能力值:
( LV4,RANK:50 )
|
-
-
2 楼
看起来并没有错啊
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
3 楼
但是往下跟踪就跟不了了,直接跑了。。
|
能力值:
( LV9,RANK:147 )
|
-
-
4 楼
.....这是VB的入口点吧
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
应该是进入到 VB 虚拟机里了吧,用 VB Decompiler 或其它 VB 反编译工具看起来方便些
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
6 楼
确实是,一开始是加了壳的,脱了壳就到这里了
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
7 楼
但是跟入的话就跑到这里来了:
733935A4 > 55 push ebp
733935A5 8BEC mov ebp,esp
733935A7 6A FF push -0x1
733935A9 68 D0973A73 push 733A97D0
733935AE 68 FDBA4773 push 7347BAFD
733935B3 64:A1 00000000 mov eax,dword ptr fs:[0]
733935B9 50 push eax
733935BA 64:8925 0000000>mov dword ptr fs:[0],esp
733935C1 51 push ecx
733935C2 51 push ecx
733935C3 83EC 4C sub esp,0x4C
733935C6 53 push ebx
733935C7 56 push esi
733935C8 57 push edi
|
能力值:
( LV9,RANK:165 )
|
-
-
8 楼
正常现象,编译个vb的exe,入口点就这样的:
00401128 >/$ 68 5C124000 push 工程1.0040125C ; ASCII "VB5!#vb6chs.dll"
0040112D |. E8 F0FFFFFF call <jmp.&MSVBVM60.#100> //这里要跟进去
00401132 |. 0000 add byte ptr ds:[eax],al
00401134 |. 0000 add byte ptr ds:[eax],al
00401136 |. 0000 add byte ptr ds:[eax],al
00401138 |. 3000 xor byte ptr ds:[eax],al
0040113A |. 0000 add byte ptr ds:[eax],al
0040113C |. 3800 cmp byte ptr ds:[eax],al
0040113E |. 0000 add byte ptr ds:[eax],al
00401140 |. 0000 add byte ptr ds:[eax],al
00401142 |. 0000 add byte ptr ds:[eax],al
00401144 |. 9C pushfd
00401145 |. DC5A 0D fcomp qword ptr ds:[edx+0xD]
装载了vb的支持库,导致代码位置有区别,lz跟到的代码可以说不算系统领空代码
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
9 楼
多谢 我一开始也是这么猜测的,但是上网搜总是搜不到这么一说,你这么说,我就确信了 
|
|
|
|
