能力值:
( LV2,RANK:10 )
|
-
-
2 楼
断在退出程序之前~~~回逆上去不行么~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
有 病毒。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
打开电脑就死机
|
能力值:
( LV6,RANK:80 )
|
-
-
5 楼
00401FE0 . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
00401FE4 . 8B5424 10 MOV EDX,DWORD PTR SS:[ESP+10]
00401FE8 . 50 PUSH EAX
00401FE9 . 8B4424 10 MOV EAX,DWORD PTR SS:[ESP+10]
00401FED . 52 PUSH EDX
00401FEE . 8B5424 10 MOV EDX,DWORD PTR SS:[ESP+10]
00401FF2 . 50 PUSH EAX
00401FF3 . 8B4424 10 MOV EAX,DWORD PTR SS:[ESP+10]
00401FF7 . 52 PUSH EDX
00401FF8 . 50 PUSH EAX
00401FF9 . 68 C0374000 PUSH 测试.004037C0
00401FFE . 6A 00 PUSH 0
00402000 . 6A 00 PUSH 0
00402002 . 6A 01 PUSH 1
00402004 . 6A 68 PUSH 68
00402006 . 51 PUSH ECX
00402007 . E8 88020000 CALL <JMP.&MFC42.#4034_?InvokeHelper@CWnd@@QAAXJGGPAXPBEZZ>
0040200C . 83C4 2C ADD ESP,2C
0040200F . C2 1400 RETN 14
LZ这两个弹窗是通过COM组件调用弹出来的,你可以断一下
IWebBrowser2->Navigate
IWebBrowser2->Navigate2
两个函数,或者直接写个DLL劫持hook这两个函数
可以参考这个
http://hi.baidu.com/z87123688/blog/item/ffcad51b9dd9d9caac6e7545.html
如果是自己用的话,下一个MD,阻止它调用COM组件就行了
或者你直接修改host文件
0013F7F8 004033BC ASCII "www.231mxd.com"
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
感谢大家帮忙 5楼的老大给的很详细 再次感谢 我自己使用是没问题 直接hook InvokeHelper
可是为什么修改pe保存后就无法运行了呢?原理是什么呢?貌似很强大的自校验哦
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
程序是没有问题的 VC5的编译器编译的
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
亲 这个不是病毒
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
异常直接结束 不经过任何api 该如何下断?
|
能力值:
( LV6,RANK:80 )
|
-
-
10 楼
的确有自校验 ,功力不够 加了VM的,真心不会
用LordPE修正校验和,就不会退出了,输入表中有MapFileAndCheckSumA
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
|
能力值:
( LV6,RANK:80 )
|
-
-
12 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
调用MapFileAndCheckSumA 校验和文件是否被修改的。
如楼上的方法就可以的,修改完,然后LOADPE PE编辑器里面的 校验和 后面的“?”点一下就是新的,然后点保存点确定,我估计你肯定不是这样做的。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
感谢大家热心帮助,改变下大小 就悲剧了!
|
能力值:
( LV6,RANK:80 )
|
-
-
15 楼
试过了,加区段,然后改校验值都没有问题
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
功力不够还是要下苦功啊 感谢大家帮助 散分 散花
|
|
|