跟踪了一天，进入到入口点 ，下一句就是 call <jmp.&MSVBVM60.#100>,如果F8下一句代码 就弹出无数的IE窗口。用F7进入VM中，就陷入代码汪洋了，需要跟踪许久。  有时候按快了，就过了。慢慢按的话 ，代码很多。我想下个断点，请问这个断点 应该下载哪个函数上？或者 哪句经典的汇编代码里?

你都说了是vm的了，就没有真正意义上的n-code
都是p-code的了

那如果要解决这个弹出无数个窗口的东东，麽办呢？或者给个思路，我来执行

先确定它是NCODE的还是PCODE的
NCODE的还好办一点
PCODE的就要用一些特别VB的反汇编工具修改PCODE去跳过弹出过程了

我用VBComplier 查了 ，是 ncode，下面怎么整呢？

有壳没有，没有发来玩玩，getip001@gmail.com

，没有壳的。是某个作者写的软件，有收费和免费，功能是相同的，就是免费有广告，现在全力破广告中。嘿嘿。。。

报告一下进度。昨天根据一片文章 设置断点以后，慢慢跟踪，终于把弹出窗口给去掉了。但是在发布的时候，还是有广告。我想在点击 发布信息按钮的 时候 程序能够自动进入，怎么设置断点呢？

用查找参考字符串的形式，终于找到广告代码了。我用 NOP 覆盖了代码以后生成了一个新的exe文件，但是无法运行。我想是不是覆盖错了？
代码如下：

005BDC5A    50              push eax
005BDC5B    68 080B4D00     push 10.004D0B08                         ; %
005BDC60    FFD6            call esi
005BDC62    8B3D 48124000   mov edi,dword ptr ds:[<&MSVBVM60.__vbaSt>; MSVBVM60.__vbaStrMove
005BDC68    8BD0            mov edx,eax
005BDC6A    8D4D D4         lea ecx,dword ptr ss:[ebp-2C]
005BDC6D    FFD7            call edi
005BDC6F    50              push eax
005BDC70    68 DCDF4C00     push 10.004CDFDC                         ; 0
005BDC75    FFD6            call esi
005BDC77    8BD0            mov edx,eax
005BDC79    8D4D D0         lea ecx,dword ptr ss:[ebp-30]
005BDC7C    FFD7            call edi
005BDC7E    50              push eax
005BDC7F    68 F4EC4C00     push 10.004CECF4                         ; d
005BDC84    FFD6            call esi
005BDC86    8BD0            mov edx,eax
005BDC88    8D4D CC         lea ecx,dword ptr ss:[ebp-34]
005BDC8B    FFD7            call edi
我把这段全部NOP了，不能运行了

跟踪新生成的exe发现出现了异常，，怎么修改才是正确的呢？

mark...

跟一下看有栈平衡问题没

今天继续跟踪，第五天

这么多NOP掉 不是堆栈不平衡 就是有乱码了
我看你还是jmp一个好

伤心伤心，看了9天，31万行代码，把类似于%2d%3d形式的全部替换为 %00%00的形式的。结果生成的结果是 不能运行。。。。

学习中 哈哈！！！

什么意思

太伤心了，就是替换了 手工在31万行寻找unicode字符串，替换成 00。整了几天，结果 程序不能运行了。555~~~~~~~~

mark....

今天继续跟踪，有点眉目了。用消息断点的方式，我已经跟踪到 具体产生广告的代码里面了。明天继续调试。。。。

哦，耽误了几日，今天继续调试。额。里面有一条带毒的代码，格式化C盘。
我跟踪到一个CALL不知道啥意思？

005BB450    $  55                 push ebp
005BB451    .  8BEC               mov ebp,esp
005BB453    .  83EC 18            sub esp,18
005BB456    .  68 56964100        push <jmp.&MSVBVM60.__vbaExceptHandler>
005BB45B    .  64:A1 00000000     mov eax,dword ptr fs:[0]
005BB461    .  50                 push eax
005BB462    .  64:8925 00000000   mov dword ptr fs:[0],esp
005BB469    .  B8 E8000000        mov eax,0E8
005BB46E    .  E8 DDE1E5FF        call <jmp.&MSVBVM60.__vbaChkstk>
005BB473    .  53                 push ebx
005BB474    .  56                 push esi
005BB475    .  57                 push edi
005BB476    .  8965 E8            mov dword ptr ss:[ebp-18],esp
005BB479    .  C745 EC A0F44000   mov dword ptr ss:[ebp-14],16.0040F4A0
005BB480    .  C745 F0 00000000   mov dword ptr ss:[ebp-10],0
005BB487    .  C745 F4 00000000   mov dword ptr ss:[ebp-C],0
005BB48E    .  C745 FC 01000000   mov dword ptr ss:[ebp-4],1
005BB495    .  8B55 08            mov edx,dword ptr ss:[ebp+8]
005BB498    .  8D4D D4            lea ecx,dword ptr ss:[ebp-2C]
005BB49B    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4A1    .  C745 FC 02000000   mov dword ptr ss:[ebp-4],2
005BB4A8    .  6A FF              push -1
005BB4AA    .  FF15 98104000      call dword ptr ds:[<&MSVBVM60.__vbaOnError>]
005BB4B0    .  C745 FC 03000000   mov dword ptr ss:[ebp-4],3
005BB4B7    .  BA F4B14D00        mov edx,16.004DB1F4
005BB4BC    .  8D4D C8            lea ecx,dword ptr ss:[ebp-38]
005BB4BF    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4C5    .  C745 FC 04000000   mov dword ptr ss:[ebp-4],4
005BB4CC    .  BA 080B4D00        mov edx,16.004D0B08
005BB4D1    .  8D4D D0            lea ecx,dword ptr ss:[ebp-30]
005BB4D4    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4DA    .  C745 FC 05000000   mov dword ptr ss:[ebp-4],5
005BB4E1    .  BA 50D34C00        mov edx,16.004CD350
005BB4E6    .  8D4D B8            lea ecx,dword ptr ss:[ebp-48]
005BB4E9    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4EF    .  C745 FC 06000000   mov dword ptr ss:[ebp-4],6
005BB4F6    .  8B45 D4            mov eax,dword ptr ss:[ebp-2C]
005BB4F9    .  50                 push eax
005BB4FA    .  68 50D34C00        push 16.004CD350
005BB4FF    .  FF15 0C114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCmp>]
005BB505    .  85C0               test eax,eax
005BB507    .  75 05              jnz short 16.005BB50E
005BB509    .  E9 8C060000        jmp 16.005BBB9A
005BB50E    >  C745 FC 09000000   mov dword ptr ss:[ebp-4],9
005BB515    .  8B4D D4            mov ecx,dword ptr ss:[ebp-2C]
005BB518    .  51                 push ecx
005BB519    .  8D95 58FFFFFF      lea edx,dword ptr ss:[ebp-A8]
005BB51F    .  52                 push edx
005BB520    .  FF15 68114000      call dword ptr ds:[<&MSVBVM60.__vbaStr2Vec>]
005BB526    .  8D85 58FFFFFF      lea eax,dword ptr ss:[ebp-A8]
005BB52C    .  50                 push eax
005BB52D    .  8D4D B4            lea ecx,dword ptr ss:[ebp-4C]
005BB530    .  51                 push ecx
005BB531    .  FF15 1C104000      call dword ptr ds:[<&MSVBVM60.__vbaAryMove>]
005BB537    .  C745 FC 0A000000   mov dword ptr ss:[ebp-4],0A
005BB53E    .  8B55 B4            mov edx,dword ptr ss:[ebp-4C]
005BB541    .  52                 push edx
005BB542    .  6A 01              push 1

就是以上的汇编代码，啥意思呢？

Lz试过打开所有模块标签那个没？查下除了系统领空调用之外的模块...

除了系统模块以外 ，那就是VB虚拟机的模块了

我刚刚学习这个/看下