试一下softsnoop2011吧

vb程序p-code模式，好像代码都在MSVBVM60.DLL中运行。

ObjectTable地址: 0x401260
  [+0x2A]对象数量: 1
  [+0x40]szProjectName: "工程1"
  Object地址: 0x4012B4
    第[01]对象名称:  "Form1"
        [01]Control: "Form"
        [02]Control: "Text1"
        [03]Control: "Command1"
      EventTable地址: 0x401798  (仅显示前20个事件)
        [+0x00]Form1_Command1: 0x401A28
      
     
返回地址: 00401056  函数名称: ThunRTMain(MSVBVM60.DLL)
ThunRTMain: 初始化进程并获取进程ID
          lpstring="VB5!?vb6chs.dll"
     
返回地址: 733BAEA0  函数名称: Form1_Command1(程序内部函数)

返回地址: 733B9144  函数名称: __vbaStrComp(MSVBVM60.DLL)
__vbaStrComp: 比较字符串
          RetBuffer=0x00000000
          vbString1="123"
          vbString2="1111"
__vbaStrComp返回值: 0xFFFFFFFF
     
返回地址: 7348F7B7  函数名称: rtcMsgBox(MSVBVM60.DLL)
rtcMsgBox: 显示对话框
          Text=0x0012F45C  (vb字符串:"Fail")
          Arg2=0x00000000
          Caption=0x0012F43C  (NULL)
          Arg4=0x0012F41C
          Arg5=0x0012F3FC

Form1_Command1返回值: 0x00000000

softsnoop跟踪到运行到了地址0x401A28，但OD里此地址却不能下断，很奇怪，要研究一下

搜索字符串“123”。

能锁到123, 但下断没用.

BP __vbaStrComp