расшифровка shell-кода в hiew'e
После расшифровки shell-код можно дизассемблировать в обычном режиме. Начинаем анализ и… тут же вляпываемся в древний, но все еще работающий антидизассемблерный трюк:
seg000:019 loc_19: ; CODE XREF: seg000:0000001Cvp
seg000:019 6A
EB push FFFFFFEBh ; скрытая команда в операнде
seg000:01B 4D dec ebp ; продолжение скрытой команды
seg000:01C E8 F9 FF FF FF call loc_19+1 ; вызов в середину push
seg000:021 60 pusha ; сохраняем все регистры
