脱壳后有病毒免疫器怎样处理-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 2 楼晕,病毒免疫器,呵呵到论坛找病毒免疫器 2005-10-2 13:10 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 3 楼如何用它去除呢？ 2005-10-3 09:51 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 4 楼关注一下 2005-10-3 17:49 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 5 楼有哪位能帮说说吗？ 2005-10-4 13:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼继续脱不就行了 2005-10-4 13:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 wnzj.exe ASPack V2.12壳 Microsoft Visual Basic V5.0编写没有病毒免疫器水晶情缘的软件一般都是此类自校验 ********Reference To->msvbvm50.rtcFileLen \| :0042FF4A 5E50000400 ImpAdCallI2 ;Call ptr_00401066; check stack 0004; Push EAX //rtcFileLen取文件长度 :0042FF4F F540900200 LitI4 ;Push 00029040 :0042FF54 DB GtI4 ;Push (Pop1 > Pop2) :0042FF55 C5 OrI4 ; :0042FF56 F500000000 LitI4 ;Push 00000000 :0042FF5B 080800 FLdPr ;[SR]=[STACK_0008] :0042FF5E 8A3800 MemLdStr ;Push DWORD [[SR]+0038] **Possible String Ref To->"\hidcpp.dll" \| :0042FF61 1B5100 LitStr ;Push ptr_0041E53C :0042FF64 2A ConcatStr ;vbaStrCat :0042FF65 463CFF CVarStr ; ******Reference To->msvbvm50.rtcDir \| :0042FF68 0B24000800 ImpAdCallI2 ;Call ptr_0040105A; check stack 0008; Push EAX :0042FF6D 2374FF FStStrNoPop ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=[stack] **Possible String Ref To->"" \| :0042FF70 1B1400 LitStr ;Push ptr_0041C1C8 :0042FF73 FB3D NeStr ; :0042FF75 C5 OrI4 ; :0042FF76 2F74FF FFree1Str ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=0 :0042FF79 353CFF FFree1Var ;Free LOCAL_00C4 :0042FF7C 1C4903 BranchF ;If Pop=0 then ESI=0042FFB9 //修改为：Branch 1C4903->1E4903 ★ :0042FF7F 0033 LargeBos ;IDE beginning of line with 33 byte codes :0042FF81 27FCFE LitVar ;PushVar LOCAL_0104 :0042FF84 270CFF LitVar ;PushVar LOCAL_00F4 **Possible String Ref To->"'电脑万能专家非法操作'" \| :0042FF87 3A4CFF5200 LitVarStr ;PushVarString ptr_0041E5C4 :0042FF8C 4E1CFF FStVarCopyObj ;[LOCAL_00E4]=vbaVarDup(Pop) :0042FF8F 041CFF FLdRfVar ;Push LOCAL_00E4 :0042FF92 F510000000 LitI4 ;Push 00000010 **Possible String Ref To->"程序遇到病毒破坏，异常退出，建议杀毒后再重新安装使用！" \| :0042FF97 3A5CFF5300 LitVarStr ;PushVarString ptr_0041E588 :0042FF9C 4E3CFF FStVarCopyObj ;[LOCAL_00C4]=vbaVarDup(Pop) :0042FF9F 043CFF FLdRfVar ;Push LOCAL_00C4 ********Reference To->msvbvm50.rtcMsgBox \| :0042FFA2 0A54001400 ImpAdCallFPR4 ;Call ptr_0040104E; check stack 0014; Push EAX :0042FFA7 3608003CFF1CFF0C FFreeVar ;Free 0008/2 variants :0042FFB2 0004 LargeBos ;IDE beginning of line with 04 byte codes :0042FFB4 FCC800 End ; //Game Over 2005-10-4 15:33 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 8 楼哦,知道了,学习下,,呵呵. 2005-10-4 17:17 0
周二两雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 170 粉丝 1 关注私信	周二两 9 楼请问一下fly老大你是用什么软件分析的这个vb－pcode后面的注解很清楚很好！能告诉一下吗？谢谢！ 2005-10-4 19:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 VBExplorer 2005-10-4 20:00 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 11 楼非常感谢fly的指点。不过我用vbexplore时无法显示中文字呀 2005-10-4 21:48 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 12 楼用何编辑软件来修改呢？OD，UltraEdit，IDA都不行呀！P-CODE还真的烦人也！ 2005-10-4 23:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼 16进制工具都可以修改 WKTVBDE调试时就可以看见了 2005-10-4 23:12 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 14 楼我操，暗桩不少呀。改跳后运行，强行关机。气死我也！ 2005-10-5 09:55 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 15 楼我操，暗桩不少呀。改跳后运行，强行关机。气死我也！关机还是比较好的，比在你的机器上放两个后门好多了。 2005-10-5 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 2 楼晕,病毒免疫器,呵呵到论坛找病毒免疫器 2005-10-2 13:10 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 3 楼如何用它去除呢？ 2005-10-3 09:51 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 4 楼关注一下 2005-10-3 17:49 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 5 楼有哪位能帮说说吗？ 2005-10-4 13:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼继续脱不就行了 2005-10-4 13:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 wnzj.exe ASPack V2.12壳 Microsoft Visual Basic V5.0编写没有病毒免疫器水晶情缘的软件一般都是此类自校验 ********Reference To->msvbvm50.rtcFileLen \| :0042FF4A 5E50000400 ImpAdCallI2 ;Call ptr_00401066; check stack 0004; Push EAX //rtcFileLen取文件长度 :0042FF4F F540900200 LitI4 ;Push 00029040 :0042FF54 DB GtI4 ;Push (Pop1 > Pop2) :0042FF55 C5 OrI4 ; :0042FF56 F500000000 LitI4 ;Push 00000000 :0042FF5B 080800 FLdPr ;[SR]=[STACK_0008] :0042FF5E 8A3800 MemLdStr ;Push DWORD [[SR]+0038] **Possible String Ref To->"\hidcpp.dll" \| :0042FF61 1B5100 LitStr ;Push ptr_0041E53C :0042FF64 2A ConcatStr ;vbaStrCat :0042FF65 463CFF CVarStr ; ******Reference To->msvbvm50.rtcDir \| :0042FF68 0B24000800 ImpAdCallI2 ;Call ptr_0040105A; check stack 0008; Push EAX :0042FF6D 2374FF FStStrNoPop ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=[stack] **Possible String Ref To->"" \| :0042FF70 1B1400 LitStr ;Push ptr_0041C1C8 :0042FF73 FB3D NeStr ; :0042FF75 C5 OrI4 ; :0042FF76 2F74FF FFree1Str ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=0 :0042FF79 353CFF FFree1Var ;Free LOCAL_00C4 :0042FF7C 1C4903 BranchF ;If Pop=0 then ESI=0042FFB9 //修改为：Branch 1C4903->1E4903 ★ :0042FF7F 0033 LargeBos ;IDE beginning of line with 33 byte codes :0042FF81 27FCFE LitVar ;PushVar LOCAL_0104 :0042FF84 270CFF LitVar ;PushVar LOCAL_00F4 **Possible String Ref To->"'电脑万能专家非法操作'" \| :0042FF87 3A4CFF5200 LitVarStr ;PushVarString ptr_0041E5C4 :0042FF8C 4E1CFF FStVarCopyObj ;[LOCAL_00E4]=vbaVarDup(Pop) :0042FF8F 041CFF FLdRfVar ;Push LOCAL_00E4 :0042FF92 F510000000 LitI4 ;Push 00000010 **Possible String Ref To->"程序遇到病毒破坏，异常退出，建议杀毒后再重新安装使用！" \| :0042FF97 3A5CFF5300 LitVarStr ;PushVarString ptr_0041E588 :0042FF9C 4E3CFF FStVarCopyObj ;[LOCAL_00C4]=vbaVarDup(Pop) :0042FF9F 043CFF FLdRfVar ;Push LOCAL_00C4 ********Reference To->msvbvm50.rtcMsgBox \| :0042FFA2 0A54001400 ImpAdCallFPR4 ;Call ptr_0040104E; check stack 0014; Push EAX :0042FFA7 3608003CFF1CFF0C FFreeVar ;Free 0008/2 variants :0042FFB2 0004 LargeBos ;IDE beginning of line with 04 byte codes :0042FFB4 FCC800 End ; //Game Over 2005-10-4 15:33 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 8 楼哦,知道了,学习下,,呵呵. 2005-10-4 17:17 0
周二两雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 170 粉丝 1 关注私信	周二两 9 楼请问一下fly老大你是用什么软件分析的这个vb－pcode后面的注解很清楚很好！能告诉一下吗？谢谢！ 2005-10-4 19:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 VBExplorer 2005-10-4 20:00 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 11 楼非常感谢fly的指点。不过我用vbexplore时无法显示中文字呀 2005-10-4 21:48 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 12 楼用何编辑软件来修改呢？OD，UltraEdit，IDA都不行呀！P-CODE还真的烦人也！ 2005-10-4 23:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼 16进制工具都可以修改 WKTVBDE调试时就可以看见了 2005-10-4 23:12 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 14 楼我操，暗桩不少呀。改跳后运行，强行关机。气死我也！ 2005-10-5 09:55 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 15 楼我操，暗桩不少呀。改跳后运行，强行关机。气死我也！关机还是比较好的，比在你的机器上放两个后门好多了。 2005-10-5 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复