能力值:
( LV2,RANK:10 )
|
-
-
2 楼
晕,病毒免疫器,呵呵
到论坛找病毒免疫器
|
能力值:
( LV9,RANK:170 )
|
-
-
3 楼
如何用它去除呢?
|
能力值:
( LV8,RANK:130 )
|
-
-
4 楼
关注一下
|
能力值:
( LV9,RANK:170 )
|
-
-
5 楼
有哪位能帮说说吗?
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
继续脱不就行了
|
能力值:
( LV9,RANK:3410 )
|
-
-
7 楼
wnzj.exe
ASPack V2.12壳
Microsoft Visual Basic V5.0编写
没有病毒免疫器
水晶情缘的软件一般都是此类自校验
**********Reference To->msvbvm50.rtcFileLen
|
:0042FF4A 5E50000400 ImpAdCallI2 ;Call ptr_00401066; check stack 0004; Push EAX
//rtcFileLen取文件长度
:0042FF4F F540900200 LitI4 ;Push 00029040
:0042FF54 DB GtI4 ;Push (Pop1 > Pop2)
:0042FF55 C5 OrI4 ;
:0042FF56 F500000000 LitI4 ;Push 00000000
:0042FF5B 080800 FLdPr ;[SR]=[STACK_0008]
:0042FF5E 8A3800 MemLdStr ;Push DWORD [[SR]+0038]
******Possible String Ref To->"\hidcpp.dll"
|
:0042FF61 1B5100 LitStr ;Push ptr_0041E53C
:0042FF64 2A ConcatStr ;vbaStrCat
:0042FF65 463CFF CVarStr ;
**********Reference To->msvbvm50.rtcDir
|
:0042FF68 0B24000800 ImpAdCallI2 ;Call ptr_0040105A; check stack 0008; Push EAX
:0042FF6D 2374FF FStStrNoPop ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=[stack]
******Possible String Ref To->""
|
:0042FF70 1B1400 LitStr ;Push ptr_0041C1C8
:0042FF73 FB3D NeStr ;
:0042FF75 C5 OrI4 ;
:0042FF76 2F74FF FFree1Str ;SysFreeString [LOCAL_008C]; [LOCAL_008C]=0
:0042FF79 353CFF FFree1Var ;Free LOCAL_00C4
:0042FF7C 1C4903 BranchF ;If Pop=0 then ESI=0042FFB9
//修改为:Branch 1C4903->1E4903 ★
:0042FF7F 0033 LargeBos ;IDE beginning of line with 33 byte codes
:0042FF81 27FCFE LitVar ;PushVar LOCAL_0104
:0042FF84 270CFF LitVar ;PushVar LOCAL_00F4
******Possible String Ref To->"'电脑万能专家非法操作'"
|
:0042FF87 3A4CFF5200 LitVarStr ;PushVarString ptr_0041E5C4
:0042FF8C 4E1CFF FStVarCopyObj ;[LOCAL_00E4]=vbaVarDup(Pop)
:0042FF8F 041CFF FLdRfVar ;Push LOCAL_00E4
:0042FF92 F510000000 LitI4 ;Push 00000010
******Possible String Ref To->"程序遇到病毒破坏,异常退出,建议杀毒后再重新安装使用!"
|
:0042FF97 3A5CFF5300 LitVarStr ;PushVarString ptr_0041E588
:0042FF9C 4E3CFF FStVarCopyObj ;[LOCAL_00C4]=vbaVarDup(Pop)
:0042FF9F 043CFF FLdRfVar ;Push LOCAL_00C4
**********Reference To->msvbvm50.rtcMsgBox
|
:0042FFA2 0A54001400 ImpAdCallFPR4 ;Call ptr_0040104E; check stack 0014; Push EAX
:0042FFA7 3608003CFF1CFF0C FFreeVar ;Free 0008/2 variants
:0042FFB2 0004 LargeBos ;IDE beginning of line with 04 byte codes
:0042FFB4 FCC800 End ;
//Game Over
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
哦,知道了,学习下,,呵呵.
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
请问一下fly老大你是用什么软件分析的这个vb-pcode后面的注解很清楚很好!能告诉一下吗?
谢谢!
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
VBExplorer
|
能力值:
( LV9,RANK:170 )
|
-
-
11 楼
非常感谢fly的指点。
不过我用vbexplore时无法显示中文字呀
|
能力值:
( LV9,RANK:170 )
|
-
-
12 楼
用何编辑软件来修改呢?OD,UltraEdit,IDA都不行呀!P-CODE还真的烦人也!
|
能力值:
( LV9,RANK:3410 )
|
-
-
13 楼
16进制工具都可以修改
WKTVBDE调试时就可以看见了
|
能力值:
( LV9,RANK:170 )
|
-
-
14 楼
我操,暗桩不少呀。改跳后运行,强行关机。气死我也!
|
能力值:
( LV9,RANK:1060 )
|
-
-
15 楼
我操,暗桩不少呀。改跳后运行,强行关机。气死我也!
关机还是比较好的,比在你的机器上放两个后门好多了。
|
|
|