NTFS和FAT32 互转 / 北斗.H3.Pauly.netwinxp.haiou327.dvd008 ..win7启动技术探讨中..

fujianabc · 发表于 2009-12-16 19:05:15

原帖由 haiou327 于 2009-12-15 21:05 发表
记得以前老九写了个 bootsect的GUI，当时应该是Vista的bootsect是不支持MBR参数的，只支持写分区引导代码，到W7 bootsect 开始支持 MBR参数

vista sp0的bootsect不支持mbr参数，从vista sp1 6001开始就支持了

fujianabc · 发表于 2009-12-16 19:22:39

原帖由 netwinxp 于 2009-12-13 11:05 发表

令人疑惑的是，照道理win7只能安装在ntfs分区上，那么fat32的win7 bootrecord又是怎样折腾出来的？是不是可以这么理解——所谓的fat/fat32上的win7 bootrecord其实只是winnt5.x的变形(仅仅将ntldr改成bootmgr可能另外还作了一小部分修改)。***
BTW:ms一直有保留引导以前操作系统接口的传统，比如:win9x通过加载io.dos、msdos.dos引导dos6.x，nt5.x通过加载bootsec....dos引导win9x或者早期dos。bootmgr会不会也保留引导ntldr的接口呢？从hhh333的实验来看，应该是有的。

vista/win7 windows文件夹所在分区只能在ntfs上，但是bootmgr/bcd所在分区可以是FAT12/16/32。所以存在FAT分区的bootmgr的bootrecorder

fujianabc · 发表于 2009-12-16 19:31:04

各位请注意，如果用ghost explorer直接解压vista/win7的gho，会出现两大问题
1、ntfs软硬连接的问题
2、权限的问题

1.ntfs软硬连接的问题
直接ghost恢复gho，硬连接会处理成一个文件，只占用一分空间。而用ghost explorer释放，硬连接则被处理成多个独立文件，而占用多份空间，这样诸如winsxs文件夹会多占用很多空间。
直接ghost恢复gho，软连接/符号连接会保留。但用gho explorer释放，符号连接会变成普通的空文件夹。

2、直接ghost explorer释放会丢失系统文件的那些访问权限

同样，如果通过rar/7z等工具来直接备份系统，也会出现以上两大问题。

与此类似，如果直接用7-zip解压wim而不使用imagex解压wim，一样会出现这两大问题

haiou327 · 发表于 2009-12-16 19:40:57

原帖由 fujianabc 于 2009-12-16 19:05 发表

vista sp0的bootsect不支持mbr参数，从vista sp1 6001开始就支持了

fujianabc 就是 fujianabc把系统弄得这么透，Vista只用过几天时间不习惯就换回叉屁。

hhh333 · 发表于 2009-12-16 19:47:34

原帖由 fujianabc 于 2009-12-16 19:31 发表
各位请注意，如果用ghost explorer直接解压vista/win7的gho，会出现两大问题
1、ntfs软硬连接的问题
2、权限的问题

1.ntfs软硬连接的问题
直接ghost恢复gho，硬连接会处理成一个文件，只占用一分空间。而 ...

fujianabc 就是 fujianabc，对NT6X系统理解得很透，这确实是两个大问题！我要写到那个总结帖中。看来这种恢复文件的方式在NT6系统中要打大折扣。

dongyou2007 · 发表于 2009-12-16 19:57:24

一直用Ghostexp只要C盘可引导提取的文件就可以启动，无所谓Ntfs或FAT

victor888 · 发表于 2009-12-16 20:29:02

SORRY，可能是我没有看清楚，这个主题到底讨论了什么？好像是好久以前就研究过。

四海皆狂龙 · 发表于 2009-12-16 21:50:12

晕死，本来GHOST就最好的地方就是可以备份MBR部分，现在这样当压缩软件使用，优势全没了，真不知道怎么想的。如果硬要要这样用，还不如7Z RAR IMAGEX之流，其实IMAGEX也就查备份MBR，要不然GHOST哪有戏，现在被你这么一反，还真是短路不走走长路。

junyee · 发表于 2009-12-17 00:54:11

原帖由 netwinxp 于 2009-12-16 18:35 发表

谁告诉你GHOST、GHOST32是居于扇区备份的？其实GHOST分区到映像和映像到分区全是居于文件的(如果是居于扇区的话，BPB、文件链就会一样，你还能在不同容量的分区里面还原吗？最好多实践一下，不要想当然)，只不过里面多了引导信息而已(和可引导的WIM差不多原理)。至于文件权限问题，本来就是NTFS的特点，FAT/FAT32文件项里面没有对应的字段，当然会丢失，你把权限更多的uinx文件拷到windows下不同样也会丢失？

啊，被鱼板打了一棒子。

我把我“想当然的”东西说出来，可能很多地方都说得不是那么准确或者说不那么正确。
无忧是一个交流气氛很好场所，我很喜欢这种气氛，
还有一个时空论坛，但是我就不是那么喜欢了，因为某些原因不开放注册，当然你也可以用公用帐号（想想租房与住房的区别吧），如http://bbs.znpc.net/viewthread.php?tid=4505所述，它是一个技术论坛，大概是不怎么欢迎脑子里装着些幼稚问题的新手的。。。不好意思，走题了。
我很喜欢学习，我想我正在慢慢进步，而在漫长的学习中也特崇拜那些像鱼板一样的高手……
我说得不对的地方，有人改正，我非常高兴，但是如果能缓些语气就更好了。
无忧里面高手如云，我每发一贴，如果有哪位B主回复了，我会非常高兴，并且会专心地阅读理解学习记牢他说的每一句话。
不过有些铁面无私、冷面无情的执法者回复了的话，我就怕怕了
在印象里netwinxp是非常之热心和气的，回复见解独到，准确精辟。令我等增长了不少见识……

但是:
所谓河不拒小流,-我想，无忧还是能容得下一些个砂子的，
还有一句话叫"愚者千虑,必有一得“嘛，希望众位高手们对我们的一些个想当然的看法不要生气。
GHOST基于扇区这种在您看来幼稚的看法其实也不是我想当然得来的，咱也是在无忧看到的，忘了出处了-_-，见没人反对，我就把他记下了
("既然称之为克隆软件，说明其Ghost的备份还原是以硬盘的扇区为单位进行的，也就是说可以将一个硬盘上的物理信息完整复制，而不仅仅是数据的简单复制..." 自:http://baike.baidu.com/view/2666.htm?fr=ala0#2 看来不止是我想当然，百度百科也会啊，嘿嘿)

谢谢netwinxp的回复，如果我今后万一再说了些在您看来是想当然的话，还请您能仍然不吝赐教。
不过我今后一定慎言慎行，再衷心地谢谢您的指教！！！

原帖由 zhxy9804 于 2009-12-16 20:24 发表
但是提取似乎要经历两次复制，先复制到临时文件夹，然后才到了目标文件夹

拒我想当然，主观感受及客观感觉上来看，
GHOSTEXP的提取到似乎MS是直接提取到文件夹，而，GHOSTEXP中的复制（以及拖动到文件夹）可能才是要经过临时目录的。
君可以试试，PE下X盘如果只剩下30M，然后用GHOSTEXP打开一个GHO，再提取出一个大于30M的单文件，如果失败，则似乎可以说明是要经过临时目录。

这只是我个人的感觉，没有经过理论验证，更没有权威评定，仅仅一家之言，或不足采信。呵呵。

[ 本帖最后由 junyee 于 2009-12-17 11:30 编辑 ]

fujianabc · 发表于 2009-12-17 01:39:09

原帖由 junyee 于 2009-12-17 00:54 发表

("既然称之为克隆软件，说明其Ghost的备份还原是以硬盘的扇区为单位进行的，也就是说可以将一个硬盘上的物理信息完整复制，而不仅仅是数据的简单复制..." 自:http://baike.baidu.com/view/2666.htm?fr=ala0#2 看来不止是我想当然，百度百科也会啊，嘿嘿)

ghost如果默认就是按扇区备份，那就不存在用ghost来“整理碎片”这个技巧了。正因为ghost是以文件为单位来备份和还原的，才能用来“整理碎片”。

其实ghost默认基本上就是按文件备份的，顶多再备份一下启动扇区和FAT表等几个关键扇区。

但是你可以改变默认值，用ghost时，你可以在选项中选择按扇区备份，这样制作出来的就是真正的镜像，但这样的镜像会大很多。

66369 · 发表于 2009-12-17 08:08:45

通过FAT32 NTFS 互转.讨论硬盘引导.

通过互转.进一步了解GHOST.

通过GHOST 又研究Win7引导....

已经确认.普通的GHO文件.内含分区引导.和磁盘文件.

用复制法.进而证明. GHOSTXP提取.只提取了磁盘文件....

请大家朝前多看贴.要用实验结果说话...不要想当然...

12050202 · 发表于 2009-12-17 10:50:10

原帖由 zhxy9804 于 2009-12-17 07:56 发表
ghost -id就备份出来很大，一般我都是ghost -ib，这样备份出来，1jf9还完好的存在

仔细看.这里已不是GHOST备份的事了.

讨论的问题更深.

junyee · 发表于 2009-12-17 11:21:17

原帖由 fujianabc 于 2009-12-17 01:39 发表

ghost如果默认就是按扇区备份，那就不存在用ghost来“整理碎片”这个技巧了。正因为ghost是以文件为单位来备份和还原的，才能用来“整理碎片”。

其实ghost默认基本上就是按文件备份的，顶多再备份一下启动 ...

谢谢，受教了。
在备份或还原时，GHOST界面中有Current file一项，应该也可以说明是按文件进行备份或还原的。

再想当然地问一句，GHOST备份方式是否类似那些数据恢复软件？因为某些打不开的损坏的分区，GHOST也可以备份，并能用GHOSTEXP打开查看文件。

hhh333 · 发表于 2009-12-17 12:27:43

原帖由 zhxy9804 于 2009-12-16 20:24 发表
但是提取似乎要经历两次复制，先复制到临时文件夹，然后才到了目标文件夹

如果用复制、粘贴方式是先解压到临时文件的，如果是提取就是直接释放的。

kloikjj · 发表于 2009-12-17 20:24:00

引用79楼 sumhl：
哈哈~老水还测试呢？一种模式的硬盘备份和还原是没有问题的。如果是两块硬盘（其中串口盘AHCI模式备份的GHO文件，还原到并口盘硬盘会出现问题。）
引用80楼66369：
搞的正是并口GHO 恢复到串口的...

============================

事实上，串口的GHO镜像恢复到并口的是要兰屏的，反之并口的恢复到串口的就有问题的，我第一次遇到这种情况时纳闷了好久，折腾了半天多才搞定

============================

用这种方法装系统优点是非常多的，至少可以让不能GHO的GHOST文件重新用于安装系统，MD5不对的也可以，怕误恢复的也行，有选择的恢复的也行

66369 · 发表于 2009-12-18 09:22:47

原帖由 zhxy9804 于 2009-12-18 08:13 发表

是你不懂吧，还说什么串口并口问题，这是驱动问题了，不在讨论范围内，
看了半天帖子，竟然还看不明白

--------------------

版主说到要害了.

通过FAT32 NTFS 互转.讨论硬盘引导.
通过互转.进一步了解GHOST.
通过GHOST 又研究Win7引导....
已经确认.普通的GHO文件.内含分区引导.和磁盘文件.
用复制法.进而证明. GHOSTXP提取.只提取了磁盘文件....
请大家多看贴.要用实验结果说话...

possible008 · 发表于 2009-12-18 09:37:48

不是很懂呀，无忧有没教程给看呀？

yhhxlp · 发表于 2009-12-18 14:51:27

原帖由北斗于 2009-12-11 16:09 发表
以下实机测试

1、主机自带硬盘，C盘格式为NTFS，做GHO镜像。

2、另挂一块硬盘，此硬盘用MHDD或者低格工具处理过，没有任何引导记录和分区表。在主机上用DiskGenius分两个区，C格式化为FAT32

3、按照1楼 ...

这个应该是分区兼容性问题的问题！新盘和低格了盘很多出这个问题用过的基本不出这个问题

sratlf · 发表于 2009-12-20 10:03:22

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=157868

zhhsh · 发表于 2009-12-20 11:11:16

原帖由 kloikjj 于 2009-12-17 20:24 发表
引用79楼 sumhl：
哈哈~老水还测试呢？一种模式的硬盘备份和还原是没有问题的。如果是两块硬盘（其中串口盘AHCI模式备份的GHO文件，还原到并口盘硬盘会出现问题。）
引用80楼66369：
搞的正是并口GHO 恢复到 ...

目前驱动这部分已经很容易解决了。现在不用担心这个。

netwinxp · 发表于 2009-12-25 08:09:19

修正一下第20页的win7 FAT32 PBR反汇编源码

goule22 · 发表于 2009-12-25 16:19:38

谢谢分享，学习了！~

freesoft00 · 发表于 2010-1-4 19:39:05

老是听一些人说ghost还原分区的时候是边格式化边复制文件的，到底是不是这样？所以ghost后就没有了磁盘碎片

seeweb · 发表于 2010-1-4 19:41:54

我猜GHOST 是按照文件分区表克文件一个文件就按照顺序完整的复制下来
和格式化没关系
比如你一个空盘一个有文件的盘直接复制也是没有碎片的
文件碎片是来回删除复制文件文件簇不一样大不能直接塞进去造成的

seeweb · 发表于 2010-1-4 20:10:55

受教了，我一直以为GHOST 压缩了一些我们磁盘上直接看不到的启动信息呢
原来可以通过划分的方法修改分区格式特别是能让NTFS转换到FAT32 谢谢

33445566 · 发表于 2010-1-5 15:56:00

谁能弄个小结或教程

66963534 · 发表于 2010-1-8 01:40:26

直接G是比较快。但是如果硬盘有文件还是先PE下比较好

birdn · 发表于 2010-2-22 22:44:23

晕倒...早些时候仔细看看这贴就好了...

我今天搞的一个机器ntfs转fat32(因为做税控,装金税卡的人说不是fat32格式不行)...
我在PE下用DG把ntfs的系统盘格成fat32格式...特意还用bootice看了...没发现格式化前后有什么不同...
(不知道是不是要重新启动再进PE才能用bootice看到变化?因为时间紧没试...)
因为手头没有fat32文件系统的GHO文件,就用ghostexp提取了gho文件...重启发现不能引导...只好用最原始的办法重新安装了系统...

另外想请教大家...装了一键ghost的硬盘用bootice看主引导记录是"其它MBR"...
请问这个"其它mbr"是什么引导方式?为什么bootice识别不到?或者哪个版本的bootice识别得到?
盼望哪位好心人能路过告知一声...谢谢!!

netwinxp · 发表于 2010-2-23 00:08:26

前些天反汇编了NTFS的，顺手贴出来，当然如果错误也是难免的
WIN7 NTFS PBR

0000:7C00 EB52 jmp 7C54
0000:7C02 90 nop
;==============================================
label BPB
0000:7C03 Oemstr db 'NTFS '
0000:7C0B BytePerSec dw 0200;每扇区字节数
0000:7C0D SecPerClu db 08;每簇扇区数
0000:7C0E ResvdSec dw 0000;保留扇区数
0000:7C10 Resvd db 3dup(00)
0000:7C13 Unused dw 0000;未使用
0000:7C15 Media db F8;介质字节
0000:7C16 Unused dw 0000;总为0
0000:7C18 SecPerCly dw 003F;每磁道/柱面扇区数
0000:7C1A NumOfHead dw 00FF;磁头数
0000:7C1C HidenSec dd 0000003F;分区前隐藏扇区数
0000:7C20 Unused dd 00000000
0000:7C24 DrvNum db 80,00,80,00;总是填充该值
0000:7C28 TolSec dq 00000000007FF54A;总扇区数
0000:7C30 MFTCluNum dq 0000000000000004;$MFT逻辑簇号
0000:7C38 MFTMIRRCluNum dq 000000000007FF54;$MFT MIRR逻辑簇号
0000:7C40 CluPerMFT dd 000000F6;每个MFT记录占的簇数
0000:7C44 CluPerIndex dd 00000001;每个索引簇数
0000:7C48 VolSerial dq xxxxxxxx;卷标系列号
0000:7C50 CheckSum dd 00000000;校验和
;=================================以上为BPB======
0000:7C54 FA cli
0000:7C55 33C0 xor ax,ax
0000:7C57 8ED0 mov ss,ax
0000:7C59 BC007C mov sp,7C00
0000:7C5C FB sti
0000:7C5D 68C007 push 07C0
0000:7C60 1F pop ds
0000:7C61 1E push ds
0000:7C62 686600 push 0066
0000:7C65 CB retf;根据堆栈内容判定将返回到0:7C66处
0000:7C66 88160E00 mov [000E],dl
0000:7C6A 66813E03004E544653 cmp dword ptr [0003],'NTFS'
0000:7C73 7515 jne 7C8A
0000:7C75 B441 mov ah,41
0000:7C77 BBAA55 mov bx,55AA
0000:7C7A CD13 int 13
0000:7C7C 720C jb 7C8A
0000:7C7E 81FB55AA cmp bx,AA55
0000:7C82 7506 jne 7C8A
0000:7C84 F7C10100 test cx,0001
0000:7C88 7503 jne 7C8D
;*跳转来的0:7C73(C),0:7C7C(C),0:7C82(C),0:7CA7(C),0:7CAD(C)
0000:7C8A E9DD00 jmp 7D6A
0000:7C8D 1E push ds
0000:7C8E 83EC18 sub sp,0018
0000:7C91 681A00 push 001A
0000:7C94 B448 mov ah,48
0000:7C96 8A160E00 mov dl,[000E]
0000:7C9A 8BF4 mov si,sp
0000:7C9C 16 push ss
0000:7C9D 1F pop ds
0000:7C9E CD13 int 13
0000:7CA0 9F lahf
0000:7CA1 83C418 add sp,0018
0000:7CA4 9E sahf
0000:7CA5 58 pop ax
0000:7CA6 1F pop ds
0000:7CA7 72E1 jb 7C8A
0000:7CA9 3B060B00 cmp ax,[000B]
0000:7CAD 75DB jne 7C8A
0000:7CAF A30F00 mov word ptr [000F],ax
0000:7CB2 C12E0F0004 shr word ptr [000F],04
0000:7CB7 1E push ds
0000:7CB8 5A pop dx
0000:7CB9 33DB xor bx,bx
0000:7CBB B90020 mov cx,2000
0000:7CBE 2BC8 sub cx,ax
0000:7CC0 66FF061100 inc word ptr [0011]
;*跳转来的0:7CD4(C)
0000:7CC5 03160F00 add dx,[000F]
0000:7CC9 8EC2 mov es,dx
0000:7CCB FF061600 inc word ptr [0016]
0000:7CCF E84B00 call 7D1D
0000:7CD2 2BC8 sub cx,ax
0000:7CD4 77EF ja 7CC5
0000:7CD6 B800BB mov ax,BB00
0000:7CD9 CD1A int 1A
0000:7CDB 6623C0 and eax,eax
0000:7CDE 752D jne 7D0D
0000:7CE0 6681FB54435041 cmp ebx,41504354
0000:7CE7 7524 jne 7D0D
0000:7CE9 81F90201 cmp cx,0102
0000:7CED 721E jb 7D0D
0000:7CEF 16 push ss
0000:7CF0 6807BB push BB07
0000:7CF3 16 push ss
0000:7CF4 68700E push 0E70
0000:7CF7 16 push ss
0000:7CF8 680900 push 0009
0000:7CFB 6653 push ebx
0000:7CFD 6653 push ebx
0000:7CFF 6655 push ebp
0000:7D01 16 push ss
0000:7D02 16 push ss
0000:7D03 16 push ss
0000:7D04 68B801 push 01B8
0000:7D07 6661 popad
0000:7D09 0E push cs
0000:7D0A 07 pop es
0000:7D0B CD1A int 1A
;*跳转来的0:7CDE(C),0:7CE7(C),0:7CED(C)
0000:7D0D 33C0 xor ax,ax
0000:7D0F BF2810 mov di,1028
0000:7D12 B9D80F mov cx,0FD8
0000:7D15 FC cld
0000:7D16 F3 repz
0000:7D17 AA stosb
0000:7D18 E95F01 jmp 7E7A
0000:7D1B 90 nop
0000:7D1C 90 nop
;*跳转来的0:7CCF,0:80DC,0:83B3,0:8532,0:860A
0000:7D1D 6660 pushad
0000:7D1F 1E push ds
0000:7D20 06 push es
;*跳转来的0:7D63(C)
0000:7D21 66A11100 mov eax,dword ptr [0011]
0000:7D25 6603061C00 add eax,[001C]
0000:7D2A 1E push ds
0000:7D2B 666800000000 push 00000000
0000:7D31 6650 push eax
0000:7D33 06 push es
0000:7D34 53 push bx
0000:7D35 680100 push 0001
0000:7D38 681000 push 0010
0000:7D3B B442 mov ah,42
0000:7D3D 8A160E00 mov dl,[000E]
0000:7D41 16 push ss
0000:7D42 1F pop ds
0000:7D43 8BF4 mov si,sp
0000:7D45 CD13 int 13
0000:7D47 6659 pop ecx
0000:7D49 5B pop bx
0000:7D4A 5A pop dx
0000:7D4B 6659 pop ecx
0000:7D4D 6659 pop ecx
0000:7D4F 1F pop ds
0000:7D50 0F821600 jb 7D6A
0000:7D54 66FF061100 inc word ptr [0011]
0000:7D59 03160F00 add dx,[000F]
0000:7D5D 8EC2 mov es,dx
0000:7D5F FF0E1600 dec word ptr [0016]
0000:7D63 75BC jne 7D21
0000:7D65 07 pop es
0000:7D66 1F pop ds
0000:7D67 6661 popad
0000:7D69 C3 ret
;*跳转来的0:7C8A(U),0:7D50(C),0:7F08(C),0:7F3B(C),0:7F44(C),0:7F97(C),0:81F1(U),0:8258(C),0:82C9(C),0:82F0(C),0:8322(C),
;* 0:8422(C),0:847E(C),0:8567(C),0:85AD(C)
0000:7D6A A0F801 mov al,[01F8]
;*跳转来的0:8C1F(U),0:8C25(U)
0000:7D6D E80900 call 7D79
0000:7D70 A0FB01 mov al,[01FB]
0000:7D73 E80300 call 7D79
;*跳转来的0:7D77(U)
0000:7D76 F4 hlt
0000:7D77 EBFD jmp 7D76
;*CALL来的0:7D6D,0:7D73
0000:7D79 B401 mov ah,01
0000:7D7B 8BF0 mov si,ax
;*跳转来的0:7D89(U)
0000:7D7D AC lodsb
0000:7D7E 3C00 cmp al,00
0000:7D80 7409 je 7D8B
0000:7D82 B40E mov ah,0E
0000:7D84 BB0700 mov bx,0007
0000:7D87 CD10 int 10
0000:7D89 EBF2 jmp 7D7D
;*跳转来的0:7D80(C)
0000:7D8B C3 ret
0000:7D8C db 0D,0A,'A disk read error occurred',00
0000:7DA9 db 0D,0A,'BOOTMGR is missing',00
0000:7DBE db 0D,0A,'BOOTMGR is compressed',00
0000:7DD6 db 0D,0A,'Press Ctrl+Alt+Del to restart',0D,0A,00
0000:7DF8 db 8C,A9,BE,D6
0000:7DFC dw 0000
0000:7DFE 55 dw AA55
0000:7E00 db 07,00
0000:7E02 db 'BOOTMGR',04,00,'$I30',00,D4,00,00,'$',00,00;UNICODE内码
0000:7E23 db 33H DUP(00)
0000:7E56 EB22 jmp 7E7A
0000:7E58 90 nop
0000:7E59 90 nop
0000:7E5A dw 0005
0000:7E5C db 'NTLDR',00;UNICODE内码
0000:7E66 db 14H DUP(00)
;*跳转来的0:7D18(U),0:7E56(U)
0000:7E7A 660FB7060B00 movzx eax,word ptr [000B]
0000:7E80 660FB61E0D00 movzx ebx,[000D]
0000:7E86 66F7E3 mul ebx
0000:7E89 66A35202 mov dword ptr [0252],eax
0000:7E8D 668B0E4000 mov ecx,[0040]
0000:7E92 80F900 cmp cl,00
0000:7E95 0F8F0E00 jg 7EA7
0000:7E99 F6D9 neg cl
0000:7E9B 66B801000000 mov eax,00000001
0000:7EA1 66D3E0 shl eax,cl
0000:7EA4 EB08 jmp 7EAE
0000:7EA6 90 nop
;*跳转来的0:7E95(C)
0000:7EA7 66A15202 mov eax,dword ptr [0252]
0000:7EAB 66F7E1 mul ecx
;*跳转来的0:7EA4(U)
0000:7EAE 66A36602 mov dword ptr [0266],eax
0000:7EB2 660FB71E0B00 movzx ebx,word ptr [000B]
0000:7EB8 6633D2 xor edx,edx
0000:7EBB 66F7F3 div ebx
0000:7EBE 66A35602 mov dword ptr [0256],eax
0000:7EC2 E89504 call 835A
0000:7EC5 668B0E4E02 mov ecx,[024E]
0000:7ECA 66890E2602 mov [0226],ecx
0000:7ECF 66030E6602 add ecx,[0266]
0000:7ED4 66890E2A02 mov [022A],ecx
0000:7ED9 66030E6602 add ecx,[0266]
0000:7EDE 66890E2E02 mov [022E],ecx
0000:7EE3 66030E6602 add ecx,[0266]
0000:7EE8 66890E3E02 mov [023E],ecx
0000:7EED 66030E6602 add ecx,[0266]
0000:7EF2 66890E4602 mov [0246],ecx
0000:7EF7 66B890000000 mov eax,00000090
0000:7EFD 668B0E2602 mov ecx,[0226]
0000:7F02 E88309 call 8888
0000:7F05 660BC0 or eax,eax
0000:7F08 0F845EFE je 7D6A
0000:7F0C 66A33202 mov dword ptr [0232],eax
0000:7F10 66B8A0000000 mov eax,000000A0
0000:7F16 668B0E2A02 mov ecx,[022A]
0000:7F1B E86A09 call 8888
0000:7F1E 66A33602 mov dword ptr [0236],eax
0000:7F22 66B8B0000000 mov eax,000000B0
0000:7F28 668B0E2E02 mov ecx,[022E]
0000:7F2D E85809 call 8888
0000:7F30 66A33A02 mov dword ptr [023A],eax
0000:7F34 66A13202 mov eax,dword ptr [0232]
0000:7F38 660BC0 or eax,eax
0000:7F3B 0F842BFE je 7D6A
0000:7F3F 6780780800 cmp byte ptr [eax+08],00
0000:7F44 0F8522FE jne 7D6A
0000:7F48 67668D5010 lea edx,dword ptr [eax+10]
0000:7F4D 67034204 add ax,word ptr [edx+04]
0000:7F51 67660FB6480C movzx ecx,byte ptr [eax+0C]
0000:7F57 66890E7202 mov [0272],ecx
0000:7F5C 67668B4808 mov ecx,dword ptr [eax+08]
0000:7F61 66890E6E02 mov [026E],ecx
0000:7F66 66A16E02 mov eax,dword ptr [026E]
0000:7F6A 660FB70E0B00 movzx ecx,word ptr [000B]
0000:7F70 6633D2 xor edx,edx
0000:7F73 66F7F1 div ecx
0000:7F76 66A37602 mov dword ptr [0276],eax
0000:7F7A 66A14602 mov eax,dword ptr [0246]
0000:7F7E 6603066E02 add eax,[026E]
0000:7F83 66A34A02 mov dword ptr [024A],eax
0000:7F87 66833E360200 cmp dword ptr [0236],00000000
0000:7F8D 0F841D00 je 7FAE
0000:7F91 66833E3A0200 cmp dword ptr [023A],00000000
0000:7F97 0F84CFFD je 7D6A
0000:7F9B 668B1E3A02 mov ebx,[023A]
0000:7FA0 1E push ds
0000:7FA1 07 pop es
0000:7FA2 668B3E4A02 mov edi,[024A]
0000:7FA7 66A12E02 mov eax,dword ptr [022E]
0000:7FAB E8E001 call 818E
;*跳转来的0:7F8D(C)
0000:7FAE 660FB70E0002 movzx ecx,word ptr [0200]
0000:7FB4 66B802020000 mov eax,00000202
0000:7FBA E82208 call 87DF
0000:7FBD 660BC0 or eax,eax
0000:7FC0 0F851600 jne 7FDA
0000:7FC4 660FB70E5A02 movzx ecx,word ptr [025A]
0000:7FCA 66B85C020000 mov eax,0000025C
0000:7FD0 E80C08 call 87DF
0000:7FD3 660BC0 or eax,eax
0000:7FD6 0F84420C je 8C1C
;*跳转来的0:7FC0(C)
0000:7FDA 67668B00 mov eax,dword ptr [eax]
0000:7FDE 1E push ds
0000:7FDF 07 pop es
0000:7FE0 668B3E3E02 mov edi,[023E]
0000:7FE5 E83F06 call 8627
0000:7FE8 66A13E02 mov eax,dword ptr [023E]
0000:7FEC 66BB20000000 mov ebx,00000020
0000:7FF2 66B900000000 mov ecx,00000000
0000:7FF8 66BA00000000 mov edx,00000000
0000:7FFE E8E400 call 80E5
0000:8001 6685C0 test eax,eax
0000:8004 0F852300 jne 802B
0000:8008 66A13E02 mov eax,dword ptr [023E]
0000:800C 66BB80000000 mov ebx,00000080
0000:8012 66B900000000 mov ecx,00000000
0000:8018 66BA00000000 mov edx,00000000
0000:801E E8C400 call 80E5
0000:8021 660BC0 or eax,eax
0000:8024 0F854400 jne 806C
0000:8028 E9F10B jmp 8C1C
;*跳转来的0:8004(C)
0000:802B 6633D2 xor edx,edx
0000:802E 66B980000000 mov ecx,00000080
0000:8034 66A13E02 mov eax,dword ptr [023E]
0000:8038 E8CA08 call 8905
0000:803B 660BC0 or eax,eax
0000:803E 0F84DA0B je 8C1C
0000:8042 1E push ds
0000:8043 07 pop es
0000:8044 668B3E3E02 mov edi,[023E]
0000:8049 E8DB05 call 8627
0000:804C 66A13E02 mov eax,dword ptr [023E]
0000:8050 66BB80000000 mov ebx,00000080
0000:8056 66B900000000 mov ecx,00000000
0000:805C 66BA00000000 mov edx,00000000
0000:8062 E88000 call 80E5
0000:8065 660BC0 or eax,eax
0000:8068 0F84B00B je 8C1C
;*跳转来的0:8024(C)
0000:806C 67660FB7580C movzx ebx,word ptr [eax+0C]
0000:8072 6681E3FF000000 and ebx,000000FF
0000:8079 0F85A50B jne 8C22
0000:807D 668BD8 mov ebx,eax
0000:8080 680020 push 2000
0000:8083 07 pop es
0000:8084 662BFF sub edi,edi
0000:8087 66A13E02 mov eax,dword ptr [023E]
0000:808B E80001 call 818E
0000:808E 680020 push 2000
0000:8091 07 pop es
0000:8092 662BFF sub edi,edi
0000:8095 66A13E02 mov eax,dword ptr [023E]
0000:8099 E8AC0A call 8B48
0000:809C 8A160E00 mov dl,[000E]
0000:80A0 B8E803 mov ax,03E8
0000:80A3 8EC0 mov es,ax
0000:80A5 8D360B00 lea si,[000B]
0000:80A9 2BC0 sub ax,ax
0000:80AB 680020 push 2000
0000:80AE 50 push ax
0000:80AF CB retf
;*CALL来的0:822B
0000:80B0 06 push es
0000:80B1 1E push ds
0000:80B2 6660 pushad
0000:80B4 668BDA mov ebx,edx
0000:80B7 660FB60E0D00 movzx ecx,[000D]
0000:80BD 66F7E1 mul ecx
0000:80C0 66A31100 mov dword ptr [0011],eax
0000:80C4 668BC3 mov eax,ebx
0000:80C7 66F7E1 mul ecx
0000:80CA A31600 mov word ptr [0016],ax
0000:80CD 8BDF mov bx,di
0000:80CF 83E30F and bx,000F
0000:80D2 8CC0 mov ax,es
0000:80D4 66C1EF04 shr edi,04
0000:80D8 03C7 add ax,di
0000:80DA 50 push ax
0000:80DB 07 pop es
0000:80DC E83EFC call 7D1D
0000:80DF 6661 popad
0000:80E1 90 nop
0000:80E2 1F pop ds
0000:80E3 07 pop es
0000:80E4 C3 ret
;*CALL来的0:7FFE,0:801E,0:8062,0:82EA,0:83D2,0:8561,0:88AF,0:88CC,0:8901,0:891B
0000:80E5 67034014 add ax,word ptr [eax+14]
;*跳转来的0:813C(U)
0000:80E9 67668338FF cmp dword ptr [eax],FFFFFFFF
0000:80EE 0F844C00 je 813E
0000:80F2 67663918 cmp dword ptr [eax],ebx
0000:80F6 0F853300 jne 812D
0000:80FA 660BC9 or ecx,ecx
0000:80FD 0F850A00 jne 810B
0000:8101 6780780900 cmp byte ptr [eax+09],00
0000:8106 0F852300 jne 812D
0000:810A C3 ret
;*跳转来的0:80FD(C)
0000:810B 673A4809 cmp cl,byte ptr [eax+09]
0000:810F 0F851A00 jne 812D
0000:8113 668BF0 mov esi,eax
0000:8116 6703700A add si,word ptr [eax+0A]
0000:811A E89706 call 87B4
0000:811D 6651 push ecx
0000:811F 1E push ds
0000:8120 07 pop es
0000:8121 668BFA mov edi,edx
0000:8124 F3 repz
0000:8125 A7 cmpsw
0000:8126 6659 pop ecx
0000:8128 0F850100 jne 812D
0000:812C C3 ret
;*跳转来的0:80F6(C),0:8106(C),0:810F(C),0:8128(C)
0000:812D 676683780400 cmp dword ptr [eax+04],00000000
0000:8133 0F840700 je 813E
0000:8137 6766034004 add eax,dword ptr [eax+04]
0000:813C EBAB jmp 80E9
;*跳转来的0:80EE(C),0:8133(C)
0000:813E 662BC0 sub eax,eax
0000:8141 C3 ret
;*CALL来的0:87FB,0:886F
0000:8142 668BF3 mov esi,ebx
0000:8145 E86C06 call 87B4
0000:8148 67660300 add eax,dword ptr [eax]
;*跳转来的0:8188(U)
0000:814C 67F7400C0200 test word ptr [bx+si+0C],0002
0000:8152 0F853400 jne 818A
0000:8156 67668D5010 lea edx,dword ptr [eax+10]
0000:815B 673A4A40 cmp cl,byte ptr [edx+40]
0000:815F 0F851800 jne 817B
0000:8163 67668D7242 lea esi,dword ptr [edx+42]
0000:8168 E84906 call 87B4
0000:816B 6651 push ecx
0000:816D 1E push ds
0000:816E 07 pop es
0000:816F 668BFB mov edi,ebx
0000:8172 F3 repz
0000:8173 A7 cmpsw
0000:8174 6659 pop ecx
0000:8176 0F850100 jne 817B
0000:817A C3 ret
;*跳转来的0:815F(C),0:8176(C)
0000:817B 6783780800 cmp word ptr [eax+08],0000
0000:8180 0F840600 je 818A
0000:8184 67034008 add ax,word ptr [eax+08]
0000:8188 EBC2 jmp 814C
;*跳转来的0:8152(C),0:8180(C)
0000:818A 6633C0 xor eax,eax
0000:818D C3 ret
;*CALL来的0:7FAB,0:808B,0:83E9,0:8932
0000:818E 67807B0800 cmp byte ptr [ebx+08],00
0000:8193 0F851C00 jne 81B3
0000:8197 06 push es
0000:8198 1E push ds
0000:8199 6660 pushad
0000:819B 67668D5310 lea edx,dword ptr [ebx+10]
0000:81A0 67668B0A mov ecx,dword ptr [edx]
0000:81A4 668BF3 mov esi,ebx
0000:81A7 67037204 add si,word ptr [edx+04]
0000:81AB F3 repz
0000:81AC A4 movsb
0000:81AD 6661 popad
0000:81AF 90 nop
0000:81B0 1F pop ds
0000:81B1 07 pop es
0000:81B2 C3 ret
;*跳转来的0:8193(C)
0000:81B3 6650 push eax
0000:81B5 67668D5310 lea edx,dword ptr [ebx+10]
0000:81BA 6685C0 test eax,eax
0000:81BD 0F850A00 jne 81CB
0000:81C1 67668B4A08 mov ecx,dword ptr [edx+08]
0000:81C6 6641 inc ecx
0000:81C8 EB11 jmp 81DB
0000:81CA 90 nop
;*跳转来的0:81BD(C)
0000:81CB 67668B4218 mov eax,dword ptr [edx+18]
0000:81D0 6633D2 xor edx,edx
0000:81D3 66F736 div dword ptr [esi]
0000:81D6 52 push dx
0000:81D7 02668B add ah,[bp-75]
0000:81DA C8662BC0 enter 2B66,C0
0000:81DE 665E pop esi
0000:81E0 E80100 call 81E4
0000:81E3 C3 ret
;*CALL来的0:81E0,0:8660
0000:81E4 06 push es
0000:81E5 1E push ds
0000:81E6 6660 pushad
0000:81E8 67807B0801 cmp byte ptr [ebx+08],01
0000:81ED 0F840300 je 81F4
0000:81F1 E976FB jmp 7D6A
;*跳转来的0:81ED(C),0:8253(U)
0000:81F4 6683F900 cmp ecx,00000000
0000:81F8 0F850600 jne 8202
0000:81FC 6661 popad
0000:81FE 90 nop
0000:81FF 1F pop ds
0000:8200 07 pop es
0000:8201 C3 ret
;*跳转来的0:81F8(C),0:830A(U)
0000:8202 6653 push ebx
0000:8204 6650 push eax
0000:8206 6651 push ecx
0000:8208 6656 push esi
0000:820A 6657 push edi
0000:820C 06 push es
0000:820D E89104 call 86A1
0000:8210 668BD1 mov edx,ecx
0000:8213 07 pop es
0000:8214 665F pop edi
0000:8216 665E pop esi
0000:8218 6659 pop ecx
0000:821A 6685C0 test eax,eax
0000:821D 0F843400 je 8255
0000:8221 663BCA cmp ecx,edx
0000:8224 0F8D0300 jnl 822B
0000:8228 668BD1 mov edx,ecx
;*跳转来的0:8224(C)
0000:822B E882FE call 80B0
0000:822E 662BCA sub ecx,edx
0000:8231 668BDA mov ebx,edx
0000:8234 668BC2 mov eax,edx
0000:8237 660FB6160D00 movzx edx,[000D]
0000:823D 66F7E2 mul edx
0000:8240 660FB7160B00 movzx edx,word ptr [000B]
0000:8246 66F7E2 mul edx
0000:8249 6603F8 add edi,eax
0000:824C 6658 pop eax
0000:824E 6603C3 add eax,ebx
0000:8251 665B pop ebx
0000:8253 EB9F jmp 81F4
;*跳转来的0:821D(C)
0000:8255 6685F6 test esi,esi
0000:8258 0F840EFB je 7D6A
0000:825C 6651 push ecx
0000:825E 6657 push edi
0000:8260 06 push es
0000:8261 67660FB64309 movzx eax,byte ptr [ebx+09]
0000:8267 6685C0 test eax,eax
0000:826A 0F842000 je 828E
0000:826E 66D1E0 shl eax,01
0000:8271 662BE0 sub esp,eax
0000:8274 668BFC mov edi,esp
0000:8277 6654 push esp
0000:8279 6656 push esi
0000:827B 67660FB7730A movzx esi,word ptr [ebx+0A]
0000:8281 6603F3 add esi,ebx
0000:8284 668BC8 mov ecx,eax
0000:8287 F3 repz
0000:8288 A4 movsb
0000:8289 665E pop esi
0000:828B EB03 jmp 8290
0000:828D 90 nop
;*跳转来的0:826A(C)
0000:828E 6650 push eax
*跳转来的0:828B(U)
0000:8290 6650 push eax
0000:8292 67668B03 mov eax,dword ptr [ebx]
0000:8296 6650 push eax
0000:8298 67668B4318 mov eax,dword ptr [ebx+18]
0000:829D 6650 push eax
0000:829F 67668B5620 mov edx,dword ptr [esi+20]
0000:82A4 6685D2 test edx,edx
0000:82A7 0F840B00 je 82B6
0000:82AB 668BFE mov edi,esi
0000:82AE 1E push ds
0000:82AF 07 pop es
0000:82B0 668BC2 mov eax,edx
0000:82B3 E87103 call 8627
;*跳转来的0:82A7(C)
0000:82B6 668BC6 mov eax,esi
0000:82B9 665A pop edx
0000:82BB 6659 pop ecx
0000:82BD 6642 inc edx
0000:82BF 6651 push ecx
0000:82C1 6656 push esi
0000:82C3 E83F06 call 8905
0000:82C6 6685C0 test eax,eax
0000:82C9 0F849DFA je 7D6A
0000:82CD 665E pop esi
0000:82CF 6659 pop ecx
0000:82D1 668BFE mov edi,esi
0000:82D4 1E push ds
0000:82D5 07 pop es
0000:82D6 E84E03 call 8627
0000:82D9 668BC6 mov eax,esi
0000:82DC 668BD9 mov ebx,ecx
0000:82DF 6659 pop ecx
0000:82E1 665A pop edx
0000:82E3 6651 push ecx
0000:82E5 6656 push esi
0000:82E7 66D1E9 shr ecx,01
0000:82EA E8F8FD call 80E5
0000:82ED 6685C0 test eax,eax
0000:82F0 0F8476FA je 7D6A
0000:82F4 665E pop esi
0000:82F6 6659 pop ecx
0000:82F8 6603E1 add esp,ecx
0000:82FB 07 pop es
0000:82FC 665F pop edi
0000:82FE 6659 pop ecx
0000:8300 668BD0 mov edx,eax
0000:8303 6658 pop eax
0000:8305 665B pop ebx
0000:8307 668BDA mov ebx,edx
0000:830A E9F5FE jmp 8202
;*CALL来的0:83B9,0:854B,0:8663
0000:830D 06 push es
0000:830E 1E push ds
0000:830F 6660 pushad
0000:8311 2667660FB75F04 movzx ebx,word ptr es:[edi+04]
0000:8318 2667660FB74F06 movzx ecx,word ptr es:[edi+06]
0000:831F 660BC9 or ecx,ecx
0000:8322 0F8444FA je 7D6A
0000:8326 6603DF add ebx,edi
0000:8329 6683C302 add ebx,00000002
0000:832D 6681C7FE010000 add edi,000001FE
0000:8334 6649 dec ecx
;*跳转来的0:8352(U)
0000:8336 660BC9 or ecx,ecx
0000:8339 0F841700 je 8354
0000:833D 26678B03 mov ax,word ptr es:[ebx]
0000:8341 26678907 mov word ptr es:[edi],ax
0000:8345 6683C302 add ebx,00000002
0000:8349 6681C700020000 add edi,00000200
0000:8350 6649 dec ecx
0000:8352 EBE2 jmp 8336
;*跳转来的0:8339(C)
0000:8354 6661 popad
0000:8356 90 nop
0000:8357 1F pop ds
0000:8358 07 pop es
0000:8359 C3 ret
;*CALL来的0:7EC2
0000:835A 06 push es
0000:835B 1E push ds
0000:835C 6660 pushad
0000:835E 66B801000000 mov eax,00000001
0000:8364 66A32202 mov dword ptr [0222],eax
0000:8368 66A11E02 mov eax,dword ptr [021E]
0000:836C 6603066602 add eax,[0266]
0000:8371 66A36A02 mov dword ptr [026A],eax
0000:8375 6603066602 add eax,[0266]
0000:837A 66A34E02 mov dword ptr [024E],eax
0000:837E 66A13000 mov eax,dword ptr [0030]
0000:8382 660FB61E0D00 movzx ebx,[000D]
0000:8388 66F7E3 mul ebx
0000:838B 668B1E4E02 mov ebx,[024E]
0000:8390 668907 mov [bx],eax
0000:8393 66A31100 mov dword ptr [0011],eax
0000:8397 83C304 add bx,0004
0000:839A 66A15602 mov eax,dword ptr [0256]
0000:839E 668907 mov [bx],eax
0000:83A1 A31600 mov word ptr [0016],ax
0000:83A4 83C304 add bx,0004
0000:83A7 66891E4E02 mov [024E],ebx
0000:83AC 668B1E1E02 mov ebx,[021E]
0000:83B1 1E push ds
0000:83B2 07 pop es
0000:83B3 E867F9 call 7D1D
0000:83B6 668BFB mov edi,ebx
0000:83B9 E851FF call 830D
0000:83BC 66A11E02 mov eax,dword ptr [021E]
0000:83C0 66BB20000000 mov ebx,00000020
0000:83C6 66B900000000 mov ecx,00000000
0000:83CC 66BA00000000 mov edx,00000000
0000:83D2 E810FD call 80E5
0000:83D5 660BC0 or eax,eax
0000:83D8 0F841901 je 84F5
0000:83DC 668BD8 mov ebx,eax
0000:83DF 1E push ds
0000:83E0 07 pop es
0000:83E1 668B3E1A02 mov edi,[021A]
0000:83E6 6633C0 xor eax,eax
0000:83E9 E8A2FD call 818E
0000:83EC 668B1E1A02 mov ebx,[021A]
*跳转来的0:83FF(U)
0000:83F1 66813F80000000 cmp dword ptr [bx],00000080
0000:83F8 0F84EB00 je 84E7
0000:83FC 035F04 add bx,[bx+04]
0000:83FF EBF0 jmp 83F1
*跳转来的0:84F1(C)
0000:8401 6653 push ebx
0000:8403 668B4710 mov eax,[bx+10]
0000:8407 66F726 mul dword ptr [esi]
0000:840A 56 push si
0000:840B 026650 add ah,[bp+50]
0000:840E 6633D2 xor edx,edx
0000:8411 660FB61E0D00 movzx ebx,[000D]
0000:8417 66F7F3 div ebx
0000:841A 6652 push edx
0000:841C E8DC00 call 84FB
0000:841F 660BC0 or eax,eax
0000:8422 0F8444F9 je 7D6A
0000:8426 668B0E5602 mov ecx,[0256]
0000:842B 660FB61E0D00 movzx ebx,[000D]
0000:8431 66F7E3 mul ebx
0000:8434 665A pop edx
0000:8436 6603C2 add eax,edx
0000:8439 668B1E4E02 mov ebx,[024E]
0000:843E 668907 mov [bx],eax
0000:8441 83C304 add bx,0004
0000:8444 660FB6060D00 movzx eax,[000D]
0000:844A 662BC2 sub eax,edx
0000:844D 663BC1 cmp eax,ecx
0000:8450 0F860300 jbe 8457
0000:8454 668BC1 mov eax,ecx
*跳转来的0:8450(C)
0000:8457 668907 mov [bx],eax
*跳转来的0:84B3(U),0:84D6(U)
0000:845A 662BC8 sub ecx,eax
0000:845D 665A pop edx
0000:845F 0F847500 je 84D8
0000:8463 6603C2 add eax,edx
0000:8466 6650 push eax
0000:8468 6633D2 xor edx,edx
0000:846B 660FB61E0D00 movzx ebx,[000D]
0000:8471 66F7F3 div ebx
0000:8474 6651 push ecx
0000:8476 E88200 call 84FB
0000:8479 6659 pop ecx
0000:847B 660BC0 or eax,eax
0000:847E 0F84E8F8 je 7D6A
0000:8482 660FB61E0D00 movzx ebx,[000D]
0000:8488 66F7E3 mul ebx
0000:848B 668B1E4E02 mov ebx,[024E]
0000:8490 668B17 mov edx,[bx]
0000:8493 83C304 add bx,0004
0000:8496 660317 add edx,[bx]
0000:8499 663BD0 cmp edx,eax
0000:849C 0F851500 jne 84B5
0000:84A0 660FB6060D00 movzx eax,[000D]
0000:84A6 663BC1 cmp eax,ecx
0000:84A9 0F860300 jbe 84B0
0000:84AD 668BC1 mov eax,ecx
*跳转来的0:84A9(C)
0000:84B0 660107 add [bx],eax
0000:84B3 EBA5 jmp 845A
*跳转来的0:849C(C)
0000:84B5 83C304 add bx,0004
0000:84B8 66891E4E02 mov [024E],ebx
0000:84BD 668907 mov [bx],eax
0000:84C0 83C304 add bx,0004
0000:84C3 660FB6060D00 movzx eax,[000D]
0000:84C9 663BC1 cmp eax,ecx
0000:84CC 0F860300 jbe 84D3
0000:84D0 668BC1 mov eax,ecx
*跳转来的0:84CC(C)
0000:84D3 668907 mov [bx],eax
0000:84D6 EB82 jmp 845A
*跳转来的0:845F(C)
0000:84D8 83C304 add bx,0004
0000:84DB 66FF062202 inc word ptr [0222]
0000:84E0 66891E4E02 mov [024E],ebx
0000:84E5 665B pop ebx
*跳转来的0:83F8(C)
0000:84E7 035F04 add bx,[bx+04]
0000:84EA 66813F80000000 cmp dword ptr [bx],00000080
0000:84F1 0F840CFF je 8401
*跳转来的0:83D8(C)
0000:84F5 6661 popad
0000:84F7 90 nop
0000:84F8 1F pop ds
0000:84F9 07 pop es
0000:84FA C3 ret
*CALL来的0:841C,0:8476,0:85A5
0000:84FB 668BD0 mov edx,eax
0000:84FE 668B0E2202 mov ecx,[0222]
0000:8503 668B366A02 mov esi,[026A]
0000:8508 6603366602 add esi,[0266]
*LOOP来的0:8587
0000:850D 6652 push edx
0000:850F 6651 push ecx
0000:8511 6652 push edx
0000:8513 668B1E6A02 mov ebx,[026A]
0000:8518 668B3E5602 mov edi,[0256]
*跳转来的0:8542(U)
0000:851D 668B04 mov eax,[si]
0000:8520 66A31100 mov dword ptr [0011],eax
0000:8524 83C604 add si,0004
0000:8527 668B04 mov eax,[si]
0000:852A A31600 mov word ptr [0016],ax
0000:852D 83C604 add si,0004
0000:8530 1E push ds
0000:8531 07 pop es
0000:8532 E8E8F7 call 7D1D
0000:8535 662BF8 sub edi,eax
0000:8538 0F840800 je 8544
0000:853C F7260B00 mul word ptr [000B]
0000:8540 03D8 add bx,ax
0000:8542 EBD9 jmp 851D
*跳转来的0:8538(C)
0000:8544 668B3E6A02 mov edi,[026A]
0000:8549 1E push ds
0000:854A 07 pop es
0000:854B E8BFFD call 830D
0000:854E 66A16A02 mov eax,dword ptr [026A]
0000:8552 66BB80000000 mov ebx,00000080
0000:8558 66B900000000 mov ecx,00000000
0000:855E 668BD1 mov edx,ecx
0000:8561 E881FB call 80E5
0000:8564 660BC0 or eax,eax
0000:8567 0F84FFF7 je 7D6A
0000:856B 668BD8 mov ebx,eax
0000:856E 6658 pop eax
0000:8570 6656 push esi
0000:8572 E82C01 call 86A1
0000:8575 665E pop esi
0000:8577 660BC0 or eax,eax
0000:857A 0F840500 je 8583
0000:857E 665B pop ebx
0000:8580 665B pop ebx
0000:8582 C3 ret
*跳转来的0:857A(C)
0000:8583 6659 pop ecx
0000:8585 665A pop edx
0000:8587 E284 loop 850D
0000:8589 6633C0 xor eax,eax
0000:858C C3 ret
0000:858D 06 push es
0000:858E 1E push ds
0000:858F 6660 pushad
*跳转来的0:861D(C)
0000:8591 6650 push eax
0000:8593 6651 push ecx
0000:8595 6633D2 xor edx,edx
0000:8598 660FB61E0D00 movzx ebx,[000D]
0000:859E 66F7F3 div ebx
0000:85A1 6652 push edx
0000:85A3 6657 push edi
0000:85A5 E853FF call 84FB
0000:85A8 665F pop edi
0000:85AA 660BC0 or eax,eax
0000:85AD 0F84B9F7 je 7D6A
0000:85B1 660FB61E0D00 movzx ebx,[000D]
0000:85B7 66F7E3 mul ebx
0000:85BA 665A pop edx
0000:85BC 6603C2 add eax,edx
0000:85BF 66A31100 mov dword ptr [0011],eax
0000:85C3 6659 pop ecx
0000:85C5 660FB61E0D00 movzx ebx,[000D]
0000:85CB 663BCB cmp ecx,ebx
0000:85CE 0F8E1300 jle 85E5
0000:85D2 891E1600 mov [0016],bx
0000:85D6 662BCB sub ecx,ebx
0000:85D9 6658 pop eax
0000:85DB 6603C3 add eax,ebx
0000:85DE 6650 push eax
0000:85E0 6651 push ecx
0000:85E2 EB14 jmp 85F8
0000:85E4 90 nop
*跳转来的0:85CE(C)
0000:85E5 6658 pop eax
0000:85E7 6603C1 add eax,ecx
0000:85EA 6650 push eax
0000:85EC 890E1600 mov [0016],cx
0000:85F0 66B900000000 mov ecx,00000000
0000:85F6 6651 push ecx
*跳转来的0:85E2(U)
0000:85F8 06 push es
0000:85F9 6657 push edi
0000:85FB 8BDF mov bx,di
0000:85FD 83E30F and bx,000F
0000:8600 8CC0 mov ax,es
0000:8602 66C1EF04 shr edi,04
0000:8606 03C7 add ax,di
0000:8608 50 push ax
0000:8609 07 pop es
0000:860A E810F7 call 011D
0000:860D 665F pop edi
0000:860F 07 pop es
0000:8610 66033E5202 add edi,[0252]
0000:8615 6659 pop ecx
0000:8617 6658 pop eax
0000:8619 6683F900 cmp ecx,00000000
0000:861D 0F8F70FF jg 8591
0000:8621 6661 popad
0000:8623 90 nop
0000:8624 1F pop ds
0000:8625 07 pop es
0000:8626 C3 ret
*CALL来的0:7FE5,0:8049,0:82B3,0:82D6,0:8897,0:88EF
0000:8627 06 push es
0000:8628 1E push ds
0000:8629 6660 pushad
0000:862B 66F726 mul dword ptr [esi]
0000:862E 56 push si
0000:862F 02668B add ah,[bp-75]
0000:8632 0E push cs
0000:8633 56 push si
0000:8634 02E8 add ch,al
0000:8636 55 push bp
0000:8637 FFE8 jmp far ax
0000:8639 D2FC sar ah,cl
0000:863B 6661 popad
0000:863D 90 nop
0000:863E 1F pop ds
0000:863F 07 pop es
0000:8640 C3 ret
*CALL来的0:8853
0000:8641 06 push es
0000:8642 1E push ds
0000:8643 6660 pushad
0000:8645 66F726 mul dword ptr [esi]
0000:8648 7202 jb 864C
0000:864A 668B1E3602 mov ebx,[0236]
0000:864F 668B0E7202 mov ecx,[0272]
0000:8654 668B362A02 mov esi,[022A]
0000:8659 1E push ds
0000:865A 07 pop es
0000:865B 668B3E4602 mov edi,[0246]
0000:8660 E881FB call 81E4
0000:8663 E8A7FC call 070D
0000:8666 6661 popad
0000:8668 90 nop
0000:8669 1F pop ds
0000:866A 07 pop es
0000:866B C3 ret
*CALL来的0:884E
0000:866C 6650 push eax
0000:866E 6653 push ebx
0000:8670 6651 push ecx
0000:8672 668B1E4A02 mov ebx,[024A]
0000:8677 668BC8 mov ecx,eax
0000:867A 66C1E803 shr eax,03
0000:867E 6683E107 and ecx,00000007
0000:8682 6603D8 add ebx,eax
0000:8685 66B801000000 mov eax,00000001
0000:868B 66D3E0 shl eax,cl
0000:868E 678403 test byte ptr [ebx],al
0000:8691 0F840400 je 8699
0000:8695 F8 clc
0000:8696 EB02 jmp 869A
0000:8698 90 nop
*跳转来的0:8691(C)
0000:8699 F9 stc
*跳转来的0:8696(U)
0000:869A 6659 pop ecx
0000:869C 665B pop ebx
0000:869E 6658 pop eax
0000:86A0 C3 ret
*CALL来的0:820D,0:8572
0000:86A1 67807B0801 cmp byte ptr [ebx+08],01
0000:86A6 0F840400 je 86AE
0000:86AA 662BC0 sub eax,eax
0000:86AD C3 ret
*跳转来的0:86A6(C)
0000:86AE 67668D7310 lea esi,dword ptr [ebx+10]
0000:86B3 67668B5608 mov edx,dword ptr [esi+08]
0000:86B8 663BC2 cmp eax,edx
0000:86BB 0F870B00 ja 86CA
0000:86BF 67668B16 mov edx,dword ptr [esi]
0000:86C3 663BC2 cmp eax,edx
0000:86C6 0F830400 jnb 86CE
*跳转来的0:86BB(C)
0000:86CA 662BC0 sub eax,eax
0000:86CD C3 ret
*跳转来的0:86C6(C)
0000:86CE 67035E10 add bx,word ptr [esi+10]
0000:86D2 662BF6 sub esi,esi
*跳转来的0:870F(U)
0000:86D5 67803B00 cmp byte ptr [ebx],00
0000:86D9 0F843E00 je 871B
0000:86DD E88100 call 0B61
0000:86E0 6603F1 add esi,ecx
0000:86E3 E83900 call 871F
0000:86E6 6603CA add ecx,edx
0000:86E9 663BC1 cmp eax,ecx
0000:86EC 0F8C2100 jl 8711
0000:86F0 668BD1 mov edx,ecx
0000:86F3 6650 push eax
0000:86F5 67660FB60B movzx ecx,byte ptr [ebx]
0000:86FA 668BC1 mov eax,ecx
0000:86FD 6683E00F and eax,0000000F
;太长了，下贴继续

复制代码

[ 本帖最后由 netwinxp 于 2010-2-23 00:11 编辑 ]

netwinxp · 发表于 2010-2-23 00:09:32

win7 NTFS PBR续

0000:8701 66C1E904 shr ecx,04
0000:8705 6603D9 add ebx,ecx
0000:8708 6603D8 add ebx,eax
0000:870B 6643 inc ebx
0000:870D 6658 pop eax
0000:870F EBC4 jmp 86D5
*跳转来的0:86EC(C)
0000:8711 662BC8 sub ecx,eax
0000:8714 662BC2 sub eax,edx
0000:8717 6603C6 add eax,esi
0000:871A C3 ret
*跳转来的0:86D9(C)
0000:871B 662BC0 sub eax,eax
0000:871E C3 ret
*跳转来的0:86E3
0000:871F 662BC9 sub ecx,ecx
0000:8722 678A0B mov cl,byte ptr [ebx]
0000:8725 80E10F and cl,0F
0000:8728 6683F900 cmp ecx,00000000
0000:872C 0F850400 jne 8734
0000:8730 662BC9 sub ecx,ecx
0000:8733 C3 ret
*跳转来的0:872C(C)
0000:8734 6653 push ebx
0000:8736 6652 push edx
0000:8738 6603D9 add ebx,ecx
0000:873B 67660FBE13 movsx edx,byte ptr [ebx]
0000:8740 6649 dec ecx
0000:8742 664B dec ebx
*跳转来的0:8757(U)
0000:8744 6683F900 cmp ecx,00000000
0000:8748 0F840D00 je 8759
0000:874C 66C1E208 shl edx,08
0000:8750 678A13 mov dl,byte ptr [ebx]
0000:8753 664B dec ebx
0000:8755 6649 dec ecx
0000:8757 EBEB jmp 8744
*跳转来的0:8748(C)
0000:8759 668BCA mov ecx,edx
0000:875C 665A pop edx
0000:875E 665B pop ebx
0000:8760 C3 ret
*跳转来的0:86DD
0000:8761 6653 push ebx
0000:8763 6652 push edx
0000:8765 662BD2 sub edx,edx
0000:8768 678A13 mov dl,byte ptr [ebx]
0000:876B 6683E20F and edx,0000000F
0000:876F 662BC9 sub ecx,ecx
0000:8772 678A0B mov cl,byte ptr [ebx]
0000:8775 C0E904 shr cl,04
0000:8778 6683F900 cmp ecx,00000000
0000:877C 0F850800 jne 8788
0000:8780 662BC9 sub ecx,ecx
0000:8783 665A pop edx
0000:8785 665B pop ebx
0000:8787 C3 ret
*跳转来的0:877C(C)
0000:8788 6603DA add ebx,edx
0000:878B 6603D9 add ebx,ecx
0000:878E 67660FBE13 movsx edx,byte ptr [ebx]
0000:8793 6649 dec ecx
0000:8795 664B dec ebx
*跳转来的0:87AA(U)
0000:8797 6683F900 cmp ecx,00000000
0000:879B 0F840D00 je 87AC
0000:879F 66C1E208 shl edx,08
0000:87A3 678A13 mov dl,byte ptr [ebx]
0000:87A6 664B dec ebx
0000:87A8 6649 dec ecx
0000:87AA EBEB jmp 8797
*跳转来的0:879B(C)
0000:87AC 668BCA mov ecx,edx
0000:87AF 665A pop edx
0000:87B1 665B pop ebx
0000:87B3 C3 ret
*跳转来的0:811A,0:8145,0:8168
0000:87B4 660BC9 or ecx,ecx
0000:87B7 0F850100 jne 87BC
0000:87BB C3 ret
*跳转来的0:87B7(C)
0000:87BC 6651 push ecx
0000:87BE 6656 push esi
0000:87C0 67833E61 cmp word ptr [esi],0061
0000:87C4 0F8C0C00 jl 87D4
0000:87C8 67833E7A cmp word ptr [esi],007A
0000:87CC 0F8F0400 jg 87D4
0000:87D0 67832E20 sub word ptr [esi],0020
*跳转来的0:87C4(C),0:87CC(C)
0000:87D4 6683C602 add esi,00000002
0000:87D8 E2E6 loop 87C0
0000:87DA 665E pop esi
0000:87DC 6659 pop ecx
0000:87DE C3 ret
*跳转来的0:7FBA,0:7FD0
0000:87DF 6650 push eax
0000:87E1 6651 push ecx
0000:87E3 668BD0 mov edx,eax
0000:87E6 66A13202 mov eax,dword ptr [0232]
0000:87EA 67668D5810 lea ebx,dword ptr [eax+10]
0000:87EF 67034304 add ax,word ptr [ebx+04]
0000:87F3 67668D4010 lea eax,dword ptr [eax+10]
0000:87F8 668BDA mov ebx,edx
0000:87FB E844F9 call 8142
0000:87FE 660BC0 or eax,eax
0000:8801 0F840500 je 880A
0000:8805 6659 pop ecx
0000:8807 6659 pop ecx
0000:8809 C3 ret
*跳转来的0:8801(C)
0000:880A 66A13602 mov eax,dword ptr [0236]
0000:880E 660BC0 or eax,eax
0000:8811 0F850800 jne 881D
0000:8815 6659 pop ecx
0000:8817 6659 pop ecx
0000:8819 6633C0 xor eax,eax
0000:881C C3 ret
*跳转来的0:8811(C)
0000:881D 668B163602 mov edx,[0236]
0000:8822 67668D5210 lea edx,dword ptr [edx+10]
0000:8827 67668B4218 mov eax,dword ptr [edx+18]
0000:882C 6633D2 xor edx,edx
0000:882F 66F736 div dword ptr [esi]
0000:8832 6E outsb
0000:8833 026633 add ah,[bp+33]
0000:8836 F66650 mul byte ptr [bp+50]
0000:8839 6656 push esi
*跳转来的0:8851(C),0:8875(C)
0000:883B 6658 pop eax
0000:883D 665E pop esi
0000:883F 663BC6 cmp eax,esi
0000:8842 0F843A00 je 8880
0000:8846 6656 push esi
0000:8848 6640 inc eax
0000:884A 6650 push eax
0000:884C 6648 dec eax
0000:884E E81BFE call 876C
0000:8851 72E8 jb 883B
0000:8853 E8EBFD call 0A41
0000:8856 665A pop edx
0000:8858 665E pop esi
0000:885A 6659 pop ecx
0000:885C 665B pop ebx
0000:885E 6653 push ebx
0000:8860 6651 push ecx
0000:8862 6656 push esi
0000:8864 6652 push edx
0000:8866 66A14602 mov eax,dword ptr [0246]
0000:886A 67668D4018 lea eax,dword ptr [eax+18]
0000:886F E8D0F8 call 8142
0000:8872 660BC0 or eax,eax
0000:8875 74C4 je 883B
0000:8877 6659 pop ecx
0000:8879 6659 pop ecx
0000:887B 6659 pop ecx
0000:887D 6659 pop ecx
0000:887F C3 ret
跳转来的0:8842(C)
0000:8880 6659 pop ecx
0000:8882 6659 pop ecx
0000:8884 6633C0 xor eax,eax
0000:8887 C3 ret
跳转来的0:7F02,0:7F1B,0:7F2D
0000:8888 6651 push ecx
0000:888A 6650 push eax
0000:888C 66B805000000 mov eax,00000005
0000:8892 1E push ds
0000:8893 07 pop es
0000:8894 668BF9 mov edi,ecx
0000:8897 E88DFD call 8727
0000:889A 668BC1 mov eax,ecx
0000:889D 66BB20000000 mov ebx,00000020
0000:88A3 66B900000000 mov ecx,00000000
0000:88A9 66BA00000000 mov edx,00000000
0000:88AF E833F8 call 80E5
0000:88B2 665B pop ebx
0000:88B4 6659 pop ecx
0000:88B6 6685C0 test eax,eax
0000:88B9 0F851500 jne 88D2
0000:88BD 668BC1 mov eax,ecx
0000:88C0 660FB70E1002 movzx ecx,word ptr [0210]
0000:88C6 66BA12020000 mov edx,00000212
0000:88CC E816F8 call 80E5
0000:88CF EB33 jmp 8904
0000:88D1 90 nop
跳转来的0:88B9(C)
0000:88D2 6633D2 xor edx,edx
0000:88D5 668BC1 mov eax,ecx
0000:88D8 668BCB mov ecx,ebx
0000:88DB 6650 push eax
0000:88DD 6653 push ebx
0000:88DF E82300 call 8905
0000:88E2 665B pop ebx
0000:88E4 665F pop edi
0000:88E6 660BC0 or eax,eax
0000:88E9 0F841700 je 8904
0000:88ED 1E push ds
0000:88EE 07 pop es
0000:88EF E835FD call 8627
0000:88F2 668BC7 mov eax,edi
0000:88F5 660FB70E1002 movzx ecx,word ptr [0210]
0000:88FB 66BA12020000 mov edx,00000212
0000:8901 E8E1F7 call 80E5
*跳转来的0:88CF(U),0:88E9(C)
0000:8904 C3 ret
*跳转来的0:8038,0:82C3,0:88DF
0000:8905 6652 push edx
0000:8907 6651 push ecx
0000:8909 66BB20000000 mov ebx,00000020
0000:890F 66B900000000 mov ecx,00000000
0000:8915 66BA00000000 mov edx,00000000
0000:891B E8C7F7 call 80E5
0000:891E 660BC0 or eax,eax
0000:8921 0F846300 je 8988
0000:8925 668BD8 mov ebx,eax
0000:8928 1E push ds
0000:8929 07 pop es
0000:892A 668B3E1A02 mov edi,[021A]
0000:892F 6633C0 xor eax,eax
0000:8932 E859F8 call 818E
0000:8935 1E push ds
0000:8936 07 pop es
0000:8937 668B1E1A02 mov ebx,[021A]
0000:893C 6659 pop ecx
0000:893E 665A pop edx
*跳转来的0:8973(C),0:8980(U)
0000:8940 2666390F cmp es:[bx],ecx
0000:8944 0F850C00 jne 8954
0000:8948 2666395708 cmp es:[bx+08],edx
0000:894D 0F843100 je 8982
0000:8951 EB13 jmp 8966
0000:8953 90 nop
*跳转来的0:8944(C)
0000:8954 2666833FFF cmp dword ptr es:[bx],FFFFFFFF
0000:8959 0F842F00 je 898C
0000:895D 26837F0400 cmp word ptr es:[bx+04],0000
0000:8962 0F842600 je 898C
*跳转来的0:8951(U)
0000:8966 26660FB74704 movzx eax,word ptr es:[bx+04]
0000:896C 03D8 add bx,ax
0000:896E 8BC3 mov ax,bx
0000:8970 250080 and ax,8000
0000:8973 74CB je 8940
0000:8975 8CC0 mov ax,es
0000:8977 050008 add ax,0800
0000:897A 8EC0 mov es,ax
0000:897C 81E3FF7F and bx,7FFF
0000:8980 EBBE jmp 8940
*跳转来的0:894D(C)
0000:8982 26668B4710 mov eax,es:[bx+10]
0000:8987 C3 ret
*跳转来的0:8921(C)
0000:8988 6659 pop ecx
0000:898A 665A pop edx
*跳转来的0:8959(C),0:8962(C)
0000:898C 6633C0 xor eax,eax
0000:898F C3 ret
*跳转来的0:8BD6,0:8BE8
0000:8990 6650 push eax
0000:8992 6651 push ecx
0000:8994 668BC7 mov eax,edi
0000:8997 66C1E804 shr eax,04
0000:899B 06 push es
0000:899C 59 pop cx
0000:899D 03C8 add cx,ax
0000:899F 51 push cx
0000:89A0 07 pop es
0000:89A1 6683E70F and edi,0000000F
0000:89A5 6659 pop ecx
0000:89A7 6658 pop eax
0000:89A9 C3 ret
*跳转来的0:8BB2
0000:89AA 60 pusha
0000:89AB 06 push es
0000:89AC BEBD0D mov si,0DBD
0000:89AF BF0020 mov di,2000
0000:89B2 1E push ds
0000:89B3 07 pop es
0000:89B4 B90D00 mov cx,000D
0000:89B7 90 nop
0000:89B8 F3 repz
0000:89B9 A5 movsw
0000:89BA 07 pop es
0000:89BB 61 popa
0000:89BC C3 ret
0000:89BD 0123 add [bp+di],sp
0000:89BF 45 inc bp
0000:89C0 6789ABCDEFFEDC mov word ptr [ebx+DCFEEFCD],bp
0000:89C7 BA9876 mov dx,7698
0000:89CA 54 push sp
0000:89CB 3210 xor dl,[bx+si]
0000:89CD F0 lock
0000:89CE E1D2 loopz 89A2
0000:89D0 C3 ret
0000:89D1 00000000 db 4 DUP(00)
0000:89D5 2020 db ' '
*跳转来的0:8BD9,0:8BEB
0000:89D7 60 pusha
0000:89D8 8B361820 mov si,[2018]
*LOOP来的0:89F4
0000:89DC 268A05 mov al,es:[di]
0000:89DF 8804 mov [si],al
0000:89E1 47 inc di
0000:89E2 46 inc si
0000:89E3 66FF061420 inc word ptr [2014]
0000:89E8 81FE6020 cmp si,2060
0000:89EC 7506 jne 89F4
0000:89EE E85B00 call 8A4C
0000:89F1 BE2020 mov si,2020
*跳转来的0:89EC(C)
0000:89F4 E2E6 loop 89DC
0000:89F6 89361820 mov [2018],si
0000:89FA 61 popa
0000:89FB C3 ret
*跳转来的0:8BEE
0000:89FC 6660 pushad
0000:89FE 8B361820 mov si,[2018]
0000:8A02 B080 mov al,80
*跳转来的0:8A19(C)
0000:8A04 8804 mov [si],al
0000:8A06 46 inc si
0000:8A07 32C0 xor al ,al
0000:8A09 81FE6020 cmp si,2060
0000:8A0D 7506 jne 8A15
0000:8A0F E83A00 call 8A4C
0000:8A12 BE2020 mov si,2020
*跳转来的0:8A0D(C)
0000:8A15 81FE5820 cmp si,2058
0000:8A19 75E9 jne 8A04
0000:8A1B 6633C0 xor eax,eax
0000:8A1E 66A35820 mov dword ptr [2058],eax
0000:8A22 66A11420 mov eax,dword ptr [2014]
0000:8A26 66C1E003 shl eax,03
0000:8A2A 660FC8 bswap eax
0000:8A2D 66A35C20 mov dword ptr [205C],eax
0000:8A31 E81800 call 8A4C
0000:8A34 BB0020 mov bx,2000
*跳转来的0:8A47(C)
0000:8A37 668B07 mov eax,[bx]
0000:8A3A 660FC8 bswap eax
0000:8A3D 668907 mov [bx],eax
0000:8A40 83C304 add bx,0004
0000:8A43 81FB3420 cmp bx,2034
0000:8A47 75EE jne 8A37
0000:8A49 6661 popad
0000:8A4B C3 ret
*跳转来的0:89EE,0:8A0F,0:8A31
0000:8A4C 6660 pushad
0000:8A4E BB2020 mov bx,2020
*跳转来的0:8A61(C)
0000:8A51 668B07 mov eax,[bx]
0000:8A54 660FC8 bswap eax
0000:8A57 668907 mov [bx],eax
0000:8A5A 83C304 add bx,0004
0000:8A5D 81FB6020 cmp bx,2060
0000:8A61 75EE jne 8A51
0000:8A63 BB0020 mov bx,2000
0000:8A66 668B0F mov ecx,[bx]
0000:8A69 668B5704 mov edx,[bx+04]
0000:8A6D 668B7708 mov esi,[bx+08]
0000:8A71 668B7F0C mov edi,[bx+0C]
0000:8A75 668B6F10 mov ebp,[bx+10]
0000:8A79 BB2020 mov bx,2020
0000:8A7C C7061A20300F mov word ptr [201A],0F30
*跳转来的0:8AE1(C)
0000:8A82 C6061C2014 mov byte ptr [201C],14
0000:8A87 90 nop
*跳转来的0:8AD4(C)
0000:8A88 53 push bx
0000:8A89 8B1E1A20 mov bx,[201A]
0000:8A8D FF17 call word ptr [bx]
0000:8A8F 66034702 add eax,[bx+02]
0000:8A93 5B pop bx
0000:8A94 6603E8 add ebp,eax
0000:8A97 66032F add ebp,[bx]
0000:8A9A 668BC1 mov eax,ecx
0000:8A9D 66C1C005 rol eax,05
0000:8AA1 6603C5 add eax,ebp
0000:8AA4 668BEF mov ebp,edi
0000:8AA7 668BFE mov edi,esi
0000:8AAA 668BF2 mov esi,edx
0000:8AAD 66C1C61E rol esi,1E
0000:8AB1 668BD1 mov edx,ecx
0000:8AB4 668BC8 mov ecx,eax
*跳转来的0:8B33(C)
0000:8AB7 668B07 mov eax,[bx]
0000:8ABA 66334708 xor eax,[bx+08]
0000:8ABE 66334720 xor eax,[bx+20]
0000:8AC2 66334734 xor eax,[bx+34]
0000:8AC6 66D1C0 rol eax,01
0000:8AC9 66894740 mov [bx+40],eax
0000:8ACD 83C304 add bx,0004
0000:8AD0 FE0E1C20 dec byte ptr [201C]
0000:8AD4 75B2 jne 8A88
0000:8AD6 83061A2006 add word ptr [201A],0006
0000:8ADB 813E1A20480F cmp word ptr [201A],0F48
0000:8AE1 759F jne 8A82
0000:8AE3 BB0020 mov bx,2000
0000:8AE6 66010F add [bx],ecx
0000:8AE9 66015704 add [bx+04],edx
0000:8AED 66017708 add [bx+08],esi
0000:8AF1 66017F0C add [bx+0C],edi
0000:8AF5 66016F10 add [bx+10],ebp
0000:8AF9 6661 popad
0000:8AFB C3 ret
0000:8AFC 668BC6 mov eax,esi
0000:8AFF 6633C7 xor eax,edi
0000:8B02 6623C2 and eax,edx
0000:8B05 6633C7 xor eax,edi
0000:8B08 C3 ret
0000:8B09 668BC2 mov eax,edx
0000:8B0C 6633C6 xor eax,esi
0000:8B0F 6633C7 xor eax,edi
0000:8B12 C3 ret
0000:8B13 6653 push ebx
0000:8B15 668BC2 mov eax,edx
0000:8B18 6623C6 and eax,esi
0000:8B1B 668BDA mov ebx,edx
0000:8B1E 6623DF and ebx,edi
0000:8B21 660BC3 or eax,ebx
0000:8B24 668BDE mov ebx,esi
0000:8B27 6623DF and ebx,edi
0000:8B2A 660BC3 or eax,ebx
0000:8B2D 665B pop ebx
0000:8B2F C3 ret
0000:8B30 FC cld
0000:8B31 0E push cs
0000:8B32 99 cwd
0000:8B33 7982 jns 8AB7
0000:8B35 5A pop dx
0000:8B36 090F or [bx],cx
0000:8B38 A1EBD9 mov ax,word ptr [D9EB]
0000:8B3B 6E outsb
0000:8B3C 130F adc cx,[bx]
0000:8B3E DCBC1B8F fdivr qword ptr [si+8F1B]
0000:8B42 090F or [bx],cx
0000:8B44 D6 setalc
0000:8B45 C162CA06 shl word ptr [bp+si-36],06
0000:8B49 1E push ds
0000:8B4A 6660 pushad
0000:8B4C 6633DB xor ebx,ebx
0000:8B4F B800BB mov ax,BB00
0000:8B52 CD1A int 1A
0000:8B54 6623C0 and eax,eax
0000:8B57 0F85BB00 jne 8C16
0000:8B5B 6681FB54435041 cmp ebx,41504354
0000:8B62 0F85B000 jne 8C16
0000:8B66 81F90201 cmp cx,0102
0000:8B6A 0F82A800 jb 8C16
0000:8B6E 6661 popad
0000:8B70 90 nop
0000:8B71 1F pop ds
0000:8B72 07 pop es
0000:8B73 06 push es
0000:8B74 1E push ds
0000:8B75 6660 pushad
0000:8B77 67807B0800 cmp byte ptr [ebx+08],00
0000:8B7C 0F850C00 jne 8B8C
0000:8B80 67668D5310 lea edx,dword ptr [ebx+10]
0000:8B85 67668B0A mov ecx,dword ptr [edx]
0000:8B89 EB25 jmp 8BB0
0000:8B8B 90 nop
*跳转来的0:8B7C(C)
0000:8B8C 67668D5310 lea edx,dword ptr [ebx+10]
0000:8B91 67668B4A28 mov ecx,dword ptr [edx+28]
0000:8B96 6681F900000800 cmp ecx,00080000
0000:8B9D 0F830C00 jnb 8BAD
0000:8BA1 67668B422C mov eax,dword ptr [edx+2C]
0000:8BA6 6623C0 and eax,eax
0000:8BA9 0F840300 je 8BB0
*跳转来的0:8B9D(C)
0000:8BAD 6633C9 xor ecx,ecx
*跳转来的0:8B89(U),0:8BA9(C)
0000:8BB0 0E push cs
0000:8BB1 1F pop ds
0000:8BB2 E8F5FD call 89AA
0000:8BB5 6623C9 and ecx,ecx
0000:8BB8 0F843200 je 8BEE
0000:8BBC 66BA00800000 mov edx,00008000
*跳转来的0:8BE6(U)
0000:8BC2 663BCA cmp ecx,edx
0000:8BC5 0F861F00 jbe 8BE8
0000:8BC9 662BCA sub ecx,edx
0000:8BCC 06 push es
0000:8BCD 6651 push ecx
0000:8BCF 6657 push edi
0000:8BD1 6652 push edx
0000:8BD3 668BCA mov ecx,edx
0000:8BD6 E8B7FD call 8990
0000:8BD9 E8FBFD call 89D7
0000:8BDC 665A pop edx
0000:8BDE 665F pop edi
0000:8BE0 6659 pop ecx
0000:8BE2 07 pop es
0000:8BE3 6603FA add edi,edx
0000:8BE6 EBDA jmp 8BC2
*跳转来的0:8BC5(C)
0000:8BE8 E8A5FD call 8990
0000:8BEB E8E9FD call 89D7
*跳转来的0:8BB8(C)
0000:8BEE E80BFE call 89FC
0000:8BF1 0E push cs
0000:8BF2 07 pop es
0000:8BF3 66BB54435041 mov ebx,41504354
0000:8BF9 66BF00200000 mov edi,00002000
0000:8BFF 66B914000000 mov ecx,00000014
0000:8C05 66B807BB0000 mov eax,0000BB07
0000:8C0B 66BA0A000000 mov edx,0000000A
0000:8C11 6633F6 xor esi,esi
0000:8C14 CD1A int 1A
*跳转来的0:8B57(C),0:8B62(C),0:8B6A(C)
0000:8C16 6661 popad
0000:8C18 90 nop
0000:8C19 1F pop ds
0000:8C1A 07 pop es
0000:8C1B C3 ret
*跳转来的0:7FD6(C),0:8028(U),0:803E(C),0:8068(C)
0000:8C1C A0F901 mov al,[01F9]
0000:8C1F E94BF1 jmp 7D6D
*跳转来的0:8079(C)
0000:8C22 A0FA01 mov al,[01FA]
0000:8C25 E945F1 jmp 7D6D
0000:8C28 00000000000000000000 db 4056 DUP(00)
0000:9C00 33C0 xor ax,ax
0000:9C02 8ED0 mov ss,ax
0000:9C04 BC007C mov sp,7C00
0000:9C07 8EC0 mov es,ax
0000:9C09 8ED8 mov ds,ax
0000:9C0B BE007C mov si,7C00
0000:9C0E BF0006 mov di,0600
0000:9C11 B90002 mov cx,0200
0000:9C14 FC cld
0000:9C15 F3 repz
0000:9C16 A4 movsb
0000:9C17 50 push ax
0000:9C18 681C06 push 061C
0000:9C1B CB retf
0000:9C1C FB sti
0000:9C1D B90400 mov cx,0004
0000:9C20 BDBE07 mov bp,07BE
0000:9C23 807E0000 cmp byte ptr [bp+00],00
0000:9C27 7C0B jl 9C34
0000:9C29 0F850E01 jne 9D3B
0000:9C2D 83C510 add bp,0010
0000:9C30 E2F1 loop 9C23
0000:9C32 CD18 int 18
*跳转来的0:9C27(C),0:9CAE(U)
0000:9C34 885600 mov [bp+00],dl
0000:9C37 55 push bp
0000:9C38 C6461105 mov byte ptr [bp+11],05
0000:9C3C C6461000 mov byte ptr [bp+10],00
0000:9C40 B441 mov ah,41
0000:9C42 BBAA55 mov bx,55AA
0000:9C45 CD13 int 13
0000:9C47 5D pop bp
0000:9C48 720F jb 9C59
0000:9C4A 81FB55AA cmp bx,AA55
0000:9C4E 7509 jne 9C59
0000:9C50 F7C10100 test cx,0001
0000:9C54 7403 je 9C59
0000:9C56 FE4610 inc byte ptr [bp+10]
*跳转来的0:9C48(C),0:9C4E(C),0:9C54(C),0:9CB9(U)
0000:9C59 6660 pushad
0000:9C5B 807E1000 cmp byte ptr [bp+10],00
0000:9C5F 7426 je 9C87
0000:9C61 666800000000 push 00000000
0000:9C67 66FF7608 push word ptr [bp+08]
0000:9C6B 680000 push 0000
0000:9C6E 68007C push 7C00
0000:9C71 680100 push 0001
0000:9C74 681000 push 0010
0000:9C77 B442 mov ah,42
0000:9C79 8A5600 mov dl,[bp+00]
0000:9C7C 8BF4 mov si,sp
0000:9C7E CD13 int 13
0000:9C80 9F lahf
0000:9C81 83C410 add sp,0010
0000:9C84 9E sahf
0000:9C85 EB14 jmp 9C9B
*跳转来的0:9C5F(C)
0000:9C87 B80102 mov ax,0201
0000:9C8A BB007C mov bx,7C00
0000:9C8D 8A5600 mov dl,[bp+00]
0000:9C90 8A7601 mov dh,[bp+01]
0000:9C93 8A4E02 mov cl ,[bp+02]
0000:9C96 8A6E03 mov ch,[bp+03]
0000:9C99 CD13 int 13
*跳转来的0:9C85(U)
0000:9C9B 6661 popad
0000:9C9D 731C jnb 9CBB
0000:9C9F FE4E11 dec byte ptr [bp+11]
0000:9CA2 750C jne 9CB0
0000:9CA4 807E0080 cmp byte ptr [bp+00],80
0000:9CA8 0F848A00 je 9D36
0000:9CAC B280 mov dl,80
0000:9CAE EB84 jmp 9C34
*跳转来的0:9CA2(C)
0000:9CB0 55 push bp
0000:9CB1 32E4 xor ah,ah
0000:9CB3 8A5600 mov dl,[bp+00]
0000:9CB6 CD13 int 13
0000:9CB8 5D pop bp
0000:9CB9 EB9E jmp 9C59
*跳转来的0:9C9D(C)
0000:9CBB 813EFE7D55AA cmp word ptr [7DFE],AA55
0000:9CC1 756E jne 9D31
0000:9CC3 FF7600 push word ptr [bp+00]
0000:9CC6 E88D00 call 9D56
0000:9CC9 7517 jne 9CE2
0000:9CCB FA cli
0000:9CCC B0D1 mov al,D1
0000:9CCE E664 out 64,al
0000:9CD0 E88300 call 9D56
0000:9CD3 B0DF mov al,DF
0000:9CD5 E660 out 60,al
0000:9CD7 E87C00 call 9D56
0000:9CDA B0FF mov al,FF
0000:9CDC E664 out 64,al
0000:9CDE E87500 call 9D56
0000:9CE1 FB sti
*跳转来的0:9CC9(C)
0000:9CE2 B800BB mov ax,BB00
0000:9CE5 CD1A int 1A
0000:9CE7 6623C0 and eax,eax
0000:9CEA 753B jne 9D27
0000:9CEC 6681FB54435041 cmp ebx,41504354
0000:9CF3 7532 jne 9D27
0000:9CF5 81F90201 cmp cx,0102
0000:9CF9 722C jb 9D27
0000:9CFB 666807BB0000 push 0000BB07
0000:9D01 666800020000 push 00000200
0000:9D07 666808000000 push 00000008
0000:9D0D 6653 push ebx
0000:9D0F 6653 push ebx
0000:9D11 6655 push ebp
0000:9D13 666800000000 push 00000000
0000:9D19 6668007C0000 push 00007C00
0000:9D1F 6661 popad
0000:9D21 680000 push 0000
0000:9D24 07 pop es
0000:9D25 CD1A int 1A
*跳转来的0:9CEA(C),0:9CF3(C),0:9CF9(C)
0000:9D27 5A pop dx
0000:9D28 32F6 xor dh,dh
0000:9D2A EA007C0000 jmp 0000:7C00
0000:9D2F CD18 int 18
*跳转来的0:9CC1(C)
0000:9D31 A0B707 mov al,[07B7]
0000:9D34 EB08 jmp 9D3E
*跳转来的0:9CA8(C)
0000:9D36 A0B607 mov al,[07B6]
0000:9D39 EB03 jmp 9D3E
*跳转来的0:9C29(C)
0000:9D3B A0B507 mov al,[07B5]
*跳转来的0:9D34(U),0:9D39(U)
0000:9D3E 32E4 xor ah,ah
0000:9D40 050007 add ax,0700
0000:9D43 8BF0 mov si,ax
*跳转来的0:9D51(U)
0000:9D45 AC lodsb
0000:9D46 3C00 cmp al,00
0000:9D48 7409 je 9D53
0000:9D4A BB0700 mov bx,0007
0000:9D4D B40E mov ah,0E
0000:9D4F CD10 int 10
0000:9D51 EBF2 jmp 9D45
*跳转来的0:9D48(C),0:9D54(U)
0000:9D53 F4 hlt
0000:9D54 EBFD jmp 9D53
*跳转来的0:9CC6,0:9CD0,0:9CD7,0:9CDE
0000:9D56 2BC9 sub cx,cx
*LOOP来的0:9D5E
0000:9D58 E464 in al,64
0000:9D5A EB00 jmp 9D5C
*跳转来的0:9D5A(U)
0000:9D5C 2402 and al,02
0000:9D5E E0F8 loopnz 9D58
0000:9D60 2402 and al,02
0000:9D62 C3 ret
0000:9D63 db 'Invalid partition table Error loading operating system Missing operating system',0
0000:9DB3 000000 dw 0
0000:9DB5 637B9A db 63,7B,9A
0000:9DB8 00000000000000000000 db 46H DUP(00)
0000:9DFE 55AA dw AA55

复制代码

[ 本帖最后由 netwinxp 于 2010-2-23 00:12 编辑 ]

		自动登录	找回密码
密码			注册