首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] vb decompiler后的代码疑问 0.00雪花
发表于: 2011-6-14 06:57 6899

[旧帖] vb decompiler后的代码疑问 0.00雪花

wjzhhr 活跃值
2011-6-14 06:57
6899
发现电脑里有个小东西,用PE查了一下,用VB写的。
Private Sub Timer2_Timer() '4055B0
  loc_004055D9: var_14 = &H401240
  loc_00405652: var_8C = 8
  loc_0040565C: var_A4 = "http://www.xxx.ru/tbpid.xml"
  loc_00405666: var_AC = 8
  loc_004056E6: var_4 = 5
  loc_00405708: var_4 = 6
  loc_0040570F: var_84 = 4
  loc_00405719: var_8C = &H8002
  loc_00405743: Var_Ret_1 = (%dl <> 8)
  loc_00405749: var_C0 = Var_Ret_1
                If Var_Ret_1 = 0 Then GoTo loc_00405773
  loc_00405764: var_4 = 7
  loc_0040576B: DoEvents
  loc_00405771: GoTo loc_00405708
  loc_00405793: ecx = var_48
  loc_0040579E: var_34 = %dl
  loc_004057BA: call MSVBVM60.DLL.__vbaVarSetObjAddref(var_48, 00000000h, %dl, 00000000h, 00000000h, 00000000h, 00000002h, FFFFFFFFh, edi)
  loc_004057C0: var_4 = 11
  loc_004057C7: var_A4 = "x2x"
  loc_004057D1: var_AC = 8
  loc_00405816: var_8C = &H4008
  loc_0040582F: Proc_00407B20(var_7C, 8, var_6C)
  loc_00405852: var_4 = 12
  loc_00405873: var_C0 = var_5C
  loc_0040588C: Text1.Text = Proc_00407B20(var_7C, 8, var_6C)
  loc_00405894: var_C4 = Var_Ret_1
                If Var_Ret_1 >= 0 Then GoTo loc_004058C9
  loc_004058C1: var_DC = Var_Ret_1
  loc_004058C7: GoTo loc_004058D3
  loc_004058C9: var_DC = 0
  loc_00405910: var_9C = 8
  loc_00405923: var_6C = 8
  loc_0040592C: var_84 = var_34
  loc_00405932: var_8C = &H4008
  loc_0040594B: Proc_00407B20(8, var_6C, var_7C)
  loc_0040596E: var_4 = 14
  loc_0040598F: var_C0 = arg_8
  loc_004059A8: Text2.Text = Proc_00407B20(8, var_6C, var_7C)
  loc_004059B0: var_C4 = Var_Ret_1
                If Var_Ret_1 >= 0 Then GoTo loc_004059E5
  loc_004059DD: var_E0 = Var_Ret_1
  loc_004059E3: GoTo loc_004059EF
  loc_004059E5: var_E0 = 0
  loc_004059EF:
  loc_004059F8: var_10 = 0
  loc_00405A04: GoTo loc_00405A23
  loc_00405A22: Exit Sub
  loc_00405A23:
End Sub

Proc_00407B20感觉是一个字符串截取函数

看得不是很懂,哪位高人能帮忙解释下吗??

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (7)
cxxshymiss
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
朋友发了一个key文件给我但是打开后是乱码.应该是被加密后的.有高手能帮忙打开看下里面是什么东西吗?

有兴趣的朋友留下邮箱我发给你们
2011-6-14 07:44
0
wjzhhr
雪    币: 230
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
楼上来得挺早的,但所答非所问呀。
2011-6-14 07:55
0
BlueT
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4 
Proc_00407B20感觉是一个字符串截取函数

看得不是很懂,哪位高人能帮忙解释下吗??


本地代码,跟踪即可。
2011-6-14 10:11
0
wjzhhr
雪    币: 230
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
楼上的兄弟,我是用vb decompiler来看的,它好像不能跟踪吧。

虽然是本地的代码,但学汇编太过于时间了,我的专业和这个不太相关,完全是兴趣,但又急切的想知道这些是什么代码,想了解一下这方面的知识。

如果你知道的话,麻烦讲下重要的点。

谢谢!
2011-6-14 21:03
0
wjzhhr
雪    币: 230
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
能解释的支个声呀。
2011-6-15 07:42
0
BlueT
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
7
vb decompiler出的仅能作参考,跟踪是才是正道。
2011-6-15 10:05
0
wjzhhr
雪    币: 230
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
vb decompiler出的仅能作参考,跟踪是才是正道。


哦,这样的呀,那用什么工具跟踪这个程序最好?
2011-6-15 20:57
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//