sub 403de7 -> RC4, loop avec 0x100 pour le key scheduling suivis d'un while avec

1. sub 403de7 -> RC4, loop avec 0x100 pour le key scheduling suivis d'un while avec un xor
2.  
3. 403D39 -> Je dirai que cette sub est la pour récupérer des API, déjà on voit le FS 0x30 donc le PEB, puis il va je pense utiliser le PEB_LDR_DATA pour récupérer la liste de module et donc des dll windows comme ntdll ou kernel32. Un autre indice c'est aussi qu'on voit que esi est check pour voir si il est vide ou non, si pas vide la première commande qui suit ce check :
4. mov eax, [esi+3Ch]
5. 0x3C c'est le e_lfanew
6. puis mov eax, [eax+esi+78h]
7. qui doit je suppose correspondre à l'export table de la dll
8. call sub_403CA5
9. cmp eax, [ebp+arg_0]
10.  
11. 403CA5 doit donc être la pour trouver la fonction intéressante de la dll