不等就跳
0037DD4A    8B46 01         MOV EAX,DWORD PTR DS:[ESI+1]             ; 同样判断是不是E8,如果则取其后四位,然后判断其后一们是否为DF如果是则进行处理
0037DD4D    C1C0 08         ROL EAX,8
0037DD50    3A85 C0164100   CMP AL,BYTE PTR SS:[EBP+4116C0]
0037DD56    0F85 A3010000   JNZ 0037DEFF                             ; 如果不符合条件则跳
0037DD5C    6A 00           PUSH 0
0037DD75    68 C5C18E05     PUSH 58EC1C5
0037DEF6    2B85 120F4100   SUB EAX,DWORD PTR SS:[EBP+410F12]        ; 0E8和E9的处理情况一样,先shr 8然后减去基址
0037DEFC    2946 01         SUB DWORD PTR DS:[ESI+1],EAX
0037DEFF    83C6 04         ADD ESI,4
0037DF02    83E9 04         SUB ECX,4
0037DF05    E9 A0030000     JMP 0037E2AA
0037DF0A    3C E9           CMP AL,0E9                               ; 跳下来比较是不是0E9,如果不是则再跳
0037DF0C    0F85 C0010000   JNZ 0037E0D2
0037DF12    8B46 01         MOV EAX,DWORD PTR DS:[ESI+1]             ; 如果找到则把E9后面的四位移到EAX中
0037DF15    C1C0 08         ROL EAX,8
0037DF18    3A85 C0164100   CMP AL,BYTE PTR SS:[EBP+4116C0]          ; 这里比较E9后的第一位是不是为DF
0037DF1E    0F85 A3010000   JNZ 0037E0C7                             ; 如果不是则跳
0037DF24    6A 00           PUSH 0
0037DF53    68 C5C18E05     PUSH 58EC1C5
0037E0BE    2B85 120F410>SUB EAX,DWORD PTR SS:[EBP+410F12]        ; 把取出的值取反后减去imgbase
0037E0C4    2946 01      SUB DWORD PTR DS:[ESI+1],EAX             ; 然后把计算后的值填回去
0037E0C7    83C6 04      ADD ESI,4                                ; 因为上面已经处理过,所以是加4
0037E0CA    83E9 04      SUB ECX,4
0037E0CD    E9 D8010000  JMP 0037E2AA
0037E0D2    3C 0F        CMP AL,0F                                ; 比较低位是不是0f,不是则跳
0037E0D4    0F85 D001000>JNZ 0037E2AA
0037E0DA    80FC 7F      CMP AH,7F                                ; 比较高位是不是7F,
0037E0DD    0F86 C701000>JBE 0037E2AA
0037E0E3    80FC 90      CMP AH,90
0037E0E6   /0F83 BE01000>JNB 0037E2AA
0037E0EC   |8B46 02      MOV EAX,DWORD PTR DS:[ESI+2]             ; 判断是不是远程条件判断0f84之类的,如果是则处理
0037E0EF   |C1C0 08      ROL EAX,8
0037E0F2   |3A85 C016410>CMP AL,BYTE PTR SS:[EBP+4116C0]          ; 同样这里再次判断是不是DF
0037E0F8   |0F85 A601000>JNZ 0037E2A4
…..
0037E2AB    49           DEC ECX
0037E2AC    81F9 0000008>CMP ECX,80000000                         ; 这里我不明白cmp cex,0不行吗/???
0037E2B2  ^ 0F82 87FAFFF>JB 0037DD3F
处理完,到这里了
0037E40E    8B85 4A114100   MOV EAX,DWORD PTR SS:[EBP+41114A]        ; kernel32.GetVersion
0037E414    E9 D9390000     JMP 00381DF2
……
0037E423    8985 15144100   MOV DWORD PTR SS:[EBP+411415],EAX        ; MOV 3829B7,A280105
……
0037E449    8B85 DC104100   MOV EAX,DWORD PTR SS:[EBP+4110DC]        ; kernel32.GetCurrentProcess
0037E44F    90              NOP
……
0037E5AA    8985 1D144100   MOV DWORD PTR SS:[EBP+41141D],EAX        ; ProcID(-1) to 3829BF
……
0037E5D0    8B85 EF104100   MOV EAX,DWORD PTR SS:[EBP+4110EF]        ; kernel32.GetCurrentProcessId
0037E5D6    90              NOP
……
0037E5E2    8985 21144100   MOV DWORD PTR SS:[EBP+411421],EAX        ; Current Process ID (BE0)
EAX=00000BE0
SS:[003829C3]=00000000
……
0037E73E    8B85 BE104100   MOV EAX,DWORD PTR SS:[EBP+4110BE]        ; kernel32.GetCommandLineA
0037E744    E9 A9360000     JMP 00381DF2
……
0037E755    8985 25144100   MOV DWORD PTR SS:[EBP+411425],EAX        ; 获取的命令行入[3829C7]
0037E75B    6A 00           PUSH 0
……
EAX=00141EE0
SS:[003829C7]=00000000
……
0037E77D    8B85 16114100   MOV EAX,DWORD PTR SS:[EBP+411116]        ; kernel32.GetModuleHandleA
0037E783    90              NOP
……
0012FF9C   0037E78F  /CALL to GetModuleHandleA
0012FFA0   00000000  /pModule = NULL
……
0037E8DE    8985 19144100   MOV DWORD PTR SS:[EBP+411419],EAX        ; hmodule(400000)
EAX=00400000 (xxx.00400000), ASCII "MZP"
SS:[003829BB]=00000000
……
0037EA8F    8B85 62104100   MOV EAX,DWORD PTR SS:[EBP+411062]        ; kernel32.CreateFileMappingA
0037EA95    90              NOP
0012FF88   0037EAA1  /CALL to CreateFileMappingA
0012FF8C   FFFFFFFF  |hFile = FFFFFFFF
0012FF90   00000000  |pSecurity = NULL
0012FF94   00000004  |Protection = PAGE_READWRITE
0012FF98   00000000  |MaximumSizeHigh = 0
0012FF9C   00000100  |MaximumSizeLow = 100
0012FFA0   00382B00  /MapName = "ShellTmpMap"
……
0037EAA1    83F8 00         CMP EAX,0                                ; 如果获取失败则跳
0037EAA4    0F84 AA460000   JE 00383154
0037EAAA    8985 C1164100   MOV DWORD PTR SS:[EBP+4116C1],EAX        ; hMap=40
EAX=00000040
SS:[00382C63]=00000000
……
0037EADC    8B85 6E114100   MOV EAX,DWORD PTR SS:[EBP+41116E]        ; kernel32.MapViewOfFile
0037EAE2    90              NOP
……
0037EAE8   /E9 05330000     JMP 00381DF2
0037EAED   |90              NOP
0037EAEE   |8985 D1164100   MOV DWORD PTR SS:[EBP+4116D1],EAX        ; pMapping=AF0000
……
0037EB03    8B85 15144100   MOV EAX,DWORD PTR SS:[EBP+411415]
0037EB09    3D 00000080     CMP EAX,80000000
0037EB0E    73 19           JNB SHORT 0037EB29                       ; 判断系统是Win9x还是winnt,我们这里是Windows xp所以不会跳
0037EB10    64:FF35 3000000>PUSH DWORD PTR FS:[30]                   ; 这里和IsDebuggerPresent的效果一样,检测RING 3级调试器
0037EB17    58              POP EAX
0037EB18    0FB658 02       MOVZX EBX,BYTE PTR DS:[EAX+2]            ; 我们自己也可以这样写d fs:[30]+2
0037EB1C    0ADB            OR BL,BL
0037EB1E    0F85 30460000   JNZ 00383154                             ; 如果发现了调试器跳去OVER处
0037EB24    E9 77010000     JMP 0037ECA0                             ; 跳去NT部分
……
0037ECA0    8BB5 3A0F4100   MOV ESI,DWORD PTR SS:[EBP+410F3A]
0037ECA6    0BF6            OR ESI,ESI
0037ECA8    0F84 EA020000   JE 0037EF98                              ; 这里跳下去
……
0037EF98    8CC9            MOV CX,CS
0037EF9A    32C9            XOR CL,CL
0037EF9C    0BC9            OR ECX,ECX
0037EF9E    0F84 7F010000   JE 0037F123                              ; 这里跳的话就去了int1异常了
……
0037F136    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0037F13D    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0037F144    33C0            XOR EAX,EAX
0037F146    CD 01           INT 1                                    ; int 1异常
0037F148    40              INC EAX
0037F149    40              INC EAX
0037F14A    0BC0            OR EAX,EAX
0037F14C    64:8F05 0000000>POP DWORD PTR FS:[0]
0037F153    58              POP EAX
0037F154    0F84 FA3F0000   JE 00383154
……
0037F2E3    8B85 6E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F6E]        ; 判断有没有hook jmp
0037F2E9    0BC0            OR EAX,EAX
0037F2EB    0F84 2A040000   JE 0037F71B                              ; 如果没有则跳
……
0037F2F6    8DB5 991B4000   LEA ESI,DWORD PTR SS:[EBP+401B99]
Address=0037313B
ESI=00000000
……
0037F44B    03F0            ADD ESI,EAX
EAX=00012BFA
ESI=0037313B
……
0037F44B    03F0            ADD ESI,EAX
0037F44D    68 DBF0C5C8     PUSH C8C5F0DB
0037F452    8B1E            MOV EBX,DWORD PTR DS:[ESI]               ; 用来运算的值??[385D35]=94A1C
0037F454    68 6B39764F     PUSH 4F76396B
0037F459    039D 120F4100   ADD EBX,DWORD PTR SS:[EBP+410F12]        ; 把hook表的项目转换成VA(494a1c)
0037F45F    68 D936FBC8     PUSH C8FB36D9
……
0012FF94    31C9            XOR ECX,ECX                              ; 把那个让代码放到ESP中的人给B了^_^
0012FF96    890E            MOV DWORD PTR DS:[ESI],ECX               ; 清除存放表中的数据
0012FF98    83C6 04         ADD ESI,4                                ; 取esi+4的地址到[EBX]中
0012FF9B    8933            MOV DWORD PTR DS:[EBX],ESI               ; 把第一层的地址放到目标程序中
0012FF9D    0FB70E          MOVZX ECX,WORD PTR DS:[ESI]              ; 取地ESI所在在地址的第一位入ecx
0012FFA0    46              INC ESI
0012FFA1    46              INC ESI
0012FFA2    C3              RETN
;----------------------------------------------------------------------------
;这里也就是把壳已经抽空的JMP TABEL填上加密的地址
;----------------------------------------------------------------------------
0037F70B    2956 02         SUB DWORD PTR DS:[ESI+2],EDX             ; 对MAINFORM的重定位进行处理
0037F70E    015E 02         ADD DWORD PTR DS:[ESI+2],EBX
0037F711    0FB706          MOVZX EAX,WORD PTR DS:[ESI]
0037F714    03F0            ADD ESI,EAX
0037F716    49              DEC ECX
0037F717    0BC9            OR ECX,ECX
0037F719  ^ 75 F0           JNZ SHORT 0037F70B
……
 
0037F5AE    8B9D 120F4100   MOV EBX,DWORD PTR SS:[EBP+410F12]        ; imgbase入ebx
……
0037F71B    6A 04           PUSH 4                                   ; 准备分配空间,因为iat 是已经加密的,所以会到这里
0037F71D    68 00100000     PUSH 1000
0037F722    68 00100000     PUSH 1000
0037F727    6A 00           PUSH 0
0037F748    90              NOP
0037F749    8B85 0E0F4100   MOV EAX,DWORD PTR SS:[EBP+410F0E]        ; kernel32.VirtualAlloc
0037F74F    90              NOP
……
0012FF84   0037F75B  /CALL to VirtualAlloc
0012FF88   00000000  |Address = NULL
0012FF8C   00001000  |Size = 1000 (4096.)
0012FF90   00001000  |AllocationType = MEM_COMMIT
0012FF94   00000004  /Protect = PAGE_READWRITE
……
0037F75B    8985 860F4100   MOV DWORD PTR SS:[EBP+410F86],EAX        ; 分配好的空间b00000入到[00382528]处
0037F761    8185 860F4100 0>ADD DWORD PTR SS:[EBP+410F86],1000
0037F76B    64:FF35 3000000>PUSH DWORD PTR FS:[30]                   ; 不知道什么用的:-(.
0037F8C2    85C0            TEST EAX,EAX
0037F8C4    78 12           JS SHORT 0037F8D8
0037F8C6    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+C]
0037F8C9    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+C]
0037F8CC    C740 20 0010000>MOV DWORD PTR DS:[EAX+20],1000                ;抗DUMP用的,改成1000,如果不用纠正大小的话就会提示大小为1000
0037F8D3   /E9 AF010000     JMP 0037FA87                             ; 跳去VirtualProtect
0037F8D8    6A 00           PUSH 0
0037F8E3    8D85 6AE34000   LEA EAX,DWORD PTR SS:[EBP+40E36A]
0037F8ED    50              PUSH EAX
0037F8FA    8B85 060F4100   MOV EAX,DWORD PTR SS:[EBP+410F06]        ; kernel32.GetModuleHandleA
0037F906   /E9 E7240000     JMP 00381DF2
0037F90B   |90              NOP
0037F90C   |85D2            TEST EDX,EDX
0037F90E   |0F89 73010000   JNS 0037FA87
0037F914   |837A 08 FF      CMP DWORD PTR DS:[EDX+8],-1
0037F918   |0F85 69010000   JNZ 0037FA87
0037F91E   |8B52 04         MOV EDX,DWORD PTR DS:[EDX+4]
0037F921   |C742 50 0010000>MOV DWORD PTR DS:[EDX+50],1000         ;ANTI dump
0037F928   |64:FF35 2000000>PUSH DWORD PTR FS:[20]
0037F92F   |58              POP EAX
 
……
0037FAB8    8B85 06124100   MOV EAX,DWORD PTR SS:[EBP+411206]        ; kernel32.VirtualProtect
0037FABE    90              NOP
……
0012FF80   0037FACA  /CALL to VirtualProtect
0012FF84   00400000  |Address = xxx.00400000
0012FF88   00001000  |Size = 1000 (4096.)
0012FF8C   00000004  |NewProtect = PAGE_READWRITE
0012FF90   0012FF94  /pOldProtect = 0012FF94
……
0037FACA    83C4 04         ADD ESP,4
0037FACD    0BC0            OR EAX,EAX
0037FACF    0F84 5E010000   JE 0037FC33                              ; 判断操作有没有成功,没有成功则跳
0037FAD5    8B95 120F4100   MOV EDX,DWORD PTR SS:[EBP+410F12]        ; mov EDX,400000
0037FADB    0352 3C         ADD EDX,DWORD PTR DS:[EDX+3C]            ; 定位pe部分
0037FADE    8B42 30         MOV EAX,DWORD PTR DS:[EDX+30]            ; BaseOfData(97000)入eax
 
……
0037FC2F    90              NOP
0037FC30    8942 2C         MOV DWORD PTR DS:[EDX+2C],EAX            ; BASEOFDATA放到40012c处
0037FC33    8DB5 94144100   LEA ESI,DWORD PTR SS:[EBP+411494]
0037FC39    8BFE            MOV EDI,ESI
0037FC3B    B9 4F000000     MOV ECX,4F
0037FC40    EB 05           JMP SHORT 0037FC47
0037FC42    AC              LODS BYTE PTR DS:[ESI]                   ; 这里还原出秘密消息:-)
0037FC43    2C 80           SUB AL,80
0037FC45    AA              STOS BYTE PTR ES:[EDI]
0037FC46    49              DEC ECX
0037FC47    0BC9            OR ECX,ECX
0037FC49  ^ 75 F7           JNZ SHORT 0037FC42
0037FC58   /EB 05           JMP SHORT 0037FC5F
0037FC5A   |AC              LODS BYTE PTR DS:[ESI]                   ; 显示完之后再擦除掉
0037FC5B   |04 80           ADD AL,80
0037FC5D   |AA              STOS BYTE PTR ES:[EDI]
0037FC5E   |49              DEC ECX
0037FC5F   /0BC9            OR ECX,ECX
0037FC61  ^ 75 F7           JNZ SHORT 0037FC5A
0037FC63    8B85 520F4100   MOV EAX,DWORD PTR SS:[EBP+410F52]
0037FC69    83F8 01         CMP EAX,1
0037FC6C    75 45           JNZ SHORT 0037FCB3                       ; 这里不是知道是什么标志来的,下面,下面只是一个SetTimer而已
0037FC6E    8D85 700D4100   LEA EAX,DWORD PTR SS:[EBP+410D70]
0037FC74    50              PUSH EAX                                 ; 382312
0037FC75    68 D0070000     PUSH 7D0
0037FC7A    68 14030000     PUSH 314
0037FC7F    6A 00           PUSH 0
0037FCA1    8B85 26104100   MOV EAX,DWORD PTR SS:[EBP+411026]        ; USER32.SetTimer
……
0012FF90   0037FCB3  /CALL to SetTimer
0012FF94   00000000  |hWnd = NULL
0012FF98   00000314  |TimerID = 314 (788.)
0012FF9C   000007D0  |Timeout = 2000. ms
0012FFA0   00382312  /Timerproc = 00382312
……
0037FCB3    83BD 720F4100 0>CMP DWORD PTR SS:[EBP+410F72],0          ; 这里又是什么值来的哦???
0037FCBA    74 2F           JE SHORT 0037FCEB
0037FCBC    8B8D 120F4100   MOV ECX,DWORD PTR SS:[EBP+410F12]        ; mov ecx,400000
0037FCC2    2B8D 360F4100   SUB ECX,DWORD PTR SS:[EBP+410F36]
0037FCC8    8DBD 991B4000   LEA EDI,DWORD PTR SS:[EBP+401B99]
0037FCCE    03BD 720F4100   ADD EDI,DWORD PTR SS:[EBP+410F72]         ; 这里相加后的值就是壳执行程序代码的开始地址,我的这个为00385E69
0037FCD4    8DB5 991B4000   LEA ESI,DWORD PTR SS:[EBP+401B99]
0037FCDA    03B5 760F4100   ADD ESI,DWORD PTR SS:[EBP+410F76]
0037FCE0    AD              LODS DWORD PTR DS:[ESI]
0037FCE1    EB 04           JMP SHORT 0037FCE7
0037FCE3    010C38          ADD DWORD PTR DS:[EAX+EDI],ECX
0037FCE6    AD              LODS DWORD PTR DS:[ESI]
0037FCE7    0BC0            OR EAX,EAX
0037FCE9  ^ 75 F8           JNZ SHORT 0037FCE3
0037FCEB    8B85 720F4100   MOV EAX,DWORD PTR SS:[EBP+410F72]
……
0037FCEB    8B85 720F4100   MOV EAX,DWORD PTR SS:[EBP+410F72]
0037FE40    0385 120F4100   ADD EAX,DWORD PTR SS:[EBP+410F12]        ; 换成VA 412d2e
0037FF95    894424 EC       MOV DWORD PTR SS:[ESP-14],EAX            ; xxx.00412D2E
0037FFC6    896C24 E8       MOV DWORD PTR SS:[ESP-18],EBP
0037FFF7    83A5 560F4100 0>AND DWORD PTR SS:[EBP+410F56],0
00380015    33C0            XOR EAX,EAX                              ; xxx.00412D2E
00380044    8DB5 991B4000   LEA ESI,DWORD PTR SS:[EBP+401B99]
00380061    B9 65F30000     MOV ECX,0F365
00380093    C1E9 02         SHR ECX,2
00380096    EB 08           JMP SHORT 003800A0
00380098    AD              LODS DWORD PTR DS:[ESI]
00380099    3185 560F4100   XOR DWORD PTR SS:[EBP+410F56],EAX        ; 计算最后的CR KEY=D3A1E72D
 
0038009F    49              DEC ECX
003800A0    0BC9            OR ECX,ECX
003800A2  ^ 75 F4           JNZ SHORT 00380098                       ;如果没有计算完则继续
003800D7    E8 48000000     CALL 00380124                            ; 这里进去一个int 3异常
003800DC    8B4C24 0C       MOV ECX,DWORD PTR SS:[ESP+C]
003800E0    FF81 B8000000   INC DWORD PTR DS:[ECX+B8]
003800E6    33C0            XOR EAX,EAX
003800E8    3341 04         XOR EAX,DWORD PTR DS:[ECX+4]
003800EB    0341 08         ADD EAX,DWORD PTR DS:[ECX+8]
003800EE    3341 0C         XOR EAX,DWORD PTR DS:[ECX+C]
003800F1    0341 10         ADD EAX,DWORD PTR DS:[ECX+10]
003800F4    0181 B0000000   ADD DWORD PTR DS:[ECX+B0],EAX
003800FA    60              PUSHAD
003800FB    8D71 04         LEA ESI,DWORD PTR DS:[ECX+4]
003800FE    8BA9 B4000000   MOV EBP,DWORD PTR DS:[ECX+B4]
00380104    8DBD 6D184100   LEA EDI,DWORD PTR SS:[EBP+41186D]
0038010A    81C7 08010000   ADD EDI,108
00380110    B9 06000000     MOV ECX,6
00380115    83BD 220F4100 0>CMP DWORD PTR SS:[EBP+410F22],0
0038011C    75 02           JNZ SHORT 00380120
0038011E    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00380120    61              POPAD
00380121    33C0            XOR EAX,EAX
00380123    C3              RETN
00380124    33C9            XOR ECX,ECX
00380126    64:FF31         PUSH DWORD PTR FS:[ECX]
00380129    64:8921         MOV DWORD PTR FS:[ECX],ESP
0038012C    CC              INT3
0038012D    90              NOP
0038012E    64:8F01         POP DWORD PTR FS:[ECX]
00380131    83C4 04         ADD ESP,4
00380134    8985 560F4100   MOV DWORD PTR SS:[EBP+410F56],EAX
0038013A    8B85 220F4100   MOV EAX,DWORD PTR SS:[EBP+410F22]
0038028F    0BC0            OR EAX,EAX
00380291    0F85 57040000   JNZ 003806EE
……
00380558    8DBD 8FF44000   LEA EDI,DWORD PTR SS:[EBP+40F48F]     
0038055E    B9 00000000     MOV ECX,0
00380563    AD              LODS DWORD PTR DS:[ESI]
00380564   /E9 71010000     JMP 003806DA
003806DA    0BC0            OR EAX,EAX
003806DC  ^ 0F85 87FEFFFF   JNZ 00380569                             ; 没处理完则继续
……
00380569    03C1            ADD EAX,ECX
0038056B    68 033C0101     PUSH 1013C03
00380570    8946 FC         MOV DWORD PTR DS:[ESI-4],EAX
00380573    68 2CBF3C57     PUSH 573CBF2C
00380578    25 FFFFFF7F     AND EAX,7FFFFFFF                         ; 去掉前面的80xxxx
0038057D    68 62A73AA1     PUSH A13AA762
00380582    8BC8            MOV ECX,EAX
00380584    68 6204EF04     PUSH 4EF0462
00380589    0385 120F4100   ADD EAX,DWORD PTR SS:[EBP+410F12]        ; 转换为VA401256
0038058F    52              PUSH EDX                                 ; xxx.00400100
现在又进堆栈里执行代码:
0012FF94    89FB            MOV EBX,EDI                              ; 把那个让代码放到ESP中的人给B了^_^
0012FF96    29C3            SUB EBX,EAX                              ; 清除存放表中的数据
0012FF98    8958 FC         MOV DWORD PTR DS:[EAX-4],EBX             ; 取esi+4的地址到[EBX]中
0012FF9B    66:C740 FA 90E8 MOV WORD PTR DS:[EAX-6],0E890            ; 把第一层的地址放到目标程序中
0012FFA1    C3              RETN
 
0038086A    03B5 120F4100   ADD ESI,DWORD PTR SS:[EBP+410F12]        ; 401000(开始地址)
00380870    8B8D 45174100   MOV ECX,DWORD PTR SS:[EBP+411745]        ; 198c(SIZE)
00380876    E8 5F050000     CALL 00380DDA                            ; 又进行CRC检测
0038087B    8985 2A0F4100   MOV DWORD PTR SS:[EBP+410F2A],EAX        ; 检测的值为2A954338(每次不一定相等)
00380881    8BC5            MOV EAX,EBP                              ; EBP=FFFF715A2
00380883    8DB5 6D184100   LEA ESI,DWORD PTR SS:[EBP+41186D]        ; 382E0F
00380889    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
0038088C    0146 08         ADD DWORD PTR DS:[ESI+8],EAX
0038088F    83C6 20         ADD ESI,20
00380892    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
00380895    83C6 20         ADD ESI,20
00380898    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
0038089B    0146 08         ADD DWORD PTR DS:[ESI+8],EAX
0038089E    83C6 20         ADD ESI,20
003808A1    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
003808A4    83C6 20         ADD ESI,20
003808A7    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
003808AA    83C6 20         ADD ESI,20
003808AD    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
003808B0    83C6 20         ADD ESI,20
003808B3    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
003808B6    83C6 20         ADD ESI,20
003808B9    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
003808BC    8DB5 69184100   LEA ESI,DWORD PTR SS:[EBP+411869]
003808C2    0106            ADD DWORD PTR DS:[ESI],EAX
003808C4    8D85 8D194100   LEA EAX,DWORD PTR SS:[EBP+41198D]
……
00380A1A    64:FF35 0000000>PUSH DWORD PTR FS:[0]                    ; 又来int3异常了
00380A21    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00380A28    33C0            XOR EAX,EAX
00380A2A    8B00            MOV EAX,DWORD PTR DS:[EAX]
00380A2C    90              NOP
00380A2D    90              NOP
00380A2E    CC              INT3
到了这里后,还有几个异常,不过感觉没什么有价值的东西,再则,可能这段时间又要忙了,所以先写个上篇,有空再写下篇。现在我们可以直接在抽代码处下段就行了。
OEP代码的找回和文件的修复,如果有时间就尽快写,没时间我也没有办法了:-(.
在最后,我要特别感谢xxx(名字就不说了),如果没有他写的那篇文章的话,我的可能就没有信心跟这个壳,还有就是在壳的很多部分不懂的东西,也是从他那里学到的,真心感谢!!!
 
上篇完
 
Greetz:
 
Fly,Jingulong,yock,tDasm,David,ahao,vcasm,UFO(brother),alan(sister),heXpe,hexer, all of my friends and you!
 
                            By loveboom[DFCG][FCG]
                            Email:bmd2chen#tom.com
 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值