NTFS和FAT32 互转 / 北斗.H3.Pauly.netwinxp.haiou327.dvd008 ..win7启动技术探讨中..

netwinxp · 发表于 2009-12-16 18:35:48

原帖由 junyee 于 2009-12-16 16:15 发表
狂汗，，，各位高手今天才发现啊？？？

GHOST，GHOST32都是基于扇区的备份或还原。
而GHOSTEXP提取却是只基于文件的还原。
就像你用7z压缩一个文件，用WINRAR也能解压一样，这你会感觉很奇怪吗？？？
。何 ...

谁告诉你GHOST、GHOST32是居于扇区备份的？其实GHOST分区到映像和映像到分区全是居于文件的(如果是居于扇区的话，BPB、文件链就会一样，你还能在不同容量的分区里面还原吗？最好多实践一下，不要想当然)，只不过里面多了引导信息而已(和可引导的WIM差不多原理)。至于文件权限问题，本来就是NTFS的特点，FAT/FAT32文件项里面没有对应的字段，当然会丢失，你把权限更多的uinx文件拷到windows下不同样也会丢失？

[ 本帖最后由 netwinxp 于 2009-12-16 18:44 编辑 ]

fujianabc · 发表于 2009-12-16 19:05:15

原帖由 haiou327 于 2009-12-15 21:05 发表
记得以前老九写了个 bootsect的GUI，当时应该是Vista的bootsect是不支持MBR参数的，只支持写分区引导代码，到W7 bootsect 开始支持 MBR参数

vista sp0的bootsect不支持mbr参数，从vista sp1 6001开始就支持了

fujianabc · 发表于 2009-12-16 19:22:39

原帖由 netwinxp 于 2009-12-13 11:05 发表

令人疑惑的是，照道理win7只能安装在ntfs分区上，那么fat32的win7 bootrecord又是怎样折腾出来的？是不是可以这么理解——所谓的fat/fat32上的win7 bootrecord其实只是winnt5.x的变形(仅仅将ntldr改成bootmgr可能另外还作了一小部分修改)。***
BTW:ms一直有保留引导以前操作系统接口的传统，比如:win9x通过加载io.dos、msdos.dos引导dos6.x，nt5.x通过加载bootsec....dos引导win9x或者早期dos。bootmgr会不会也保留引导ntldr的接口呢？从hhh333的实验来看，应该是有的。

vista/win7 windows文件夹所在分区只能在ntfs上，但是bootmgr/bcd所在分区可以是FAT12/16/32。所以存在FAT分区的bootmgr的bootrecorder

fujianabc · 发表于 2009-12-16 19:31:04

各位请注意，如果用ghost explorer直接解压vista/win7的gho，会出现两大问题
1、ntfs软硬连接的问题
2、权限的问题

1.ntfs软硬连接的问题
直接ghost恢复gho，硬连接会处理成一个文件，只占用一分空间。而用ghost explorer释放，硬连接则被处理成多个独立文件，而占用多份空间，这样诸如winsxs文件夹会多占用很多空间。
直接ghost恢复gho，软连接/符号连接会保留。但用gho explorer释放，符号连接会变成普通的空文件夹。

2、直接ghost explorer释放会丢失系统文件的那些访问权限

同样，如果通过rar/7z等工具来直接备份系统，也会出现以上两大问题。

与此类似，如果直接用7-zip解压wim而不使用imagex解压wim，一样会出现这两大问题

haiou327 · 发表于 2009-12-16 19:40:57

原帖由 fujianabc 于 2009-12-16 19:05 发表

vista sp0的bootsect不支持mbr参数，从vista sp1 6001开始就支持了

fujianabc 就是 fujianabc把系统弄得这么透，Vista只用过几天时间不习惯就换回叉屁。

hhh333 · 发表于 2009-12-16 19:47:34

原帖由 fujianabc 于 2009-12-16 19:31 发表
各位请注意，如果用ghost explorer直接解压vista/win7的gho，会出现两大问题
1、ntfs软硬连接的问题
2、权限的问题

1.ntfs软硬连接的问题
直接ghost恢复gho，硬连接会处理成一个文件，只占用一分空间。而 ...

fujianabc 就是 fujianabc，对NT6X系统理解得很透，这确实是两个大问题！我要写到那个总结帖中。看来这种恢复文件的方式在NT6系统中要打大折扣。

dongyou2007 · 发表于 2009-12-16 19:57:24

一直用Ghostexp只要C盘可引导提取的文件就可以启动，无所谓Ntfs或FAT

victor888 · 发表于 2009-12-16 20:29:02

SORRY，可能是我没有看清楚，这个主题到底讨论了什么？好像是好久以前就研究过。

四海皆狂龙 · 发表于 2009-12-16 21:50:12

晕死，本来GHOST就最好的地方就是可以备份MBR部分，现在这样当压缩软件使用，优势全没了，真不知道怎么想的。如果硬要要这样用，还不如7Z RAR IMAGEX之流，其实IMAGEX也就查备份MBR，要不然GHOST哪有戏，现在被你这么一反，还真是短路不走走长路。

junyee · 发表于 2009-12-17 00:54:11

原帖由 netwinxp 于 2009-12-16 18:35 发表

谁告诉你GHOST、GHOST32是居于扇区备份的？其实GHOST分区到映像和映像到分区全是居于文件的(如果是居于扇区的话，BPB、文件链就会一样，你还能在不同容量的分区里面还原吗？最好多实践一下，不要想当然)，只不过里面多了引导信息而已(和可引导的WIM差不多原理)。至于文件权限问题，本来就是NTFS的特点，FAT/FAT32文件项里面没有对应的字段，当然会丢失，你把权限更多的uinx文件拷到windows下不同样也会丢失？

啊，被鱼板打了一棒子。

我把我“想当然的”东西说出来，可能很多地方都说得不是那么准确或者说不那么正确。
无忧是一个交流气氛很好场所，我很喜欢这种气氛，
还有一个时空论坛，但是我就不是那么喜欢了，因为某些原因不开放注册，当然你也可以用公用帐号（想想租房与住房的区别吧），如http://bbs.znpc.net/viewthread.php?tid=4505所述，它是一个技术论坛，大概是不怎么欢迎脑子里装着些幼稚问题的新手的。。。不好意思，走题了。
我很喜欢学习，我想我正在慢慢进步，而在漫长的学习中也特崇拜那些像鱼板一样的高手……
我说得不对的地方，有人改正，我非常高兴，但是如果能缓些语气就更好了。
无忧里面高手如云，我每发一贴，如果有哪位B主回复了，我会非常高兴，并且会专心地阅读理解学习记牢他说的每一句话。
不过有些铁面无私、冷面无情的执法者回复了的话，我就怕怕了
在印象里netwinxp是非常之热心和气的，回复见解独到，准确精辟。令我等增长了不少见识……

但是:
所谓河不拒小流,-我想，无忧还是能容得下一些个砂子的，
还有一句话叫"愚者千虑,必有一得“嘛，希望众位高手们对我们的一些个想当然的看法不要生气。
GHOST基于扇区这种在您看来幼稚的看法其实也不是我想当然得来的，咱也是在无忧看到的，忘了出处了-_-，见没人反对，我就把他记下了
("既然称之为克隆软件，说明其Ghost的备份还原是以硬盘的扇区为单位进行的，也就是说可以将一个硬盘上的物理信息完整复制，而不仅仅是数据的简单复制..." 自:http://baike.baidu.com/view/2666.htm?fr=ala0#2 看来不止是我想当然，百度百科也会啊，嘿嘿)

谢谢netwinxp的回复，如果我今后万一再说了些在您看来是想当然的话，还请您能仍然不吝赐教。
不过我今后一定慎言慎行，再衷心地谢谢您的指教！！！

原帖由 zhxy9804 于 2009-12-16 20:24 发表
但是提取似乎要经历两次复制，先复制到临时文件夹，然后才到了目标文件夹

拒我想当然，主观感受及客观感觉上来看，
GHOSTEXP的提取到似乎MS是直接提取到文件夹，而，GHOSTEXP中的复制（以及拖动到文件夹）可能才是要经过临时目录的。
君可以试试，PE下X盘如果只剩下30M，然后用GHOSTEXP打开一个GHO，再提取出一个大于30M的单文件，如果失败，则似乎可以说明是要经过临时目录。

这只是我个人的感觉，没有经过理论验证，更没有权威评定，仅仅一家之言，或不足采信。呵呵。

[ 本帖最后由 junyee 于 2009-12-17 11:30 编辑 ]

fujianabc · 发表于 2009-12-17 01:39:09

原帖由 junyee 于 2009-12-17 00:54 发表

("既然称之为克隆软件，说明其Ghost的备份还原是以硬盘的扇区为单位进行的，也就是说可以将一个硬盘上的物理信息完整复制，而不仅仅是数据的简单复制..." 自:http://baike.baidu.com/view/2666.htm?fr=ala0#2 看来不止是我想当然，百度百科也会啊，嘿嘿)

ghost如果默认就是按扇区备份，那就不存在用ghost来“整理碎片”这个技巧了。正因为ghost是以文件为单位来备份和还原的，才能用来“整理碎片”。

其实ghost默认基本上就是按文件备份的，顶多再备份一下启动扇区和FAT表等几个关键扇区。

但是你可以改变默认值，用ghost时，你可以在选项中选择按扇区备份，这样制作出来的就是真正的镜像，但这样的镜像会大很多。

66369 · 发表于 2009-12-17 08:08:45

通过FAT32 NTFS 互转.讨论硬盘引导.

通过互转.进一步了解GHOST.

通过GHOST 又研究Win7引导....

已经确认.普通的GHO文件.内含分区引导.和磁盘文件.

用复制法.进而证明. GHOSTXP提取.只提取了磁盘文件....

请大家朝前多看贴.要用实验结果说话...不要想当然...

12050202 · 发表于 2009-12-17 10:50:10

原帖由 zhxy9804 于 2009-12-17 07:56 发表
ghost -id就备份出来很大，一般我都是ghost -ib，这样备份出来，1jf9还完好的存在

仔细看.这里已不是GHOST备份的事了.

讨论的问题更深.

junyee · 发表于 2009-12-17 11:21:17

原帖由 fujianabc 于 2009-12-17 01:39 发表

ghost如果默认就是按扇区备份，那就不存在用ghost来“整理碎片”这个技巧了。正因为ghost是以文件为单位来备份和还原的，才能用来“整理碎片”。

其实ghost默认基本上就是按文件备份的，顶多再备份一下启动 ...

谢谢，受教了。
在备份或还原时，GHOST界面中有Current file一项，应该也可以说明是按文件进行备份或还原的。

再想当然地问一句，GHOST备份方式是否类似那些数据恢复软件？因为某些打不开的损坏的分区，GHOST也可以备份，并能用GHOSTEXP打开查看文件。

hhh333 · 发表于 2009-12-17 12:27:43

原帖由 zhxy9804 于 2009-12-16 20:24 发表
但是提取似乎要经历两次复制，先复制到临时文件夹，然后才到了目标文件夹

如果用复制、粘贴方式是先解压到临时文件的，如果是提取就是直接释放的。

kloikjj · 发表于 2009-12-17 20:24:00

引用79楼 sumhl：
哈哈~老水还测试呢？一种模式的硬盘备份和还原是没有问题的。如果是两块硬盘（其中串口盘AHCI模式备份的GHO文件，还原到并口盘硬盘会出现问题。）
引用80楼66369：
搞的正是并口GHO 恢复到串口的...

============================

事实上，串口的GHO镜像恢复到并口的是要兰屏的，反之并口的恢复到串口的就有问题的，我第一次遇到这种情况时纳闷了好久，折腾了半天多才搞定

============================

用这种方法装系统优点是非常多的，至少可以让不能GHO的GHOST文件重新用于安装系统，MD5不对的也可以，怕误恢复的也行，有选择的恢复的也行

66369 · 发表于 2009-12-18 09:22:47

原帖由 zhxy9804 于 2009-12-18 08:13 发表

是你不懂吧，还说什么串口并口问题，这是驱动问题了，不在讨论范围内，
看了半天帖子，竟然还看不明白

--------------------

版主说到要害了.

通过FAT32 NTFS 互转.讨论硬盘引导.
通过互转.进一步了解GHOST.
通过GHOST 又研究Win7引导....
已经确认.普通的GHO文件.内含分区引导.和磁盘文件.
用复制法.进而证明. GHOSTXP提取.只提取了磁盘文件....
请大家多看贴.要用实验结果说话...

possible008 · 发表于 2009-12-18 09:37:48

不是很懂呀，无忧有没教程给看呀？

yhhxlp · 发表于 2009-12-18 14:51:27

原帖由北斗于 2009-12-11 16:09 发表
以下实机测试

1、主机自带硬盘，C盘格式为NTFS，做GHO镜像。

2、另挂一块硬盘，此硬盘用MHDD或者低格工具处理过，没有任何引导记录和分区表。在主机上用DiskGenius分两个区，C格式化为FAT32

3、按照1楼 ...

这个应该是分区兼容性问题的问题！新盘和低格了盘很多出这个问题用过的基本不出这个问题

sratlf · 发表于 2009-12-20 10:03:22

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=157868

zhhsh · 发表于 2009-12-20 11:11:16

原帖由 kloikjj 于 2009-12-17 20:24 发表
引用79楼 sumhl：
哈哈~老水还测试呢？一种模式的硬盘备份和还原是没有问题的。如果是两块硬盘（其中串口盘AHCI模式备份的GHO文件，还原到并口盘硬盘会出现问题。）
引用80楼66369：
搞的正是并口GHO 恢复到 ...

目前驱动这部分已经很容易解决了。现在不用担心这个。

netwinxp · 发表于 2009-12-25 08:09:19

修正一下第20页的win7 FAT32 PBR反汇编源码

goule22 · 发表于 2009-12-25 16:19:38

谢谢分享，学习了！~

freesoft00 · 发表于 2010-1-4 19:39:05

老是听一些人说ghost还原分区的时候是边格式化边复制文件的，到底是不是这样？所以ghost后就没有了磁盘碎片

seeweb · 发表于 2010-1-4 19:41:54

我猜GHOST 是按照文件分区表克文件一个文件就按照顺序完整的复制下来
和格式化没关系
比如你一个空盘一个有文件的盘直接复制也是没有碎片的
文件碎片是来回删除复制文件文件簇不一样大不能直接塞进去造成的

seeweb · 发表于 2010-1-4 20:10:55

受教了，我一直以为GHOST 压缩了一些我们磁盘上直接看不到的启动信息呢
原来可以通过划分的方法修改分区格式特别是能让NTFS转换到FAT32 谢谢

33445566 · 发表于 2010-1-5 15:56:00

谁能弄个小结或教程

66963534 · 发表于 2010-1-8 01:40:26

直接G是比较快。但是如果硬盘有文件还是先PE下比较好

birdn · 发表于 2010-2-22 22:44:23

晕倒...早些时候仔细看看这贴就好了...

我今天搞的一个机器ntfs转fat32(因为做税控,装金税卡的人说不是fat32格式不行)...
我在PE下用DG把ntfs的系统盘格成fat32格式...特意还用bootice看了...没发现格式化前后有什么不同...
(不知道是不是要重新启动再进PE才能用bootice看到变化?因为时间紧没试...)
因为手头没有fat32文件系统的GHO文件,就用ghostexp提取了gho文件...重启发现不能引导...只好用最原始的办法重新安装了系统...

另外想请教大家...装了一键ghost的硬盘用bootice看主引导记录是"其它MBR"...
请问这个"其它mbr"是什么引导方式?为什么bootice识别不到?或者哪个版本的bootice识别得到?
盼望哪位好心人能路过告知一声...谢谢!!

netwinxp · 发表于 2010-2-23 00:08:26

前些天反汇编了NTFS的，顺手贴出来，当然如果错误也是难免的
WIN7 NTFS PBR

0000:7C00 EB52 jmp 7C54
0000:7C02 90 nop
;==============================================
label BPB
0000:7C03 Oemstr db 'NTFS '
0000:7C0B BytePerSec dw 0200;每扇区字节数
0000:7C0D SecPerClu db 08;每簇扇区数
0000:7C0E ResvdSec dw 0000;保留扇区数
0000:7C10 Resvd db 3dup(00)
0000:7C13 Unused dw 0000;未使用
0000:7C15 Media db F8;介质字节
0000:7C16 Unused dw 0000;总为0
0000:7C18 SecPerCly dw 003F;每磁道/柱面扇区数
0000:7C1A NumOfHead dw 00FF;磁头数
0000:7C1C HidenSec dd 0000003F;分区前隐藏扇区数
0000:7C20 Unused dd 00000000
0000:7C24 DrvNum db 80,00,80,00;总是填充该值
0000:7C28 TolSec dq 00000000007FF54A;总扇区数
0000:7C30 MFTCluNum dq 0000000000000004;$MFT逻辑簇号
0000:7C38 MFTMIRRCluNum dq 000000000007FF54;$MFT MIRR逻辑簇号
0000:7C40 CluPerMFT dd 000000F6;每个MFT记录占的簇数
0000:7C44 CluPerIndex dd 00000001;每个索引簇数
0000:7C48 VolSerial dq xxxxxxxx;卷标系列号
0000:7C50 CheckSum dd 00000000;校验和
;=================================以上为BPB======
0000:7C54 FA cli
0000:7C55 33C0 xor ax,ax
0000:7C57 8ED0 mov ss,ax
0000:7C59 BC007C mov sp,7C00
0000:7C5C FB sti
0000:7C5D 68C007 push 07C0
0000:7C60 1F pop ds
0000:7C61 1E push ds
0000:7C62 686600 push 0066
0000:7C65 CB retf;根据堆栈内容判定将返回到0:7C66处
0000:7C66 88160E00 mov [000E],dl
0000:7C6A 66813E03004E544653 cmp dword ptr [0003],'NTFS'
0000:7C73 7515 jne 7C8A
0000:7C75 B441 mov ah,41
0000:7C77 BBAA55 mov bx,55AA
0000:7C7A CD13 int 13
0000:7C7C 720C jb 7C8A
0000:7C7E 81FB55AA cmp bx,AA55
0000:7C82 7506 jne 7C8A
0000:7C84 F7C10100 test cx,0001
0000:7C88 7503 jne 7C8D
;*跳转来的0:7C73(C),0:7C7C(C),0:7C82(C),0:7CA7(C),0:7CAD(C)
0000:7C8A E9DD00 jmp 7D6A
0000:7C8D 1E push ds
0000:7C8E 83EC18 sub sp,0018
0000:7C91 681A00 push 001A
0000:7C94 B448 mov ah,48
0000:7C96 8A160E00 mov dl,[000E]
0000:7C9A 8BF4 mov si,sp
0000:7C9C 16 push ss
0000:7C9D 1F pop ds
0000:7C9E CD13 int 13
0000:7CA0 9F lahf
0000:7CA1 83C418 add sp,0018
0000:7CA4 9E sahf
0000:7CA5 58 pop ax
0000:7CA6 1F pop ds
0000:7CA7 72E1 jb 7C8A
0000:7CA9 3B060B00 cmp ax,[000B]
0000:7CAD 75DB jne 7C8A
0000:7CAF A30F00 mov word ptr [000F],ax
0000:7CB2 C12E0F0004 shr word ptr [000F],04
0000:7CB7 1E push ds
0000:7CB8 5A pop dx
0000:7CB9 33DB xor bx,bx
0000:7CBB B90020 mov cx,2000
0000:7CBE 2BC8 sub cx,ax
0000:7CC0 66FF061100 inc word ptr [0011]
;*跳转来的0:7CD4(C)
0000:7CC5 03160F00 add dx,[000F]
0000:7CC9 8EC2 mov es,dx
0000:7CCB FF061600 inc word ptr [0016]
0000:7CCF E84B00 call 7D1D
0000:7CD2 2BC8 sub cx,ax
0000:7CD4 77EF ja 7CC5
0000:7CD6 B800BB mov ax,BB00
0000:7CD9 CD1A int 1A
0000:7CDB 6623C0 and eax,eax
0000:7CDE 752D jne 7D0D
0000:7CE0 6681FB54435041 cmp ebx,41504354
0000:7CE7 7524 jne 7D0D
0000:7CE9 81F90201 cmp cx,0102
0000:7CED 721E jb 7D0D
0000:7CEF 16 push ss
0000:7CF0 6807BB push BB07
0000:7CF3 16 push ss
0000:7CF4 68700E push 0E70
0000:7CF7 16 push ss
0000:7CF8 680900 push 0009
0000:7CFB 6653 push ebx
0000:7CFD 6653 push ebx
0000:7CFF 6655 push ebp
0000:7D01 16 push ss
0000:7D02 16 push ss
0000:7D03 16 push ss
0000:7D04 68B801 push 01B8
0000:7D07 6661 popad
0000:7D09 0E push cs
0000:7D0A 07 pop es
0000:7D0B CD1A int 1A
;*跳转来的0:7CDE(C),0:7CE7(C),0:7CED(C)
0000:7D0D 33C0 xor ax,ax
0000:7D0F BF2810 mov di,1028
0000:7D12 B9D80F mov cx,0FD8
0000:7D15 FC cld
0000:7D16 F3 repz
0000:7D17 AA stosb
0000:7D18 E95F01 jmp 7E7A
0000:7D1B 90 nop
0000:7D1C 90 nop
;*跳转来的0:7CCF,0:80DC,0:83B3,0:8532,0:860A
0000:7D1D 6660 pushad
0000:7D1F 1E push ds
0000:7D20 06 push es
;*跳转来的0:7D63(C)
0000:7D21 66A11100 mov eax,dword ptr [0011]
0000:7D25 6603061C00 add eax,[001C]
0000:7D2A 1E push ds
0000:7D2B 666800000000 push 00000000
0000:7D31 6650 push eax
0000:7D33 06 push es
0000:7D34 53 push bx
0000:7D35 680100 push 0001
0000:7D38 681000 push 0010
0000:7D3B B442 mov ah,42
0000:7D3D 8A160E00 mov dl,[000E]
0000:7D41 16 push ss
0000:7D42 1F pop ds
0000:7D43 8BF4 mov si,sp
0000:7D45 CD13 int 13
0000:7D47 6659 pop ecx
0000:7D49 5B pop bx
0000:7D4A 5A pop dx
0000:7D4B 6659 pop ecx
0000:7D4D 6659 pop ecx
0000:7D4F 1F pop ds
0000:7D50 0F821600 jb 7D6A
0000:7D54 66FF061100 inc word ptr [0011]
0000:7D59 03160F00 add dx,[000F]
0000:7D5D 8EC2 mov es,dx
0000:7D5F FF0E1600 dec word ptr [0016]
0000:7D63 75BC jne 7D21
0000:7D65 07 pop es
0000:7D66 1F pop ds
0000:7D67 6661 popad
0000:7D69 C3 ret
;*跳转来的0:7C8A(U),0:7D50(C),0:7F08(C),0:7F3B(C),0:7F44(C),0:7F97(C),0:81F1(U),0:8258(C),0:82C9(C),0:82F0(C),0:8322(C),
;* 0:8422(C),0:847E(C),0:8567(C),0:85AD(C)
0000:7D6A A0F801 mov al,[01F8]
;*跳转来的0:8C1F(U),0:8C25(U)
0000:7D6D E80900 call 7D79
0000:7D70 A0FB01 mov al,[01FB]
0000:7D73 E80300 call 7D79
;*跳转来的0:7D77(U)
0000:7D76 F4 hlt
0000:7D77 EBFD jmp 7D76
;*CALL来的0:7D6D,0:7D73
0000:7D79 B401 mov ah,01
0000:7D7B 8BF0 mov si,ax
;*跳转来的0:7D89(U)
0000:7D7D AC lodsb
0000:7D7E 3C00 cmp al,00
0000:7D80 7409 je 7D8B
0000:7D82 B40E mov ah,0E
0000:7D84 BB0700 mov bx,0007
0000:7D87 CD10 int 10
0000:7D89 EBF2 jmp 7D7D
;*跳转来的0:7D80(C)
0000:7D8B C3 ret
0000:7D8C db 0D,0A,'A disk read error occurred',00
0000:7DA9 db 0D,0A,'BOOTMGR is missing',00
0000:7DBE db 0D,0A,'BOOTMGR is compressed',00
0000:7DD6 db 0D,0A,'Press Ctrl+Alt+Del to restart',0D,0A,00
0000:7DF8 db 8C,A9,BE,D6
0000:7DFC dw 0000
0000:7DFE 55 dw AA55
0000:7E00 db 07,00
0000:7E02 db 'BOOTMGR',04,00,'$I30',00,D4,00,00,'$',00,00;UNICODE内码
0000:7E23 db 33H DUP(00)
0000:7E56 EB22 jmp 7E7A
0000:7E58 90 nop
0000:7E59 90 nop
0000:7E5A dw 0005
0000:7E5C db 'NTLDR',00;UNICODE内码
0000:7E66 db 14H DUP(00)
;*跳转来的0:7D18(U),0:7E56(U)
0000:7E7A 660FB7060B00 movzx eax,word ptr [000B]
0000:7E80 660FB61E0D00 movzx ebx,[000D]
0000:7E86 66F7E3 mul ebx
0000:7E89 66A35202 mov dword ptr [0252],eax
0000:7E8D 668B0E4000 mov ecx,[0040]
0000:7E92 80F900 cmp cl,00
0000:7E95 0F8F0E00 jg 7EA7
0000:7E99 F6D9 neg cl
0000:7E9B 66B801000000 mov eax,00000001
0000:7EA1 66D3E0 shl eax,cl
0000:7EA4 EB08 jmp 7EAE
0000:7EA6 90 nop
;*跳转来的0:7E95(C)
0000:7EA7 66A15202 mov eax,dword ptr [0252]
0000:7EAB 66F7E1 mul ecx
;*跳转来的0:7EA4(U)
0000:7EAE 66A36602 mov dword ptr [0266],eax
0000:7EB2 660FB71E0B00 movzx ebx,word ptr [000B]
0000:7EB8 6633D2 xor edx,edx
0000:7EBB 66F7F3 div ebx
0000:7EBE 66A35602 mov dword ptr [0256],eax
0000:7EC2 E89504 call 835A
0000:7EC5 668B0E4E02 mov ecx,[024E]
0000:7ECA 66890E2602 mov [0226],ecx
0000:7ECF 66030E6602 add ecx,[0266]
0000:7ED4 66890E2A02 mov [022A],ecx
0000:7ED9 66030E6602 add ecx,[0266]
0000:7EDE 66890E2E02 mov [022E],ecx
0000:7EE3 66030E6602 add ecx,[0266]
0000:7EE8 66890E3E02 mov [023E],ecx
0000:7EED 66030E6602 add ecx,[0266]
0000:7EF2 66890E4602 mov [0246],ecx
0000:7EF7 66B890000000 mov eax,00000090
0000:7EFD 668B0E2602 mov ecx,[0226]
0000:7F02 E88309 call 8888
0000:7F05 660BC0 or eax,eax
0000:7F08 0F845EFE je 7D6A
0000:7F0C 66A33202 mov dword ptr [0232],eax
0000:7F10 66B8A0000000 mov eax,000000A0
0000:7F16 668B0E2A02 mov ecx,[022A]
0000:7F1B E86A09 call 8888
0000:7F1E 66A33602 mov dword ptr [0236],eax
0000:7F22 66B8B0000000 mov eax,000000B0
0000:7F28 668B0E2E02 mov ecx,[022E]
0000:7F2D E85809 call 8888
0000:7F30 66A33A02 mov dword ptr [023A],eax
0000:7F34 66A13202 mov eax,dword ptr [0232]
0000:7F38 660BC0 or eax,eax
0000:7F3B 0F842BFE je 7D6A
0000:7F3F 6780780800 cmp byte ptr [eax+08],00
0000:7F44 0F8522FE jne 7D6A
0000:7F48 67668D5010 lea edx,dword ptr [eax+10]
0000:7F4D 67034204 add ax,word ptr [edx+04]
0000:7F51 67660FB6480C movzx ecx,byte ptr [eax+0C]
0000:7F57 66890E7202 mov [0272],ecx
0000:7F5C 67668B4808 mov ecx,dword ptr [eax+08]
0000:7F61 66890E6E02 mov [026E],ecx
0000:7F66 66A16E02 mov eax,dword ptr [026E]
0000:7F6A 660FB70E0B00 movzx ecx,word ptr [000B]
0000:7F70 6633D2 xor edx,edx
0000:7F73 66F7F1 div ecx
0000:7F76 66A37602 mov dword ptr [0276],eax
0000:7F7A 66A14602 mov eax,dword ptr [0246]
0000:7F7E 6603066E02 add eax,[026E]
0000:7F83 66A34A02 mov dword ptr [024A],eax
0000:7F87 66833E360200 cmp dword ptr [0236],00000000
0000:7F8D 0F841D00 je 7FAE
0000:7F91 66833E3A0200 cmp dword ptr [023A],00000000
0000:7F97 0F84CFFD je 7D6A
0000:7F9B 668B1E3A02 mov ebx,[023A]
0000:7FA0 1E push ds
0000:7FA1 07 pop es
0000:7FA2 668B3E4A02 mov edi,[024A]
0000:7FA7 66A12E02 mov eax,dword ptr [022E]
0000:7FAB E8E001 call 818E
;*跳转来的0:7F8D(C)
0000:7FAE 660FB70E0002 movzx ecx,word ptr [0200]
0000:7FB4 66B802020000 mov eax,00000202
0000:7FBA E82208 call 87DF
0000:7FBD 660BC0 or eax,eax
0000:7FC0 0F851600 jne 7FDA
0000:7FC4 660FB70E5A02 movzx ecx,word ptr [025A]
0000:7FCA 66B85C020000 mov eax,0000025C
0000:7FD0 E80C08 call 87DF
0000:7FD3 660BC0 or eax,eax
0000:7FD6 0F84420C je 8C1C
;*跳转来的0:7FC0(C)
0000:7FDA 67668B00 mov eax,dword ptr [eax]
0000:7FDE 1E push ds
0000:7FDF 07 pop es
0000:7FE0 668B3E3E02 mov edi,[023E]
0000:7FE5 E83F06 call 8627
0000:7FE8 66A13E02 mov eax,dword ptr [023E]
0000:7FEC 66BB20000000 mov ebx,00000020
0000:7FF2 66B900000000 mov ecx,00000000
0000:7FF8 66BA00000000 mov edx,00000000
0000:7FFE E8E400 call 80E5
0000:8001 6685C0 test eax,eax
0000:8004 0F852300 jne 802B
0000:8008 66A13E02 mov eax,dword ptr [023E]
0000:800C 66BB80000000 mov ebx,00000080
0000:8012 66B900000000 mov ecx,00000000
0000:8018 66BA00000000 mov edx,00000000
0000:801E E8C400 call 80E5
0000:8021 660BC0 or eax,eax
0000:8024 0F854400 jne 806C
0000:8028 E9F10B jmp 8C1C
;*跳转来的0:8004(C)
0000:802B 6633D2 xor edx,edx
0000:802E 66B980000000 mov ecx,00000080
0000:8034 66A13E02 mov eax,dword ptr [023E]
0000:8038 E8CA08 call 8905
0000:803B 660BC0 or eax,eax
0000:803E 0F84DA0B je 8C1C
0000:8042 1E push ds
0000:8043 07 pop es
0000:8044 668B3E3E02 mov edi,[023E]
0000:8049 E8DB05 call 8627
0000:804C 66A13E02 mov eax,dword ptr [023E]
0000:8050 66BB80000000 mov ebx,00000080
0000:8056 66B900000000 mov ecx,00000000
0000:805C 66BA00000000 mov edx,00000000
0000:8062 E88000 call 80E5
0000:8065 660BC0 or eax,eax
0000:8068 0F84B00B je 8C1C
;*跳转来的0:8024(C)
0000:806C 67660FB7580C movzx ebx,word ptr [eax+0C]
0000:8072 6681E3FF000000 and ebx,000000FF
0000:8079 0F85A50B jne 8C22
0000:807D 668BD8 mov ebx,eax
0000:8080 680020 push 2000
0000:8083 07 pop es
0000:8084 662BFF sub edi,edi
0000:8087 66A13E02 mov eax,dword ptr [023E]
0000:808B E80001 call 818E
0000:808E 680020 push 2000
0000:8091 07 pop es
0000:8092 662BFF sub edi,edi
0000:8095 66A13E02 mov eax,dword ptr [023E]
0000:8099 E8AC0A call 8B48
0000:809C 8A160E00 mov dl,[000E]
0000:80A0 B8E803 mov ax,03E8
0000:80A3 8EC0 mov es,ax
0000:80A5 8D360B00 lea si,[000B]
0000:80A9 2BC0 sub ax,ax
0000:80AB 680020 push 2000
0000:80AE 50 push ax
0000:80AF CB retf
;*CALL来的0:822B
0000:80B0 06 push es
0000:80B1 1E push ds
0000:80B2 6660 pushad
0000:80B4 668BDA mov ebx,edx
0000:80B7 660FB60E0D00 movzx ecx,[000D]
0000:80BD 66F7E1 mul ecx
0000:80C0 66A31100 mov dword ptr [0011],eax
0000:80C4 668BC3 mov eax,ebx
0000:80C7 66F7E1 mul ecx
0000:80CA A31600 mov word ptr [0016],ax
0000:80CD 8BDF mov bx,di
0000:80CF 83E30F and bx,000F
0000:80D2 8CC0 mov ax,es
0000:80D4 66C1EF04 shr edi,04
0000:80D8 03C7 add ax,di
0000:80DA 50 push ax
0000:80DB 07 pop es
0000:80DC E83EFC call 7D1D
0000:80DF 6661 popad
0000:80E1 90 nop
0000:80E2 1F pop ds
0000:80E3 07 pop es
0000:80E4 C3 ret
;*CALL来的0:7FFE,0:801E,0:8062,0:82EA,0:83D2,0:8561,0:88AF,0:88CC,0:8901,0:891B
0000:80E5 67034014 add ax,word ptr [eax+14]
;*跳转来的0:813C(U)
0000:80E9 67668338FF cmp dword ptr [eax],FFFFFFFF
0000:80EE 0F844C00 je 813E
0000:80F2 67663918 cmp dword ptr [eax],ebx
0000:80F6 0F853300 jne 812D
0000:80FA 660BC9 or ecx,ecx
0000:80FD 0F850A00 jne 810B
0000:8101 6780780900 cmp byte ptr [eax+09],00
0000:8106 0F852300 jne 812D
0000:810A C3 ret
;*跳转来的0:80FD(C)
0000:810B 673A4809 cmp cl,byte ptr [eax+09]
0000:810F 0F851A00 jne 812D
0000:8113 668BF0 mov esi,eax
0000:8116 6703700A add si,word ptr [eax+0A]
0000:811A E89706 call 87B4
0000:811D 6651 push ecx
0000:811F 1E push ds
0000:8120 07 pop es
0000:8121 668BFA mov edi,edx
0000:8124 F3 repz
0000:8125 A7 cmpsw
0000:8126 6659 pop ecx
0000:8128 0F850100 jne 812D
0000:812C C3 ret
;*跳转来的0:80F6(C),0:8106(C),0:810F(C),0:8128(C)
0000:812D 676683780400 cmp dword ptr [eax+04],00000000
0000:8133 0F840700 je 813E
0000:8137 6766034004 add eax,dword ptr [eax+04]
0000:813C EBAB jmp 80E9
;*跳转来的0:80EE(C),0:8133(C)
0000:813E 662BC0 sub eax,eax
0000:8141 C3 ret
;*CALL来的0:87FB,0:886F
0000:8142 668BF3 mov esi,ebx
0000:8145 E86C06 call 87B4
0000:8148 67660300 add eax,dword ptr [eax]
;*跳转来的0:8188(U)
0000:814C 67F7400C0200 test word ptr [bx+si+0C],0002
0000:8152 0F853400 jne 818A
0000:8156 67668D5010 lea edx,dword ptr [eax+10]
0000:815B 673A4A40 cmp cl,byte ptr [edx+40]
0000:815F 0F851800 jne 817B
0000:8163 67668D7242 lea esi,dword ptr [edx+42]
0000:8168 E84906 call 87B4
0000:816B 6651 push ecx
0000:816D 1E push ds
0000:816E 07 pop es
0000:816F 668BFB mov edi,ebx
0000:8172 F3 repz
0000:8173 A7 cmpsw
0000:8174 6659 pop ecx
0000:8176 0F850100 jne 817B
0000:817A C3 ret
;*跳转来的0:815F(C),0:8176(C)
0000:817B 6783780800 cmp word ptr [eax+08],0000
0000:8180 0F840600 je 818A
0000:8184 67034008 add ax,word ptr [eax+08]
0000:8188 EBC2 jmp 814C
;*跳转来的0:8152(C),0:8180(C)
0000:818A 6633C0 xor eax,eax
0000:818D C3 ret
;*CALL来的0:7FAB,0:808B,0:83E9,0:8932
0000:818E 67807B0800 cmp byte ptr [ebx+08],00
0000:8193 0F851C00 jne 81B3
0000:8197 06 push es
0000:8198 1E push ds
0000:8199 6660 pushad
0000:819B 67668D5310 lea edx,dword ptr [ebx+10]
0000:81A0 67668B0A mov ecx,dword ptr [edx]
0000:81A4 668BF3 mov esi,ebx
0000:81A7 67037204 add si,word ptr [edx+04]
0000:81AB F3 repz
0000:81AC A4 movsb
0000:81AD 6661 popad
0000:81AF 90 nop
0000:81B0 1F pop ds
0000:81B1 07 pop es
0000:81B2 C3 ret
;*跳转来的0:8193(C)
0000:81B3 6650 push eax
0000:81B5 67668D5310 lea edx,dword ptr [ebx+10]
0000:81BA 6685C0 test eax,eax
0000:81BD 0F850A00 jne 81CB
0000:81C1 67668B4A08 mov ecx,dword ptr [edx+08]
0000:81C6 6641 inc ecx
0000:81C8 EB11 jmp 81DB
0000:81CA 90 nop
;*跳转来的0:81BD(C)
0000:81CB 67668B4218 mov eax,dword ptr [edx+18]
0000:81D0 6633D2 xor edx,edx
0000:81D3 66F736 div dword ptr [esi]
0000:81D6 52 push dx
0000:81D7 02668B add ah,[bp-75]
0000:81DA C8662BC0 enter 2B66,C0
0000:81DE 665E pop esi
0000:81E0 E80100 call 81E4
0000:81E3 C3 ret
;*CALL来的0:81E0,0:8660
0000:81E4 06 push es
0000:81E5 1E push ds
0000:81E6 6660 pushad
0000:81E8 67807B0801 cmp byte ptr [ebx+08],01
0000:81ED 0F840300 je 81F4
0000:81F1 E976FB jmp 7D6A
;*跳转来的0:81ED(C),0:8253(U)
0000:81F4 6683F900 cmp ecx,00000000
0000:81F8 0F850600 jne 8202
0000:81FC 6661 popad
0000:81FE 90 nop
0000:81FF 1F pop ds
0000:8200 07 pop es
0000:8201 C3 ret
;*跳转来的0:81F8(C),0:830A(U)
0000:8202 6653 push ebx
0000:8204 6650 push eax
0000:8206 6651 push ecx
0000:8208 6656 push esi
0000:820A 6657 push edi
0000:820C 06 push es
0000:820D E89104 call 86A1
0000:8210 668BD1 mov edx,ecx
0000:8213 07 pop es
0000:8214 665F pop edi
0000:8216 665E pop esi
0000:8218 6659 pop ecx
0000:821A 6685C0 test eax,eax
0000:821D 0F843400 je 8255
0000:8221 663BCA cmp ecx,edx
0000:8224 0F8D0300 jnl 822B
0000:8228 668BD1 mov edx,ecx
;*跳转来的0:8224(C)
0000:822B E882FE call 80B0
0000:822E 662BCA sub ecx,edx
0000:8231 668BDA mov ebx,edx
0000:8234 668BC2 mov eax,edx
0000:8237 660FB6160D00 movzx edx,[000D]
0000:823D 66F7E2 mul edx
0000:8240 660FB7160B00 movzx edx,word ptr [000B]
0000:8246 66F7E2 mul edx
0000:8249 6603F8 add edi,eax
0000:824C 6658 pop eax
0000:824E 6603C3 add eax,ebx
0000:8251 665B pop ebx
0000:8253 EB9F jmp 81F4
;*跳转来的0:821D(C)
0000:8255 6685F6 test esi,esi
0000:8258 0F840EFB je 7D6A
0000:825C 6651 push ecx
0000:825E 6657 push edi
0000:8260 06 push es
0000:8261 67660FB64309 movzx eax,byte ptr [ebx+09]
0000:8267 6685C0 test eax,eax
0000:826A 0F842000 je 828E
0000:826E 66D1E0 shl eax,01
0000:8271 662BE0 sub esp,eax
0000:8274 668BFC mov edi,esp
0000:8277 6654 push esp
0000:8279 6656 push esi
0000:827B 67660FB7730A movzx esi,word ptr [ebx+0A]
0000:8281 6603F3 add esi,ebx
0000:8284 668BC8 mov ecx,eax
0000:8287 F3 repz
0000:8288 A4 movsb
0000:8289 665E pop esi
0000:828B EB03 jmp 8290
0000:828D 90 nop
;*跳转来的0:826A(C)
0000:828E 6650 push eax
*跳转来的0:828B(U)
0000:8290 6650 push eax
0000:8292 67668B03 mov eax,dword ptr [ebx]
0000:8296 6650 push eax
0000:8298 67668B4318 mov eax,dword ptr [ebx+18]
0000:829D 6650 push eax
0000:829F 67668B5620 mov edx,dword ptr [esi+20]
0000:82A4 6685D2 test edx,edx
0000:82A7 0F840B00 je 82B6
0000:82AB 668BFE mov edi,esi
0000:82AE 1E push ds
0000:82AF 07 pop es
0000:82B0 668BC2 mov eax,edx
0000:82B3 E87103 call 8627
;*跳转来的0:82A7(C)
0000:82B6 668BC6 mov eax,esi
0000:82B9 665A pop edx
0000:82BB 6659 pop ecx
0000:82BD 6642 inc edx
0000:82BF 6651 push ecx
0000:82C1 6656 push esi
0000:82C3 E83F06 call 8905
0000:82C6 6685C0 test eax,eax
0000:82C9 0F849DFA je 7D6A
0000:82CD 665E pop esi
0000:82CF 6659 pop ecx
0000:82D1 668BFE mov edi,esi
0000:82D4 1E push ds
0000:82D5 07 pop es
0000:82D6 E84E03 call 8627
0000:82D9 668BC6 mov eax,esi
0000:82DC 668BD9 mov ebx,ecx
0000:82DF 6659 pop ecx
0000:82E1 665A pop edx
0000:82E3 6651 push ecx
0000:82E5 6656 push esi
0000:82E7 66D1E9 shr ecx,01
0000:82EA E8F8FD call 80E5
0000:82ED 6685C0 test eax,eax
0000:82F0 0F8476FA je 7D6A
0000:82F4 665E pop esi
0000:82F6 6659 pop ecx
0000:82F8 6603E1 add esp,ecx
0000:82FB 07 pop es
0000:82FC 665F pop edi
0000:82FE 6659 pop ecx
0000:8300 668BD0 mov edx,eax
0000:8303 6658 pop eax
0000:8305 665B pop ebx
0000:8307 668BDA mov ebx,edx
0000:830A E9F5FE jmp 8202
;*CALL来的0:83B9,0:854B,0:8663
0000:830D 06 push es
0000:830E 1E push ds
0000:830F 6660 pushad
0000:8311 2667660FB75F04 movzx ebx,word ptr es:[edi+04]
0000:8318 2667660FB74F06 movzx ecx,word ptr es:[edi+06]
0000:831F 660BC9 or ecx,ecx
0000:8322 0F8444FA je 7D6A
0000:8326 6603DF add ebx,edi
0000:8329 6683C302 add ebx,00000002
0000:832D 6681C7FE010000 add edi,000001FE
0000:8334 6649 dec ecx
;*跳转来的0:8352(U)
0000:8336 660BC9 or ecx,ecx
0000:8339 0F841700 je 8354
0000:833D 26678B03 mov ax,word ptr es:[ebx]
0000:8341 26678907 mov word ptr es:[edi],ax
0000:8345 6683C302 add ebx,00000002
0000:8349 6681C700020000 add edi,00000200
0000:8350 6649 dec ecx
0000:8352 EBE2 jmp 8336
;*跳转来的0:8339(C)
0000:8354 6661 popad
0000:8356 90 nop
0000:8357 1F pop ds
0000:8358 07 pop es
0000:8359 C3 ret
;*CALL来的0:7EC2
0000:835A 06 push es
0000:835B 1E push ds
0000:835C 6660 pushad
0000:835E 66B801000000 mov eax,00000001
0000:8364 66A32202 mov dword ptr [0222],eax
0000:8368 66A11E02 mov eax,dword ptr [021E]
0000:836C 6603066602 add eax,[0266]
0000:8371 66A36A02 mov dword ptr [026A],eax
0000:8375 6603066602 add eax,[0266]
0000:837A 66A34E02 mov dword ptr [024E],eax
0000:837E 66A13000 mov eax,dword ptr [0030]
0000:8382 660FB61E0D00 movzx ebx,[000D]
0000:8388 66F7E3 mul ebx
0000:838B 668B1E4E02 mov ebx,[024E]
0000:8390 668907 mov [bx],eax
0000:8393 66A31100 mov dword ptr [0011],eax
0000:8397 83C304 add bx,0004
0000:839A 66A15602 mov eax,dword ptr [0256]
0000:839E 668907 mov [bx],eax
0000:83A1 A31600 mov word ptr [0016],ax
0000:83A4 83C304 add bx,0004
0000:83A7 66891E4E02 mov [024E],ebx
0000:83AC 668B1E1E02 mov ebx,[021E]
0000:83B1 1E push ds
0000:83B2 07 pop es
0000:83B3 E867F9 call 7D1D
0000:83B6 668BFB mov edi,ebx
0000:83B9 E851FF call 830D
0000:83BC 66A11E02 mov eax,dword ptr [021E]
0000:83C0 66BB20000000 mov ebx,00000020
0000:83C6 66B900000000 mov ecx,00000000
0000:83CC 66BA00000000 mov edx,00000000
0000:83D2 E810FD call 80E5
0000:83D5 660BC0 or eax,eax
0000:83D8 0F841901 je 84F5
0000:83DC 668BD8 mov ebx,eax
0000:83DF 1E push ds
0000:83E0 07 pop es
0000:83E1 668B3E1A02 mov edi,[021A]
0000:83E6 6633C0 xor eax,eax
0000:83E9 E8A2FD call 818E
0000:83EC 668B1E1A02 mov ebx,[021A]
*跳转来的0:83FF(U)
0000:83F1 66813F80000000 cmp dword ptr [bx],00000080
0000:83F8 0F84EB00 je 84E7
0000:83FC 035F04 add bx,[bx+04]
0000:83FF EBF0 jmp 83F1
*跳转来的0:84F1(C)
0000:8401 6653 push ebx
0000:8403 668B4710 mov eax,[bx+10]
0000:8407 66F726 mul dword ptr [esi]
0000:840A 56 push si
0000:840B 026650 add ah,[bp+50]
0000:840E 6633D2 xor edx,edx
0000:8411 660FB61E0D00 movzx ebx,[000D]
0000:8417 66F7F3 div ebx
0000:841A 6652 push edx
0000:841C E8DC00 call 84FB
0000:841F 660BC0 or eax,eax
0000:8422 0F8444F9 je 7D6A
0000:8426 668B0E5602 mov ecx,[0256]
0000:842B 660FB61E0D00 movzx ebx,[000D]
0000:8431 66F7E3 mul ebx
0000:8434 665A pop edx
0000:8436 6603C2 add eax,edx
0000:8439 668B1E4E02 mov ebx,[024E]
0000:843E 668907 mov [bx],eax
0000:8441 83C304 add bx,0004
0000:8444 660FB6060D00 movzx eax,[000D]
0000:844A 662BC2 sub eax,edx
0000:844D 663BC1 cmp eax,ecx
0000:8450 0F860300 jbe 8457
0000:8454 668BC1 mov eax,ecx
*跳转来的0:8450(C)
0000:8457 668907 mov [bx],eax
*跳转来的0:84B3(U),0:84D6(U)
0000:845A 662BC8 sub ecx,eax
0000:845D 665A pop edx
0000:845F 0F847500 je 84D8
0000:8463 6603C2 add eax,edx
0000:8466 6650 push eax
0000:8468 6633D2 xor edx,edx
0000:846B 660FB61E0D00 movzx ebx,[000D]
0000:8471 66F7F3 div ebx
0000:8474 6651 push ecx
0000:8476 E88200 call 84FB
0000:8479 6659 pop ecx
0000:847B 660BC0 or eax,eax
0000:847E 0F84E8F8 je 7D6A
0000:8482 660FB61E0D00 movzx ebx,[000D]
0000:8488 66F7E3 mul ebx
0000:848B 668B1E4E02 mov ebx,[024E]
0000:8490 668B17 mov edx,[bx]
0000:8493 83C304 add bx,0004
0000:8496 660317 add edx,[bx]
0000:8499 663BD0 cmp edx,eax
0000:849C 0F851500 jne 84B5
0000:84A0 660FB6060D00 movzx eax,[000D]
0000:84A6 663BC1 cmp eax,ecx
0000:84A9 0F860300 jbe 84B0
0000:84AD 668BC1 mov eax,ecx
*跳转来的0:84A9(C)
0000:84B0 660107 add [bx],eax
0000:84B3 EBA5 jmp 845A
*跳转来的0:849C(C)
0000:84B5 83C304 add bx,0004
0000:84B8 66891E4E02 mov [024E],ebx
0000:84BD 668907 mov [bx],eax
0000:84C0 83C304 add bx,0004
0000:84C3 660FB6060D00 movzx eax,[000D]
0000:84C9 663BC1 cmp eax,ecx
0000:84CC 0F860300 jbe 84D3
0000:84D0 668BC1 mov eax,ecx
*跳转来的0:84CC(C)
0000:84D3 668907 mov [bx],eax
0000:84D6 EB82 jmp 845A
*跳转来的0:845F(C)
0000:84D8 83C304 add bx,0004
0000:84DB 66FF062202 inc word ptr [0222]
0000:84E0 66891E4E02 mov [024E],ebx
0000:84E5 665B pop ebx
*跳转来的0:83F8(C)
0000:84E7 035F04 add bx,[bx+04]
0000:84EA 66813F80000000 cmp dword ptr [bx],00000080
0000:84F1 0F840CFF je 8401
*跳转来的0:83D8(C)
0000:84F5 6661 popad
0000:84F7 90 nop
0000:84F8 1F pop ds
0000:84F9 07 pop es
0000:84FA C3 ret
*CALL来的0:841C,0:8476,0:85A5
0000:84FB 668BD0 mov edx,eax
0000:84FE 668B0E2202 mov ecx,[0222]
0000:8503 668B366A02 mov esi,[026A]
0000:8508 6603366602 add esi,[0266]
*LOOP来的0:8587
0000:850D 6652 push edx
0000:850F 6651 push ecx
0000:8511 6652 push edx
0000:8513 668B1E6A02 mov ebx,[026A]
0000:8518 668B3E5602 mov edi,[0256]
*跳转来的0:8542(U)
0000:851D 668B04 mov eax,[si]
0000:8520 66A31100 mov dword ptr [0011],eax
0000:8524 83C604 add si,0004
0000:8527 668B04 mov eax,[si]
0000:852A A31600 mov word ptr [0016],ax
0000:852D 83C604 add si,0004
0000:8530 1E push ds
0000:8531 07 pop es
0000:8532 E8E8F7 call 7D1D
0000:8535 662BF8 sub edi,eax
0000:8538 0F840800 je 8544
0000:853C F7260B00 mul word ptr [000B]
0000:8540 03D8 add bx,ax
0000:8542 EBD9 jmp 851D
*跳转来的0:8538(C)
0000:8544 668B3E6A02 mov edi,[026A]
0000:8549 1E push ds
0000:854A 07 pop es
0000:854B E8BFFD call 830D
0000:854E 66A16A02 mov eax,dword ptr [026A]
0000:8552 66BB80000000 mov ebx,00000080
0000:8558 66B900000000 mov ecx,00000000
0000:855E 668BD1 mov edx,ecx
0000:8561 E881FB call 80E5
0000:8564 660BC0 or eax,eax
0000:8567 0F84FFF7 je 7D6A
0000:856B 668BD8 mov ebx,eax
0000:856E 6658 pop eax
0000:8570 6656 push esi
0000:8572 E82C01 call 86A1
0000:8575 665E pop esi
0000:8577 660BC0 or eax,eax
0000:857A 0F840500 je 8583
0000:857E 665B pop ebx
0000:8580 665B pop ebx
0000:8582 C3 ret
*跳转来的0:857A(C)
0000:8583 6659 pop ecx
0000:8585 665A pop edx
0000:8587 E284 loop 850D
0000:8589 6633C0 xor eax,eax
0000:858C C3 ret
0000:858D 06 push es
0000:858E 1E push ds
0000:858F 6660 pushad
*跳转来的0:861D(C)
0000:8591 6650 push eax
0000:8593 6651 push ecx
0000:8595 6633D2 xor edx,edx
0000:8598 660FB61E0D00 movzx ebx,[000D]
0000:859E 66F7F3 div ebx
0000:85A1 6652 push edx
0000:85A3 6657 push edi
0000:85A5 E853FF call 84FB
0000:85A8 665F pop edi
0000:85AA 660BC0 or eax,eax
0000:85AD 0F84B9F7 je 7D6A
0000:85B1 660FB61E0D00 movzx ebx,[000D]
0000:85B7 66F7E3 mul ebx
0000:85BA 665A pop edx
0000:85BC 6603C2 add eax,edx
0000:85BF 66A31100 mov dword ptr [0011],eax
0000:85C3 6659 pop ecx
0000:85C5 660FB61E0D00 movzx ebx,[000D]
0000:85CB 663BCB cmp ecx,ebx
0000:85CE 0F8E1300 jle 85E5
0000:85D2 891E1600 mov [0016],bx
0000:85D6 662BCB sub ecx,ebx
0000:85D9 6658 pop eax
0000:85DB 6603C3 add eax,ebx
0000:85DE 6650 push eax
0000:85E0 6651 push ecx
0000:85E2 EB14 jmp 85F8
0000:85E4 90 nop
*跳转来的0:85CE(C)
0000:85E5 6658 pop eax
0000:85E7 6603C1 add eax,ecx
0000:85EA 6650 push eax
0000:85EC 890E1600 mov [0016],cx
0000:85F0 66B900000000 mov ecx,00000000
0000:85F6 6651 push ecx
*跳转来的0:85E2(U)
0000:85F8 06 push es
0000:85F9 6657 push edi
0000:85FB 8BDF mov bx,di
0000:85FD 83E30F and bx,000F
0000:8600 8CC0 mov ax,es
0000:8602 66C1EF04 shr edi,04
0000:8606 03C7 add ax,di
0000:8608 50 push ax
0000:8609 07 pop es
0000:860A E810F7 call 011D
0000:860D 665F pop edi
0000:860F 07 pop es
0000:8610 66033E5202 add edi,[0252]
0000:8615 6659 pop ecx
0000:8617 6658 pop eax
0000:8619 6683F900 cmp ecx,00000000
0000:861D 0F8F70FF jg 8591
0000:8621 6661 popad
0000:8623 90 nop
0000:8624 1F pop ds
0000:8625 07 pop es
0000:8626 C3 ret
*CALL来的0:7FE5,0:8049,0:82B3,0:82D6,0:8897,0:88EF
0000:8627 06 push es
0000:8628 1E push ds
0000:8629 6660 pushad
0000:862B 66F726 mul dword ptr [esi]
0000:862E 56 push si
0000:862F 02668B add ah,[bp-75]
0000:8632 0E push cs
0000:8633 56 push si
0000:8634 02E8 add ch,al
0000:8636 55 push bp
0000:8637 FFE8 jmp far ax
0000:8639 D2FC sar ah,cl
0000:863B 6661 popad
0000:863D 90 nop
0000:863E 1F pop ds
0000:863F 07 pop es
0000:8640 C3 ret
*CALL来的0:8853
0000:8641 06 push es
0000:8642 1E push ds
0000:8643 6660 pushad
0000:8645 66F726 mul dword ptr [esi]
0000:8648 7202 jb 864C
0000:864A 668B1E3602 mov ebx,[0236]
0000:864F 668B0E7202 mov ecx,[0272]
0000:8654 668B362A02 mov esi,[022A]
0000:8659 1E push ds
0000:865A 07 pop es
0000:865B 668B3E4602 mov edi,[0246]
0000:8660 E881FB call 81E4
0000:8663 E8A7FC call 070D
0000:8666 6661 popad
0000:8668 90 nop
0000:8669 1F pop ds
0000:866A 07 pop es
0000:866B C3 ret
*CALL来的0:884E
0000:866C 6650 push eax
0000:866E 6653 push ebx
0000:8670 6651 push ecx
0000:8672 668B1E4A02 mov ebx,[024A]
0000:8677 668BC8 mov ecx,eax
0000:867A 66C1E803 shr eax,03
0000:867E 6683E107 and ecx,00000007
0000:8682 6603D8 add ebx,eax
0000:8685 66B801000000 mov eax,00000001
0000:868B 66D3E0 shl eax,cl
0000:868E 678403 test byte ptr [ebx],al
0000:8691 0F840400 je 8699
0000:8695 F8 clc
0000:8696 EB02 jmp 869A
0000:8698 90 nop
*跳转来的0:8691(C)
0000:8699 F9 stc
*跳转来的0:8696(U)
0000:869A 6659 pop ecx
0000:869C 665B pop ebx
0000:869E 6658 pop eax
0000:86A0 C3 ret
*CALL来的0:820D,0:8572
0000:86A1 67807B0801 cmp byte ptr [ebx+08],01
0000:86A6 0F840400 je 86AE
0000:86AA 662BC0 sub eax,eax
0000:86AD C3 ret
*跳转来的0:86A6(C)
0000:86AE 67668D7310 lea esi,dword ptr [ebx+10]
0000:86B3 67668B5608 mov edx,dword ptr [esi+08]
0000:86B8 663BC2 cmp eax,edx
0000:86BB 0F870B00 ja 86CA
0000:86BF 67668B16 mov edx,dword ptr [esi]
0000:86C3 663BC2 cmp eax,edx
0000:86C6 0F830400 jnb 86CE
*跳转来的0:86BB(C)
0000:86CA 662BC0 sub eax,eax
0000:86CD C3 ret
*跳转来的0:86C6(C)
0000:86CE 67035E10 add bx,word ptr [esi+10]
0000:86D2 662BF6 sub esi,esi
*跳转来的0:870F(U)
0000:86D5 67803B00 cmp byte ptr [ebx],00
0000:86D9 0F843E00 je 871B
0000:86DD E88100 call 0B61
0000:86E0 6603F1 add esi,ecx
0000:86E3 E83900 call 871F
0000:86E6 6603CA add ecx,edx
0000:86E9 663BC1 cmp eax,ecx
0000:86EC 0F8C2100 jl 8711
0000:86F0 668BD1 mov edx,ecx
0000:86F3 6650 push eax
0000:86F5 67660FB60B movzx ecx,byte ptr [ebx]
0000:86FA 668BC1 mov eax,ecx
0000:86FD 6683E00F and eax,0000000F
;太长了，下贴继续

复制代码

[ 本帖最后由 netwinxp 于 2010-2-23 00:11 编辑 ]

		自动登录	找回密码
密码			注册

NTFS和FAT32 互转 / 北斗.H3.Pauly.netwinxp.haiou327.dvd008 ..win7启动技术探讨中..

浏览过的版块