SCENE RESEARCH STATION | |
with my everyday thinking-and-doctrine |
/(top) | /about | /antenna | /map | /modp | /dispe | /bbs |
; subroutine ---------------------------------
; using F0040aa5c() F00401340()
; referrer F00401570()
F00402a80: call near F00401340
mov cl,[L0041b120]
test cl,cl
jz C00402ac7
; if {
test eax,eax
jl C00402ab6
; if {
push eax
mov eax,[L0041afa8]
push dword S00415e10
push eax
C00402a9f: call near F0040aa5c
mov ecx,dword [L0041afa8]
add esp,byte +00ch
add ecx,eax
mov dword [L0041afa8],ecx
ret
; }
C00402ab6: mov ecx,dword [L0041afa8]
neg eax
push eax
push dword S00415e00
push ecx
jmp short C00402a9f
; }
C00402ac7: test eax,eax
jl C00402ada
; if {
mov edx,dword [L0041afa4]
push eax
push dword S00415e10
push edx
jmp short C00402ae8
; }
; else {
C00402ada: neg eax
push eax
mov eax,[L0041afa4]
push dword S00415e00
push eax
; }
C00402ae8: call near F0040aa5c
mov ecx,dword [L0041afa4]
add esp,byte +00ch
add ecx,eax
mov dword [L0041afa4],ecx
ret
align 16,nop
dispe.exeをdispeによって逆アセンブルしたdispe.exe.asm結果の一部. >dispe c:/winnt/explorer.exe
>dispe -p1024
-p[PID] | 実行中のプロセスIDを指定することにより,そのプロセスをダンプします. ファイル名の代わりに指定してください. |
-P[PNAME] | 実行中のプロセス名を指定することにより,そのプロセスをダンプします. ファイル名の代わりに指定してください. |
-i | メモリに展開されたPEイメージを指定します. |
-e | 16進ダンプを無効にします. nasmで再アセンブルしたい時に指定してください. |
-E | エントリーポイントから到達可能な部分は全てコードとして解釈します. コード領域のはずが,データ領域として認識される場合に指定してください. |
-d | 圧縮/暗号化されたコードを発見したら,自己展開します. |
-j | ジャンプ・ネスト解析を無効にします |
--memdump | メモリイメージをダンプします. |
--debug | 解析した後,dispeのデバッグ用モードに入ります. |