汇编xoredi

㈠ 汇编语言程序设计的问题

1.如下：
.386
.modelflat,stdcall
optioncasemap:none

.data
xdb?
ydb?
zdb?
.code
start:
xoreax,eax
inceax
movz,al
movesi,x
movedi,y
cmpesi,edi
jaext
decal
cmpesi,edi
jeext
decal
ext:
nop
endstart

2.如下：
.386
.modelflat,stdcall
optioncasemap:none

.data
DATAdb100DUP(?)
MAXdb0
.code
start:
xoreax,eax
xoresi,esi
movecx,100
L1:
cmpeax,[DATA+esi]
jaeL2
moveax,[DATA]
L2:
loopL1
movMAX,eax
endstart

㈡ 一个简单的汇编语言编程

用16位汇编忒麻烦，用masm8.0写了个，玩一下：

.386
.model flat, stdcall
option casemap :none

includelib kernel32.lib
includelib msvcrt.lib

printf proto C :VARARG
putchar proto C :DWORD
system proto C :DWORD
ExitProcess proto :DWORD

CTXT MACRO quoted_text:VARARG
LOCAL local_text
.data
local_text db quoted_text, 0
align 4
.code
EXITM <local_text>
ENDM

SADD MACRO quoted_text:VARARG
EXITM <addr CTXT(quoted_text)>
ENDM

; matrix的维度
M equ 10
N equ 10
P equ 10

.data
; ------------------------
; matrix1 M * N
; ------------------------
mx1 dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1

; ------------------------
; matrix2 N * P
; ------------------------
mx2 dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1
dd 1,1,1,1,1,1,1,1,1,1

; ------------------------
; matrix3 M * P
; ------------------------
mx3 dd M*P p(0)

.code
start:
xor eax, eax
lp1:
jmp ts1
up1:
pop eax
inc eax
ts1:
cmp eax, M
jge over
push eax
lp2:
xor ebx, ebx
jmp ts2
up2:
pop ebx
inc ebx
ts2:
cmp ebx, P
jge jtb_up1
push ebx
lp3:
xor ecx, ecx
jmp ts3
up3:
pop ecx
inc ecx
ts3:
cmp ecx, N
jge jtb_up2
push ecx

mov edx, eax
imul edx, edx, P*4
push edx
mov esi, mx3[edx+ebx*4]

mov edx, eax
imul edx, edx, N*4
mov edi, mx1[edx+ecx*4]

mov edx, ecx
imul edx, edx, P*4
imul edi, mx2[edx+ebx*4]
add esi, edi

pop edx
mov mx3[edx+ebx*4], esi

jmp up3
jtb_up2:
push eax
mov edx, eax
imul edx, edx, P*4
invoke printf, SADD("%2d "), dword ptr mx3[edx+ebx*4]
pop eax

jmp up2
jtb_up1:
invoke putchar, 10

jmp up1
over:
invoke system, SADD("pause")
invoke ExitProcess, 0
end start

现学现卖，用WINDLX写的，简单点了，而且你主要是要观察流水线操作：

.data
mx1: .word 1,2,3,4,5,6
mx2: .word 1,2,3,4,5,6
mx3: .word 0,0,0,0,0,0 ; mx3 = mx1 * mx2

.text
.global main
xor r0, r0, r0
add r1, r0, 0
add r3, r0, 0
loop:
lw r4, mx1(r3)
lw r5, mx2(r3)
multu r6, r4, r5
sw mx3(r3), r6
add r3, r3, 4
add r1, r1, 1
sgeui r2, r1, 6
bnez r2, finish
j loop
finish:
trap 0

㈢ 高手给个汇编RC4代码,

comment *

rc4_setkey proto :DWORD, :DWORD
rc4_crypt proto :DWORD, :DWORD

.data?

rc4keytable db 256 p(?)

.code

rc4_setkey proc ptrInkey:DWORD, ptrInkey_length:DWORD

xor ebx,ebx
@_r1:
mov [rc4keytable+ebx],bl
inc ebx
cmp ebx,256
jnz @_r1

mov esi,ptrInkey
xor eax,eax
xor ebx,ebx
xor ecx,ecx
xor edi,edi
@_r3:
mov al,[rc4keytable+ecx]
add bl,byte ptr [esi+edi]
add bl,al
mov dl,[rc4keytable+ebx]
mov [rc4keytable+ecx],dl
mov [rc4keytable+ebx],al
inc edi
cmp edi,ptrInkey_length
jl @_r2
xor edi,edi
@_r2:
inc ecx
cmp ecx,256
jnz @_r3
ret

rc4_setkey endp

rc4_crypt proc ptrIndata:DWORD, ptrIndata_length:DWORD

xor eax,eax
xor ebx,ebx
xor edi,edi
xor edx,edx
mov esi,ptrIndata
@_r1:
mov cl,[rc4keytable+1+eax]
add dl,cl
mov bl,[rc4keytable+edx]
mov [rc4keytable+edx],cl
add bl,cl
mov bl,[rc4keytable+ebx]
xor [esi+edi],bl
inc eax
inc edi
cmp ptrIndata_length,edi
jnz @_r1
ret

rc4_crypt endp 我也是汇编初学的 上网给你找了个

㈣ 汇编语言ShellCode的问题

保存当前堆栈指针 清空edi 保存以后，可以通过访问ebp+4+4n来访问压入堆栈的第n个参数 这样可以避免过程中因为储存ebx,ecx,edx等等造成的堆栈指针的修改

㈤ 汇编 xor dword ptr [edi], ebp 是什么意思啊

al寄存器的数字减去31，也就是计算a1寄存器中存储的数据与"1"的ASCII之差

㈥ 汇编程序

; 题目名称：输入成绩，分别升序、降序排序
; 题目来源：http://..com/question/132061481.html
; 操作说明：成绩按百分制，输入成绩时，最多3位数，即100分；小于100分的成绩，按回车确认
; 本程序在MASMPlus 1.2集成环境下通过编译，经过调试，运行正确。
Code Segment
Assume CS:Code,DS:Code
CR equ 000DH
LF equ 000AH
KBBack equ 0008H
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：显示指定地址（Str_Addr）的字符串
; 入口：
; Str_Addr＝字符串地址（要求在数据段）
; 用法: Output Str_Addr
; 用法举例：Output PromptStr
Output MACRO Str_Addr
push ax
lea dx,Str_Addr
mov ah,9
int 21h
pop ax
EndM
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：在当前光标位置显示一个字符
; 入口：dl=要显示的字符
Output_Chr proc Near
push ax
mov ah,2
int 21h
pop ax
ret
Output_Chr Endp
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：取光标位置
; 入口：无
; 出口：DH=行号，DL=列号
GetCursor Proc Near
PUSH DS
PUSH AX
PUSH BX
PUSH CX
PUSH DX
PUSH CS
POP DS
XOR BX,BX
MOV AH,3
INT 10H
MOV Cursor_Row,DH
MOV Cursor_Col,DL
POP DX
POP CX
POP BX
POP AX
POP DS
RET
Cursor_Row DB ?
Cursor_Col DB ?
GetCursor EndP
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：置光标位置
; 入口：Cursor_Row=行坐标; Cursor_Col: 列坐标)
SetCursor Proc Near
PUSH DS
PUSH DX
PUSH CX
PUSH BX
PUSH AX
PUSH CS
POP DS
MOV DH,Cursor_Row
MOV DL,Cursor_Col
XOR BX,BX
MOV AH,2
INT 10H
POP AX
POP BX
POP CX
POP DX
POP DS
RET
SetCursor EndP
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：键盘输入一个指定位数(N)的十进制数字，将其转换成二进制数并保存在指定的内存单元。
; 输足N位的，自动结束输入；不足N位的，空格结束输入。
; 由于限定最大数据类型为字，所以，数字位数最多：5，最大无符号数：65536
; 约定：直接回车，视为数字0
; 入口：cs:@@Digits=数字位数；es:di=保存输入的数字首地址
; cs:@@Type_Data=保存的数据类型，B=字节类型，W=字类型。
; 出口：转换后的二进制数保存在di所指的单元
Input_Dec Proc Near
push ds
push dx
push cx
push bx
push di
push cs
pop ds
call GetCursor ;取光标位置
mov dx,WORD PTR Cursor_Row
mov @@Tmp_Cursor,dx ;保存起始光标位置
lea di,@@Save_Tmp
push di
cld
mov cl,@@Digits
xor ch,ch
push cx
@@Input_Dec: call GetCursor ;取光标位置
mov ah,1 ;从键盘接受一个字符
int 21h
cmp al,27 ;Esc?
jz @@Return
cmp al,CR ;若键入的是回车，已经键入的数字不足N位
jz @@ASC_Dec ;转去处理已经键入的数字
cmp al,KBBack
jz @@KB_Back ;若是回空键，重新输入
cmp al,'0'
jb @@KBBack ;若低于数字'0'，重新输入
cmp al,'9'
ja @@KBBack ;若高于数字'9'，重新输入
jmp @@Save_Dig
@@KB_Back: cmp cl,cs:@@Digits ;十进制数字位数
jz @@Input_Dec
inc cx
dec di
dec Cursor_Col
@@KBBack: call SetCursor ;置光标位置
jmp @@Input_Dec
@@Save_Dig: and al,0fh ;转换成二进制数
stosb ;保存
loop @@Input_Dec ;接受下一个数字
@@ASC_Dec: mov ax,cx
pop cx
pop si
sub cx,ax ;实际输入的数字位数
xor bp,bp
xor dx,dx
xor ax,ax
jcxz @@Save_Ret ;若直接回车，没有输入任何数字，按输入'0'处理
dec cx ;实际输入的数字位数减1，准备把输入的这一串数字转换成二进制数
jcxz @@One_Digit ;若输入的数字只有一位，转去直接保存这个二进制数
mov bx,10
@@Mul_Ten: lodsb
xor ah,ah
add ax,bp
mul bx
mov bp,ax
loop @@Mul_Ten
@@One_Digit: lodsb
xor ah,ah
add ax,bp
@@Save_Ret: pop di
cmp @@Type_Data,'B' ;字节类型？
jz $+5
stosw
jmp $+3
stosb
pop bx
pop cx
pop dx
pop ds
clc
ret
@@Return: pop cx
pop di
pop di
pop bx
pop cx
pop dx
pop ds
stc
ret
@@Tmp_Cursor dw ? ;起始光标位置
@@Digits db ? ;十进制数字位数
@@Type_Data db 'B' ;保存的数据类型。B=字节类型，W=字类型
@@Save_Tmp db 7 p(?)
Input_Dec EndP
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
; 功能：把AX中的二进制无符号数转换成显式的十进制ASCII码，并送显示屏显示
; 入口：AX=二进制数
; 出口：在当前光标位置显示转换后的ASCII码数字
Unsi_Dec_ASCII Proc Near
push dx
push bx
push di
mov bx,10
lea di,@@Temp_Save[5]
mov BYTE PTR [di],'$'
dec di
cld
@@Divide: xor dx,dx
div bx
or dl,30h
mov [di],dl
dec di
test ax,ax
jnz @@Divide
inc di
push di
pop dx
mov ah,9
int 21h
pop di
pop bx
pop dx
ret
@@Temp_Save db 6 p(?)
Unsi_Dec_ASCII EndP
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Input_Score proc Near
mov @@Digits,3 ;十进制数字位数
mov @@Type_Data,'B' ;保存的数据类型。B=字节类型，W=字类型
lea di,Buffer ;成绩保存地址
Output Prompt_Str ;提示输入成绩
@@Input_Scores:call Input_Dec ;键盘输入一个指定位数(N)的十进制数字，将其转换成二进制数并保存在指定的内存单元
pushf
inc Cursor_Col
call Setcursor
mov dl,20h
call Output_Chr ;显示一个空格
popf
jnc @@Input_Scores
mov cx,di
sub cx,offset Buffer ;成绩个数
mov Counter,cx ;保存
ret
Input_Score Endp
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Increase_Sort proc Near
mov BYTE ptr @@Compare[5],76h
jmp @@Sorting
Increase_Sort Endp
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Decrease_Sort proc Near
mov BYTE ptr @@Compare[5],73h
@@Sorting: lea si,Buffer
mov cx,Counter ;成绩个数
dec cx ;外循环次数
cld
@@Scanning: push cx ;入栈保存外循环次数
push si ;入栈保存数组地址
@@Compare: mov di,si ;当前数组元素地址赋给目的变址寄存器，以备交换之用
lodsb ;将当前数组元素读入累加器
cmp al,[si] ;当前数组元素与相邻的下一个数组元素相比较
jae @@NextOne ;若大于或等于，不作数据交换，处理下一个数组元素
xchg al,[si] ;若小于，交换数组元素
stosb ;保存数值较小者
@@NextOne: loop @@Compare ;处理下一个数组元素
pop si ;数组地址出栈
pop cx ;外循环次数出栈
loop @@Scanning ;下一趟比较
mov WORD ptr Cursor_Row,12
call SetCursor ;置光标位置
lea si,Buffer
mov cx,Counter ;成绩个数
@@List_Scores: lodsb
xor ah,ah
call Unsi_Dec_ASCII ;把AX中的二进制无符号数转换成显式的十进制ASCII码，并送显示屏显示
mov dl,20h
call Output_Chr ;显示一个空格
loop @@List_Scores
ret
Decrease_Sort Endp
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Prompt_Menu db 35 p(20h),'Main Menu',13,10
db 30 p(20h),201,18 p(205),187,13,10
db 30 p(20h),186,' 1. input scores ',186,13,10
db 30 p(20h),186,' 2. increase sort ',186,13,10
db 30 p(20h),186,' 3. decrease sort ',186,13,10
db 30 p(20h),186,' 0. Return to DOS ',186,13,10
db 30 p(20h),200,18 p(205),188,13,10
db 32 p(20h),'Choice(0-3):$'
Cursor_Tmp dw ?
Counter dw ? ;成绩个数
Proc_Addr dw Input_Score,Increase_Sort,Decrease_Sort
Prompt_Str db 13,10,10,'Please input scores:',13,10,'$'
Press_Key db 7,13,12 p(10),'The complated. Press any key to exit...$'
Start: push cs
pop ds ;使数据段与代码段同段
mov ax,3 ;设置25*80字符显示方式
int 10h
Output Prompt_Menu ;显示主菜单
xor bx,bx
mov ah,3
int 10h
mov Cursor_Tmp,dx
mov ax,0b800h
mov es,ax ;设置字符显示方式缓冲区段地址
mov di,35*2+1
mov al,13 ;LightMagenta
mov cx,10
cld
Attribute: stosb
inc di
loop Attribute
mov di,160*2+32*2+1
stosb
add di,159
stosb
add di,159
stosb
add di,159
stosb
mov di,160*7+39*2+1
stosb
inc di
stosb
inc di
stosb
push cs
pop es ;使附加段与代码段同段
Choice_Func: mov dx,Cursor_Tmp
xor bx,bx
mov ah,2
int 10h
mov ah,1
int 21h
cmp al,'0'
jz Exit_Proc
cmp al,'1'
jb Choice_Func
cmp al,'3'
ja Choice_Func
and ax,0fh
mov bx,ax
dec bx
shl bx,1
call Proc_Addr[bx]
jmp Choice_Func
; －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Exit_Proc: Output Press_Key ;提示操作完成，按任意键结束程序
mov ah,1
int 21h
mov ah,4ch ;结束程序
int 21h
Buffer db ? ;数据缓冲区
Code ENDS
END Start ;编译到此结束

㈦ szBuffer db 'hello world', 0 mov edi, szBuffer xor eax, eax mov ecx, 11 cld rep stosb 三四条的作用

汇编的编译器有masm tasm nasm。你是初学者就用masm吧 ide就不要用了 有是有 像masmplus radmasm都是不错的 但是初学的话也用不到。
下面的代码我编译过了 可以显示hello word!图我就不上了。
data segment
db 'HELLO WORD!'
data ends
assume ds:data,cs:code
code segment
start:mov ax,data
mov ds,ax //置段寄存器ds值
mov ax,0b800H
mov es,ax //置段寄存器es值
mov cx,11 //设置循环次数
xor bx,bx //清bx值
xor di,di //清di值
s1:
mov al,[di]
mov byte ptr es:[bx],al //将hello word!每一位送入显存
add bx,2 //送下一位
inc di
loop s1
mov ax,4c00h
int 21h //将dos控制交还给command
code ends
end start

用masm编译 命令是masm+文件名 编译出obj之后 link+文件名。

㈧ 下面汇编代码是什么意思

push ebp
mov ebp,esp ；
xor edi,edi
push edi ;局部变量
sub esp,04h ；局部变量
mov [ebp-08h],63h //c
mov [ebp-07h],6Dh //m
mov [ebp-06h],64h //d
mov [ebp-05h],2Eh //.
mov [ebp-04h],65h //e
mov [ebp-03h],78h //x
mov [ebp-02h],65h //e 局部变量赋值
push 1 ；压入参数
lea eax,[ebp-08h]
push eax ；压入参数,字符串的首地址
mov edx,0x7c86114d
call edx ；调用winexec
leave //mov esp,ebp pop ebp

很简单，就是调用一个API函数，该函数在0x7c86114d。这个和WINDOWS版本有关，在win sp2上是winexec函数,相当于:
winexec("cmd.exe", 1)

㈨ 汇编语言等价替换法

cmp-sub很多很多MOV EBP,ESP--------AND AH,CH
MOV EBX,DWORD PTR DS:[ESI]---------XOR EBX,DWORD PTR DS:[ESI]
sub ebp,7---------- add ebp,-7
add dword ptr ss:[ebp-130],edx -------- adc dword ptr ss:[ebp-130],edx
jnb short fsg2_0.0040015D-------------- ja short fsg2_0.0040015D
sub ebx,eax----------sbb esi,ecx
call 复件_(4).004CF607 ----------------- push 复件_(4).004CF607
SBB ECX,DWORD PTR DS:[ESI+2]----------ADC ECX,DWORD PTR DS:[ESI+2]
XOR [EAX],AL---------------MOV [EAX],AL
JMP NEAR [1071c]---------------------JMP NEAR [1071B]
JNS ---------------POP ECX
JNS -------------- jnc-jnb
JE--------------jnz
JE--------------JB
CMP DWORD PTR DS:[100170A4],0 -------------sub
MOV [EBP-18],ESP-------------------MOV [EBP-18],AH
JNB -----------------JGE
mov [ebp-256], eax -------------adc [ebp-226], eax PUSH EAX PUSH EBX
MOV EAX,[ESP+10] MOV EAX,[ESP+10]
MOV [ESP+10],EBP MOV [ESP+10],EBP
LEA EBP,[ESP+10] LEA EBP,[ESP+10]
SUB ESP,EAX SUB ESP,EAX
PUSH EBX PUSH EDI
PUSH ESI PUSH EAX
PUSH EDI PUSH ESI
MOV EDI,[EBP+10]-------------MOV EDI,[EBP+11]
TEST ESI,ESI-------------- AND ESI,ESI
XOR EAX,EAX------------OR EAX,EAX
--------------------------------------------------
修改jd该为JG还可以看下JB一般都是2个字节，2进制看下
ascll吗，基本上还可以修改大小的，还有的是看下跳转
jb-------------jg
-----------------------------------------------
CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP
方法2--看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR
方法3--看附近jnz跳转该下跳转的地址/可免杀不/
JNZ 00874E85---PUSH DWORD PTR DS:[88F658]
PUSH下面MOV ECX,88C0AC就可以JNZ该到MOV连接
------------------------------------------------------------
jnz--je-jmp修改中要看下跳的地址是不是很重要说明[1]
JNZ 00874E85--MOV EAX,88B6D0 可以是该成JE
-----------------------------------------------------------
005E 01 ADD BYTE PTR DS:[ESI+1],BL 修改方法
006E 01 ADD BYTE PTR DS:[ESI+1],CH 这样的成功机会不大看运气
------------------------------------------------------------
修改这样的命令要看下 1071C的地址，有没有，可以修改的
本身怎个命令是不可以修改的
JMP DWORD PTR DS:[1071C]----DS:[1071b]
还可以看下上下有没有空的代码来换下位置
------------------------------------------------------------
看下面的命令 观察上下的指令来修改|
CALL EAX |CALL EBX
MOV DWORD PTR SS:[EBP-1C],EAX |MOV DWORD PTR SS:[EBP-1C],EBX
---------------------------------------------------------------
比效指令 CMP：看下是个比效指令 在看下JNZ条件转移指令
就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP
不进行CMP比效
CMP ESI,1
JNZ SHORT VVV.1000D793
---------------------------------------------------------------
看下MOV数据传送指令 很明白就是将ESI给ESP+14
那看下JE跳下去的指令XOR AL,AL没有用可以NOP掉
MOV [ESP+14],ESI
JE 1000A74B 跳转去下个指令XOR AL,AL
修改成
MOV ESP,ESI
ADD ESP,14
----------------------------------------------------------------
LEA有效地址传送指令，遇到这样的指令不要该他可能会不能运行
LEA ECX,[ESP+10]
修改思路可以看下，上面的指令，如下
MOV EAX,DWORD PTR DS:[EBX]
CMP EAX,-1
JE 100017E9 到达的就是LEA ECX,[ESP+10]
上面可以看出是一系列的比对指令，最后LEA地址传
可以把MOV CMP JE 三个比对NOP掉在把LEA写到MOV CMP JE地址上，在用
JMP跳到下个指令运行
----------------------------------------------------------------
修改大小写在汇编里的变化
------------------------------------------------------------
INS BYTE PTR ES:[EDI],DX 小<l>------------------DEC ESP大<L>
PREFIX ADDRSIZE: 小<g> ----------------INC EDI 大<G> DAA 组合的十进制加法调整指令 --------DAS 减法的十进制调整. =================================================================
XCHG EAX,ESP -----------PUSHFD
数据交换指令 XCHG 标志传送指令 PUSHF
-----------------------------------------------------------------
ADD [EAX],CH---------------------ADD [EAX],DH
-----------------------------------------------------------------
ADD [EAX],BH 0038 ----------------ADD [EAX+40],AL 0040 40
----------------------------------------------------------------
ADD [EAX+EAX*2+46],AL ----------------ADD [EAX+EAX*2+46],CL
----------------------------------------------------------------
ADD [EAX+40],DL 0050 40 ------------------ 0058 40 ADD [EAX+40],DL
---------------------------------------------------------------------
ADD AH,CH 00EC -----------------00F4 ADD AH,DH

㈩ 汇编中mov esi,eax是什么意思!!!!

XXXX45A3 lea ecx, [esp+124h]
XXXX45AA push ecx ; IX86ver0.dll
XXXX45AB call ds:LoadLibraryA //加载DLL
XXXX45B1 mov ebp, eax //句柄从eax返回
XXXX45B3 test ebp, ebp
XXXX45B5 jz loc_6FF046F1 //没成功退出
XXXX45BB push offset aCheckrevision ; "CheckRevision" //函数名
XXXX45C0 push ebp ; hMole //DLL句柄
XXXX45C1 call ds:GetProcAddress //加载函数
XXXX45C7 mov esi, eax //执行地址从eax返回
XXXX45C9 test esi, esi
XXXX45CB jnz short loc_6FF045DF //成功转移,到正常主力,否则有些出错处理等操作.
XXXX45CD push offset aErrorFailedT_0 ; "<ERROR: Failed to execute Versioning DL"...
XXXX45D2 call nullsub_1 //错误,提示,等等
XXXX45D7 add esp, 4
XXXX45DA jmp loc_6FF046EA
//就存储空间来说,这里至少少了3~4个指令代码,因该是些有赋值操作,则带参数.
XXXX46E6 call esi ; CheckRevision
XXXX46E8 mov ebx, eax

就这些代码来说CheckRevision是没有带参数.