破解軟件教程入門篇6--爆破軟件

1、第六章-爆破軟件技術(shù)爆破其實很簡單，最起碼比你能一下把你家的牙膏給全擠出來要容易多了。你只要先到大街上買幾根雷管，然后放到你的顯示器上再點著就OK 了(不難吧，記的點著后跑遠(yuǎn)點兒爆破的原理我也說過了，相信你很容易就能理解了。我們今天就具體講一下如何找到那個關(guān)鍵跳轉(zhuǎn)以及如何才能買到即便宜又好用的雷管. 爆破一個軟件一般只需要很少的幾個步驟，首先先看一下其有無加殼，有的話是用何工具加的殼，知道了以后用相應(yīng)的工具將其脫掉或進(jìn)行手工脫殼，參考以有教程。接著我們就可以對脫過殼之后的軟件來開刀了。你有兩種選擇，用W32Dasm 或調(diào)試器，一般如果你遇上的是那種很菜的軟件的話，用W32Dasm 就可以搞定了

2、。如果遇上的不是那種比較菜的，就買股票吧，因為股票是你如膠似漆的妻子！當(dāng)！快醒醒啊. 哦，一般如果你遇上的不是那種很菜的軟件的話，就用調(diào)試器吧。先來說W32Dasm ：我們首先用W32Dasm 來進(jìn)行反匯編（廢話?。┲笤诖絽⒖贾姓业藉e誤提示信息或可能是正確的提示信息雙擊鼠標(biāo)左鍵來到相應(yīng)的地址處。在W32Dasm 的主窗口中分析相應(yīng)匯編代碼, 找出關(guān)鍵跳轉(zhuǎn)和關(guān)鍵call 。綠色光條停在關(guān)鍵跳轉(zhuǎn), 在W32Dasm 主窗口底部找到關(guān)鍵跳轉(zhuǎn)的偏移地址(實際修改地址 。用ultraedit 找到偏移地址(實際修改地址 修改機(jī)器碼(或放上一根雷管, 保存(點火 ！而用調(diào)試器也同樣簡單，等會兒會詳細(xì)說

3、明。道理廢話了那么多，來實例動手說明吧：首先講解用W32Dasm 來進(jìn)行爆破:【軟件名稱】中華壓縮（ChinaZip ）【軟件版本】7.0【文件大小】1041KB【適用平臺】Win9x/Me/NT/2000【軟件簡介】ChinaZip （中華壓縮）是一款壓縮、解壓各種壓縮文檔的工具軟件，它支持包括ZIP 格式文件在內(nèi)的各種常見壓縮格式如：ARJ 、CAB 、GZIP 、JAR 、LHA 、TAR 、ZOO 、ARC 、LZH 、Pak 等等。軟件的出處是電腦報2001年的合訂本配套光盤，7.0時的保護(hù)做的很那個，目前最新版應(yīng)該好多了.好的，我們開始吧，首先第一步是你得把它裝上（引來野狼N 頭）

4、，之后先隨便找個字符串填上去注冊一下，會看到一個錯誤對話框，提示" 注冊碼不正確，無法注冊" 。接著我們用FI 來看一下它用的是什么殼。ASPack 2.001，caspr 出場。脫過殼后我們用W32Dasm 花上半分鐘或半小時的時間來對它進(jìn)行反匯編。我們以經(jīng)反匯編完畢。之后在串式參考中（字符串?dāng)?shù)據(jù)參考）中找剛才你看到的那個錯誤提示，找到之后雙擊幾次，發(fā)現(xiàn)其只有一處調(diào)用。我們會來到004F0E64處，我把具體代碼給貼上（請你從代碼的最下邊開始看）:004F4DD1 E84EE1F3FF call 00432F24:004F4DD6 8B55F0 mov edx, dword

5、 ptr ebp-10:004F4DD9 8D4DF4 lea ecx, dword ptr ebp-0C:004F4DDC 8BC3 mov eax, ebx:004F4DDE E8C9010000 call 004F4FAC:004F4DE3 8B55F4 mov edx, dword ptr ebp-0C:004F4DE6 58 pop eax:004F4DE7 E830F3F0FF call 0040411C:004F4DEC 7576 jne 004F4E64 <-這個就是傳說中的男人，Stop ！這個就是傳說中的關(guān)鍵跳轉(zhuǎn):004F4DEE B201 mov dl, 01:00

6、4F4DF0 A158254500 mov eax, dword ptr 00452558* Referenced by a (Unconditional or (Conditional Jump at Address:|:004F4D86(C|:004F4DF5 E85ED8F5FF call 00452658:004F4DFA 8945FC mov dword ptr ebp-04, eax:004F4DFD 33C0 xor eax, eax:004F4DFF 55 push ebp:004F4E00 685D4E4F00 push 004F4E5D:004F4E05 64FF30 pu

7、sh dword ptr fs:eax:004F4E08 648920 mov dword ptr fs:eax, esp:004F4E0B B101 mov cl, 01* Possible StringData Ref from Code Obj->"SoftwareXDZHANChinaZip"|:004F4E0D BAA84E4F00 mov edx, 004F4EA8:004F4E12 8B45FC mov eax, dword ptr ebp-04:004F4E15 E822DAF5FF call 0045283C* Possible StringData

8、 Ref from Code Obj ->"Real Programmers Use Pascal!"|:004F4E1A B9CC4E4F00 mov ecx, 004F4ECC* Possible StringData Ref from Code Obj ->"Key"|:004F4E1F BAF44E4F00 mov edx, 004F4EF4:004F4E24 8B45FC mov eax, dword ptr ebp-04:004F4E27 E854DEF5FF call 00452C80* Possible StringData

9、Ref from Code Obj ->"軟件注冊成功, 謝謝您的支持!" <-我們向上看會在這里發(fā)現(xiàn)注冊成功后的正確信息。正確信息處向上找第一個跳轉(zhuǎn)就是我們要找的關(guān)鍵跳轉(zhuǎn)。|:004F4E2C B8004F4F00 mov eax, 004F4F00:004F4E31 E8563DF6FF call 00458B8C:004F4E36 A16C305000 mov eax, dword ptr 0050306C:004F4E3B 8B00 mov eax, dword ptr eax* Possible StringData Ref from Code Obj

10、 ->"中華壓縮(ChinaZip-注冊版"|:004F4E3D BA244F4F00 mov edx, 004F4F24:004F4E42 E80DE1F3FF call 00432F54:004F4E47 33C0 xor eax, eax:004F4E49 5A pop edx:004F4E4A 59 pop ecx:004F4E4B 59 pop ecx:004F4E4C 648910 mov dword ptr fs:eax, edx:004F4E4F 686E4E4F00 push 004F4E6E* Referenced by a (Unconditio

11、nal or (Conditional Jump at Address:|:004F4E62(U|:004F4E54 8B45FC mov eax, dword ptr ebp-04:004F4E57 E868E2F0FF call 004030C4:004F4E5C C3 ret:004F4E5D E9C2E9F0FF jmp 00403824:004F4E62 EBF0 jmp 004F4E54* Referenced by a (Unconditional or (Conditional Jump at Address:|:004F4DEC(C|* Possible StringData

12、 Ref from Code Obj ->"注冊碼不正確, 無法注冊!" <-這個就是出錯的信息了，那正確信息也就在附近，上下看看。 |:004F4E64 B8484F4F00 mov eax, 004F4F48 <-雙擊來到這里 :004F4E69 E81E3DF6FF call 00458B8C:004F4E6E 33C0 xor eax, eax:004F4E70 5A pop edx:004F4E71 59 pop ecx:004F4E72 59 pop ecx:004F4E73 648910 mov dword ptr fs:eax, edx:0

13、04F4E76 689B4E4F00 push 004F4E9B你可能有點不明白，為什么我說它就是關(guān)鍵跳轉(zhuǎn)呢？還記的在破解原理中我舉的例子嗎？我再給你講一遍好了，通常我們會遇到兩種關(guān)鍵跳轉(zhuǎn)，我分別舉例說明:(1je (jne,jz,jnz 19870219. XXXXXXXXXX. XXXXXXXXXX. 軟件注冊正確的相關(guān)信息.19870219 軟件的出錯信息.也就是說這第一種情況是先判斷注冊碼是否正確，如果不正確就跳到19870219處，正確的話就不跳轉(zhuǎn)，一直執(zhí)行下去，直至注冊正確處。 對于這種情況，我們要找的關(guān)鍵跳轉(zhuǎn)，就是正確信息上面的第一個跳轉(zhuǎn)。我們可能對其作相應(yīng)修改或?qū)⑵浣onop 掉

14、就萬事OK 了。(2je (jne,jz,jnz 19870219. XXXXXXXXXX. XXXXXXXXXX. 軟件的出錯信息.19870219 軟件注冊正確的相關(guān)信息.而這第二種情況就是先判斷注冊碼正確與否，如果正確就跳到19870219處，不正確的話就不跳轉(zhuǎn)，一直執(zhí)行下去，直至出錯處。對于這種情況，我們要找的關(guān)鍵跳轉(zhuǎn)就是出錯信息上面的第一個跳轉(zhuǎn)。將其做相應(yīng)修改或改為jmp 后我們就可以為所欲為了呵呵，道理也都給你講明白了，我們來改一下試試吧。我們在W32Dasm 中選中關(guān)鍵跳轉(zhuǎn)，在右下角的狀態(tài)欄中看到相應(yīng)的偏移地址為000F41EC 。好的，我們用UltraEdit 來打開它。Ctr

15、l+G，接著輸入0xF41EC ，回車后便會跳到相應(yīng)的位置。相應(yīng)的機(jī)器碼是75(jne，我們將其改為74(jz后存盤退出。好了，運行一下看看，我們來隨便輸入一個注冊碼注冊一下試試。呵呵，注冊成功！用W32Dasm 我們就講到這里，呵呵，很簡單的，你下去之后自己找些保護(hù)簡單的軟件上上手吧。我們接著來講用調(diào)試器來進(jìn)行爆破。如果你真的試圖用W32Dasm 去爆破幾個軟件的話，用不了多少時間你就會發(fā)現(xiàn)一些問題。比如說有的軟件你用W32Dasm 反匯編后串式參考根本就不能用。或者串式參考中沒有出錯或正確的信息。還有就是有的軟件就算你通過串式參考來到了相應(yīng)的地方，剛想去找關(guān)鍵跳轉(zhuǎn)你就會發(fā)現(xiàn)眼前的東西比你想

16、像中的要亂的多. 雖然你有可能通過認(rèn)真仔細(xì)地找，仍會找到，但我不認(rèn)為那是一件聰明的事情。畢竟，有一些動靜是只有在程序執(zhí)行期間才能看出來的。好的，如果你用W32Dasm 遇到了找不到關(guān)鍵跳轉(zhuǎn)的軟件，就去用調(diào)試器吧?。阌谜{(diào)試器前可先用W32Dasm 打開一遍看個先，如果很容易就讓你找到了。那就沒必要了）在開始之前我們有必要講一下用調(diào)試器來爆破的步驟（我知道你一定會用調(diào)試器的 ）：首先，我們當(dāng)然還是要把你要Crack 的軟件給裝上（我擋我擋我擋，不要亂丟東西嘛! ）然后來到輸入注冊碼的地方，仍舊隨便輸入一個，接著不要按確定，待我們把調(diào)試器叫出來先。還記的我前面跟你講的API 的事情嗎？軟件要得到你

17、輸入的注冊碼，就一定會調(diào)用某個API 函數(shù)來達(dá)到目的。我們就在調(diào)試器中用相應(yīng)的API 來做斷點，這樣的話，只要一有程序調(diào)用這個API ，就會被調(diào)試器給攔截下來。 GetDlgItemInt 、GetDlgItemText 、GetDlgItemTextA 這三個函數(shù)可能會有用。但是如果你用的是98，那為什么不用hmemcpy 呢？那真的是一個不錯的主意。當(dāng)我們下完斷點后就返回到你要注冊的那個軟件中，點確定這類的按鈕。如果被調(diào)試器給斷了下來，就說明你剛才下的斷點有用，如果沒有被斷下來，就換個斷點試試。接下來我們在調(diào)試器中來取消剛才你下的那個斷點，我們以TRW2000為例（SoftICE 與其操作

18、大體相同）取消斷點用bc *指令。然后我們就輸入pmodule 指令來返回到程序的領(lǐng)空（而在SoftICE 中由于沒有相應(yīng)指令，呵呵，狂按F12吧）?，F(xiàn)在我們把話題岔開一下，什么是領(lǐng)空呢？舉個例子吧，你的程序要得到你輸入的那個注冊碼，就會去調(diào)用相應(yīng)的函數(shù)。比如調(diào)用GetDlgItemTextA ，而GetDlgItemTextA 本身又會去調(diào)用Hmemcpy 這個函數(shù)，而這些函數(shù)都是存在于系統(tǒng)中的某個DLL 文件中的。那么當(dāng)這個程序調(diào)用相應(yīng)的API 函數(shù)的話，程序的領(lǐng)空就會轉(zhuǎn)到這個相應(yīng)的DLL 文件中去執(zhí)行這個API 函數(shù)。（你就這樣理解就行了）我前邊也說過了，Hmemcpy 這個函數(shù)應(yīng)用程序

19、本身并不直接調(diào)用，而是由其它的API 函數(shù)來調(diào)用。那么，你就可以理解為你的程序調(diào)用了一個API 函數(shù)，調(diào)用的同時程序的領(lǐng)空會轉(zhuǎn)到這個API 所在的DLL 文件里，而這個API 又調(diào)用了Hmemcpy 函數(shù)，那么此時領(lǐng)空就會又轉(zhuǎn)到了Hmemcpy 所在的DLL 文件中，之后當(dāng)Hmemcpy 執(zhí)行完畢，就會返回到調(diào)用它的API 的領(lǐng)空中去，而當(dāng)這個API 執(zhí)行完畢的后就會返回到調(diào)用它的應(yīng)用程序的領(lǐng)空中去。比如說我們用Hmemcpy 這個函數(shù)來當(dāng)斷點，當(dāng)我們輸入完注冊碼按確定后，程序就會去調(diào)用某個API 來得到你輸入的那些數(shù)據(jù)，而這“某個API ”又會去調(diào)用Hmemcpy ，所以程序就被斷到了。當(dāng)然

20、此時程序的領(lǐng)空也就不會在應(yīng)用程序中了，但是當(dāng)我們輸入過pmodule 指令之后我們就可以反回到應(yīng)用程序本身的領(lǐng)空中去了。這樣的話你看到的就是應(yīng)用程序自身的代碼了，而不是API 的！好了，我接著剛才的說（到哪兒了來著？）當(dāng)我們返回到程序自身的領(lǐng)空中去后就一直狂按F12吧，F(xiàn)12的作用是一直執(zhí)行程序，直到遇上ret 等指令。也就是一大坨一大坨地來執(zhí)行程序_你一直按F12，直到程序出現(xiàn)注冊錯誤對話框。然后記下剛才你按的次數(shù)，接著從頭做起，這一次按F12的次數(shù)是你剛才按的次數(shù)-1，也就是說比上一次要少按一次。而后按鍵由F12換至F10（怎么沒有F4? ），還是一路狂按，直到軟件提示出錯，這次記下你按F

21、10的次數(shù)。好的，再從頭來一遍，我們再次按F10的時候，要一步一步慢慢來，一般你按F10的次數(shù)離你上次按的次數(shù)相差五六步的時候，一般就會看見一個CALL ，接著是一個跳轉(zhuǎn)指令。你一步一步地來，看過了這個跳轉(zhuǎn)指令之后會不會跳走，如果跳走了，那一般你不會再過兩三步就應(yīng)該出錯了。當(dāng)然也有可能是你沒有跳走，而過了兩三步就出錯了。這個應(yīng)該不難理解，因為基本上它和我前邊跟你介紹過的是一個道理。然而另外一種情況是你一路按F10下來，到了最后會發(fā)現(xiàn)根本沒什么跳轉(zhuǎn)指令，呵呵，別害怕，這個很常見的。遇上這種情況，我們只要把F10的次數(shù)變換為上次按F10的次數(shù)-1，這樣的話你一般就會停在一個CALL 處，而這個CA

22、LL ，就是程序中的關(guān)鍵CALL ，我們之后要吃點兒苦，要按F8追進(jìn)去分析它，程序注冊的成功與失敗，就在這個CALL 中，也就是說我們要修改的關(guān)鍵跳轉(zhuǎn)，也在這個CALL 中。呵呵，其實也很好理解的，就是把我上邊說的那些個判斷什么地放到了一個CALL 里面。我們按F8追進(jìn)去之后便仍舊按F10來一步一步執(zhí)行，過不了多長時間你就會發(fā)現(xiàn)關(guān)鍵跳轉(zhuǎn)了，找關(guān)鍵跳轉(zhuǎn)的方法跟我前邊說的一樣，即按F10的次數(shù)跟上一次差五六步的時候慢下來，就會看到了。你應(yīng)該明白，程序是很靈活的東西，并沒有那么多公式化的東西在里邊，大概的分析方法就是這個樣子，一切都要靠你自己去掌握，別人跟你講，也只是講一個分析的方法而以，我相信隨著

23、你以后經(jīng)驗的提高，你慢慢地就能應(yīng)付各種情況了?，F(xiàn)在，我們再用調(diào)試器來對CHINAZIP 這個軟件進(jìn)行分析，希望你能夠掌握這個并不難的方法。首先，你要把剛才爆破過了的再改回來，或直接重裝一遍。之后我們打開它，任意輸入注冊碼，接著按Ctrl+N呼出TRW ，下斷點hmemcpy 。下過后按F5退出（它就是不用F4，我也沒辦法_）然后我們點擊確定。好的，程序被斷了下來:KERNEL?HMEMCPY0147:9e62 push bp0147:9e63 mov bp,sp0147:9e65 push ds0147:9e66 push edi0147:9e68 push esi0147:9e6a cld0

24、147:9e6b mov ecx,bp+060147:9e6f jcxz 9ee9以下N 多代碼省略我們輸入bc *來取消斷點，然后用pmodule 來返回到程序的領(lǐng)空: 0167:00436d13 mov ebx+0c,eax0167:00436d16 mov eax,ebx0167:00436d18 cmp eax,byte +0c0167:00436d1b jnz 00436d380167:00436d1d mov edx,ebx+080167:00436d20 push edx0167:00436d21 mov ecx,ebx+040167:00436d24 mov edx,eax01

25、67:00436d26 mov eax,esi0167:00436d28 call 00432b24N 多代碼仍舊省略按7下F12另加1下F10來到0167:004f4dc4處，我們接著一下一下來按F10，大概按了10多下，就可以看到004f4dec 處有一個跳轉(zhuǎn)，我們執(zhí)行到004f4dec 處后果然跳走了。會跳到004f4e64處，我們跳過去之后按不了三下，程序就提示出錯了。呵呵，明白過來了吧，004f4dec 處的那個跳轉(zhuǎn)jnz 004f4e64就是關(guān)鍵跳轉(zhuǎn)，嘿嘿，找到了之后不用我說了吧0167:004f4dc4 mov eax,ebp-080167:004f4dc7 push eax01

26、67:004f4dc8 lea edx,ebp-100167:004f4dcb mov eax,ebx+02e00167:004f4dd1 call 00432f240167:004f4dd6 mov edx,ebp-100167:004f4dd9 lea ecx,ebp-0c0167:004f4ddc mov eax,ebx0167:004f4dde call 004f4fac0167:004f4de3 mov edx,ebp-0c0167:004f4de6 pop eax0167:004f4de7 call 0040411c0167:004f4dec jnz 004f4e64 <-關(guān)

27、鍵跳轉(zhuǎn)！0167:004f4dee mov dl,010167:004f4df0 mov eax,004525580167:004f4df5 call 004526580167:004f4dfa mov ebp-04,eax0167:004f4dfd xor eax,eax0167:004f4dff push ebp0167:004f4e00 push dword 004f4e5d0167:004f4e05 push dword fs:eax0167:004f4e08 mov fs:eax,esp0167:004f4e0b mov cl,010167:004f4e0d mov edx,004f

28、4ea80167:004f4e12 mov eax,ebp-040167:004f4e15 call 0045283c0167:004f4e1a mov ecx,004f4ecc0167:004f4e1f mov edx,004f4ef40167:004f4e24 mov eax,ebp-040167:004f4e27 call 00452c800167:004f4e2c mov eax,004f4f000167:004f4e31 call 00458b8c0167:004f4e36 mov eax,0050306c0167:004f4e3b mov eax,eax0167:004f4e3d

29、mov edx,004f4f240167:004f4e42 call 00432f540167:004f4e47 xor eax,eax0167:004f4e49 pop edx0167:004f4e4a pop ecx0167:004f4e4b pop ecx0167:004f4e4c mov fs:eax,edx0167:004f4e4f push dword 004f4e6e0167:004f4e54 mov eax,ebp-040167:004f4e57 call 004030c40167:004f4e5c ret0167:004f4e5d jmp 004038240167:004f4

30、e62 jmp short 004f4e540167:004f4e64 mov eax,004f4f48 <-由上面的0167:004f4dec處跳來，出錯!;0167:004f4e69 call 00458b8c0167:004f4e6e xor eax,eax再來給你舉另一個例子：【軟件名稱】天網(wǎng)防火墻【軟件版本】2.46 Beta【文件大小】1289KB【適用平臺】Win9x/Me/NT/2000【軟件簡介】天網(wǎng)防火墻個人版是一套給個人電腦使用的網(wǎng)絡(luò)安全程序，它可以幫你抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露，并可與我們的網(wǎng)站相配合，根據(jù)可疑的攻擊信息，來找到攻擊者。同時天網(wǎng)防火墻個人版把

31、網(wǎng)絡(luò)分為本地網(wǎng)和互聯(lián)網(wǎng)，可以針對來自不同網(wǎng)絡(luò)的信息，來設(shè)置不同的安全方案，它適合于在撥號上網(wǎng)的用戶，也適合通過網(wǎng)絡(luò)共享軟件上網(wǎng)的用戶。 件上網(wǎng)的用戶。 年合訂本的配套光盤中找的， 該軟件仍舊是我從電腦報 2001 年合訂本的配套光盤中找的，軟件的注 冊碼可以到其網(wǎng)站免費獲得. 冊碼可以到其網(wǎng)站免費獲得. 我們還是要先把它裝上 某民工：你小子敢再說一句廢話試試！_） 我們還是要先把它裝上（某民工：你小子敢再說一句廢話試試！_） 看一下它有沒有加殼，呵呵，BC+編譯 沒有加殼， 編譯， 之后我們用 FI 看一下它有沒有加殼，呵呵，BC+編譯，沒有加殼，爽！ 運行它，在注冊對話框中隨便輸入點什么，

32、運行它，在注冊對話框中隨便輸入點什么，比如說這星期又出了幾部新 電影，都叫什么名字等等. 電影，都叫什么名字等等. 好的， 出場。先胡亂輸入兩個字符串， 好的，我們接下來請 TRW2000 出場。先胡亂輸入兩個字符串，比如第一 個輸入“英雄的導(dǎo)演是？ 第二個輸入“可能是趙本山” 個輸入“英雄的導(dǎo)演是？”第二個輸入“可能是趙本山”: 叫出來， hmemcpy， 退出。 接下來就按 Ctrl+N 把 TRW2K 叫出來， bpx hmemcpy， 下 之后按 F5 退出。 接著可以按確定就成了， 斷掉， 接著可以按確定就成了，程序會被 TRW2K 斷掉，我們緊接著輸入 bc * pmodule。

33、以及 pmodule。 下程序就會報錯， 下面可以開始按 F12 了，一共按 8 下程序就會報錯，我們第二次就按 7 F10， 程序就又報錯了（呵呵， 下然后開始按 F10，按 70 下 F10 程序就又報錯了（呵呵，一定要有耐 心哦）。 心哦）。 好的，我把反匯編后的代碼給你貼出來： 好的，我把反匯編后的代碼給你貼出來： edx,ebp<-7 0167:0041c617 lea edx,ebp-04 <-7 下 F12 后按一下 F10 來到這里 0167:0041c61a mov ecx,0052ae7c 0167:0041c620 mov eax,ecx 0167:0041c

34、622 mov eax,eax+0318 add 0167:0041c628 add eax,byte +2c 0167:0041c62b call 00517740 ebp0167:0041c630 dec dword ebp-20 eax,ebp0167:0041c633 lea eax,ebp-04 0167:0041c636 mov edx,02 0167:0041c63b call 00517710 ebp0167:0041c640 mov word ebp-2c,14 eax,ebp0167:0041c646 lea eax,ebp-08 00401d60 0167:0041c64

35、9 call 00401d60 0167:0041c64e mov edx,eax ebp0167:0041c650 inc dword ebp-20 ecx,ebp0167:0041c653 mov ecx,ebp-40 0167:0041c656 mov eax,ecx+02e0 0167:0041c65c call 004b9f14 edx,ebp0167:0041c661 lea edx,ebp-08 0167:0041c664 mov ecx,0052ae7c eax,ecx 0167:0041c66a mov eax,ecx 0167:0041c66c mov eax,eax+0318 0167:0041c672 add eax,byte +30 0167:0041c675 call 00517740 ebp0167:0041c67a dec dword ebp-20 eax,ebp016