会释放奇怪的东西,暂时不知道是什么,就直接删了,详细断Winexec

这个软件不是delphi写的，分2个部分：
1，启动部分，是delphi写的，作用：把真实的exe复制到 C:\Documents and Settings\Administrator\Local Settings\Temp\六点YY多开器831正式版.exe

2,真实的exe是vc写的。

上传的附件：

• qqqqqq.jpg （42.38kb，1次下载）

能不能有你的联系方式？想多请教你 另外我在吾爱也发过这个求助
如果有账号可以领悬赏 不过估计你会看不上那点悬赏
哪里都没人肯帮 全是水帖子的
十分感谢你

楼主想错了，其实我挺在乎kx币的，和感谢次数。哈哈。

为了对得起你这10个kx，随便帮你看了看协议。
这个通讯采用http方式，协议解析用的xml格式，加密算法gzip。

【协议分析】
send“检查更新”请求
GET /softhtml/YY417.php HTTP/1.1..Accept: application/x-shockwave-flash, image/gif, image/jpeg,
image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, applic
ation/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*..Accept
-Language: zh-cn..Accept-Encoding: gzip, deflate..User-Agent: Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.
2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)..Host: www.6dwl.com..Connection: Keep-Alive....

recv：检查更新返回
HTTP/1.1 200 OK..Date: Wed, 17 Apr 2013 04:07:53 GMT..Content-Type: text/html..Transfer-Encoding
: chunked..Connection: keep-alive..Keep-Alive: timeout=20..Vary: Accept-Encoding..Server: Apache
..X-Powered-By:PHP/5.2.9..Content-Encoding: gzip.

send帐号登录
GET /ksreg_server/chkv8.php?s=6EC4sHmuhQwah9nPzHH_|Y4Tbwl5PxlL4AmM|afP9D9ve|yxHa9tAE6KAUzFqmiTitoFHaaaHwOIFtZecT
cFZBvksD5psD29cU3_Z634VWeXLcf4Ga8_P14xzFNvo3xbpZwbcw_yq6bppeFoAL7aoNzkDw1bVHA0ZURAbNeZDH4pJPxTJ6h_4cOkbEXTH1Vvct
U&jpgcode=E000&urlguid=98688453HTTP/1.1..Accept: */*..Accept-Encoding: gzip, deflate..User-Agent: Mozilla/4.0 (
compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR3.0.04506.648; .NET CLR 3.5.2102
2; .NET CLR 3.0.4506.2152; .NETCLR 3.5.30729; .NET4.0C; .NET4.0E)..Host: a.lizhi178.com..Connection: Keep-Alive
....

recv帐号登录返回
HTTP/1.1 200 OK..Date: Wed, 17 Apr 2013 04:09:59 GMT..Server: Apache/2.2.9 (APMServ) PHP/5.2.6..X-Powered-By: PH
P/5.2.6..Content-Length: 8..Keep-Alive: timeout=5, max=100..Connection: Keep-Ali
ve..Content-Type: text/html;charset=utf-8....crypt635

这个软件的作者太搞笑了，加了vmp的标志，但是没用vmp处理。不知道是忘记了，还是吓唬人的？哈哈
你不加vm标志或许我找关键代码还需要花点时间，，加了vm标志又不vmp处理，不是等于告诉别人，这个call就是关键call吗？哈哈

空间：C:\Documents and Settings\Administrator\Local Settings\Temp\六点YY多开器831正式版.exe
00401267  |.  C745 FC 00000000                       mov     dword ptr [ebp-4], 0
0040126E  |.  EB 10                                  jmp     short 00401280
00401270  |.  56 4D 50 72 6F 74 65 63 74 20 62 65 67>ascii   "VMProtect begin",0         //vm处理标识.开始
00401280  |>  C705 20F65400 00000000                 mov     dword ptr [54F620], 0
0040128A  |.  B8 244B4E00                            mov     eax, 004E4B24
0040128F  |.  50                                     push    eax
00401290  |.  8B1D 24F65400                          mov     ebx, dword ptr [54F624]          ;  六点YY多.004E4B24
00401296  |.  85DB                                   test    ebx, ebx
00401298  |.  74 09                                  je      short 004012A3
....................................................
.....此处省略XX行
....................................................

004024AB  |. /74 09                                  je      short 004024B6
004024AD  |. |53                                     push    ebx
004024AE  |. |E8 C3D00500                            call    0045F576
004024B3  |. |83C4 04                                add     esp, 4
004024B6  |> \58                                     pop     eax
004024B7  |.  A3 80F65400                            mov     dword ptr [54F680], eax
004024BC  |.  EB 0E                                  jmp     short 004024CC
004024BE  |.  56 4D 50 72 6F 74 65 63 74 20 65 6E 64>ascii   "VMProtect end",0             //vm处理标识.结束
004024CC  |>  8BE5                                   mov     esp, ebp
004024CE  |.  5D                                     pop     ebp

关键代码：

上传的附件：

• aaaa.jpg （10.13kb，1次下载）

看到这么长一段挺感动的 谢谢
揣测揣测你给我提供的信息
虽然我没看懂啦 其实我是真正的初学者 只会点皮毛 就会点本地严重的
可能选择的目标太奇葩了 初学就想试试这种高难度- -
真的谢谢你了

唉，各种看不懂，学起来好难。