断在退出程序之前～～～回逆上去不行么～

有 病毒。。。。。

打开电脑就死机

00401FE0   .  8B4424 14     MOV EAX,DWORD PTR SS:[ESP+14]
00401FE4   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FE8   .  50            PUSH EAX
00401FE9   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FED   .  52            PUSH EDX
00401FEE   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FF2   .  50            PUSH EAX
00401FF3   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FF7   .  52            PUSH EDX
00401FF8   .  50            PUSH EAX
00401FF9   .  68 C0374000   PUSH 测试.004037C0
00401FFE   .  6A 00         PUSH 0
00402000   .  6A 00         PUSH 0
00402002   .  6A 01         PUSH 1
00402004   .  6A 68         PUSH 68
00402006   .  51            PUSH ECX
00402007   .  E8 88020000   CALL <JMP.&MFC42.#4034_?InvokeHelper@CWnd@@QAAXJGGPAXPBEZZ>
0040200C   .  83C4 2C       ADD ESP,2C
0040200F   .  C2 1400       RETN 14

LZ这两个弹窗是通过COM组件调用弹出来的，你可以断一下
IWebBrowser2->Navigate
IWebBrowser2->Navigate2
两个函数，或者直接写个DLL劫持hook这两个函数

可以参考这个
http://hi.baidu.com/z87123688/blog/item/ffcad51b9dd9d9caac6e7545.html

如果是自己用的话，下一个MD，阻止它调用COM组件就行了

或者你直接修改host文件

0013F7F8   004033BC  ASCII "www.231mxd.com"

感谢大家帮忙 5楼的老大给的很详细 再次感谢 我自己使用是没问题 直接hook InvokeHelper

可是为什么修改pe保存后就无法运行了呢？原理是什么呢？貌似很强大的自校验哦

程序是没有问题的 VC5的编译器编译的

亲 这个不是病毒

异常直接结束 不经过任何api 该如何下断？

的确有自校验，功力不够加了VM的，真心不会

用LordPE修正校验和，就不会退出了，输入表中有MapFileAndCheckSumA

修正了还是会退出 郁闷 貌似还有文件大小校验

测试1.7z

我这样确实没有改变文件大小

上传的附件：

• QQ截图20120514120833.jpg （60.77kb，105次下载）
• 测试1.7z （22.40kb，4次下载）

调用MapFileAndCheckSumA 校验和文件是否被修改的。
如楼上的方法就可以的，修改完，然后LOADPE PE编辑器里面的 校验和 后面的“？”点一下就是新的，然后点保存点确定，我估计你肯定不是这样做的。

感谢大家热心帮助，改变下大小 就悲剧了！

试过了，加区段，然后改校验值都没有问题

功力不够还是要下苦功啊 感谢大家帮助 散分 散花