用了VolX写的脚本,提示“有偷窃代码, 请查看记录窗口内的 IAT 数据”
记录窗口:
无法打开导入库
无法打开导入库
文件 'D:\CM\程序企增强版3.32B.exe'
ID 00000350 的新进程已创建
00401000 ID 00000858 的主线程已创建
00400000 模块 D:\CM\程序企增强版3.32B.exe
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll
76680000 模块 C:\WINDOWS\system32\wininet.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\version.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\user32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
00401000 程序入口点
imgbase: 00400000 | ASCII "MZP"
imgbasefromdisk: 00400000 | ASCII "MZP"
tmp1: 004001F8
1stsecsize: 000B1000
1stsecbase: 00401000 | 程序企增.<模块入口点>
tmp1: 00400360 | ASCII ".adata"
lastsecsize: 00001000
lastsecbase: 00523000
isdll: 00000000
7C80176B 断点位于 kernel32.GetSystemTime
dllimgbase: 00E80000
tmp4: 00EAF7D3
00EB0781 访问违规: 正在写入到 [00000000]
00EAFDEF 访问违规: 正在写入到 [00000000]
00EB0023 访问违规: 正在写入到 [00000000]
00EB0183 访问违规: 正在写入到 [00000000]
00EADAF4 访问违规: 正在写入到 [00000000]
00EADB8A 访问违规: 正在写入到 [00000000]
00EADCB4 访问违规: 正在写入到 [00000000]
00EADF3F 访问违规: 正在写入到 [00000000]
00EADFEF 访问违规: 正在写入到 [00000000]
00EB024C 访问违规: 正在写入到 [00000000]
00EB03C4 访问违规: 正在写入到 [00000000]
00EB05A7 访问违规: 正在写入到 [00000000]
00EAC73A INT3 命令位于00EAC73A
00EAD492 访问违规: 正在写入到 [00000000]
00EAD5CE 访问违规: 正在写入到 [00000000]
00EAD74E 访问违规: 正在写入到 [00000000]
00EAE3DE 访问违规: 正在写入到 [00000000]
00EAF762 访问违规: 正在写入到 [00000000]
00EAF7D3 断点位于 00EAF7D3
thunkstop: 00EAEE06
APIpoint3: 00EABA93
thunkpt: 00EA7895
patch1: 00EA75F4
tmp2: 0000003B
thunkdataloc: 00E80200
tmp2: 00EAF524
tmp3: 000035FF
00EAEA55 访问违规: 正在写入到 [00000000]
00EA7895 断点位于 00EA7895
ESIaddr: 00EE0D68
ESIpara1: 75375E3A
ESIpara2: 75385E3A
ESIpara3: 753A5E3A
ESIpara4: 74345E3A
nortype: 00000001
00E80102 断点位于 00E80102
tmp2: 00000001
tmp3: 004B69CC
iatendaddr: 004B69D0
iatstartaddr: 004B6190
iatstart_rva: 000B6190
patch3: 00EA7757
00EAE72E 访问违规: 正在写入到 [00000000]
00EAEDCF 访问违规: 正在写入到 [00000000]
00EAEE06 断点位于 00EAEE06
writept2: 00EABAD2
tmp1: 00EAF4B7
tmp2: 00EAF4DD
transit1: 00EAF4DE
00EABAD2 硬件断点 1 位于 00EABAD2
EBXaddr: 00EE0EB8
FF15flag: 00000029
type1API: 00000001
00EAF00D 访问违规: 正在写入到 [00000000]
00EAF089 访问违规: 正在写入到 [00000000]
00EAF25A 访问违规: 正在写入到 [00000000]
00EAF37A 访问违规: 正在写入到 [00000000]
00EAF46F 访问违规: 正在写入到 [00000000]
00EAF4DE 断点位于 00EAF4DE
tmp2: 00EAA71B
func1: CALL 00EAB338
func2: CALL 00EAA0C4
func3: CALL 00EAADEC
func4: CALL 00EA7174
v1.32: 00000000
v2.0x: 00000000
00E80034 断点位于 00E80034
E8count: 00000063
00EB08E3 访问违规: 正在写入到 [00000000]
00EB095A 访问违规: 正在写入到 [00000000]
00EB0A5F 访问违规: 正在写入到 [00000000]
00EB0B2B 访问违规: 正在写入到 [00000000]
00EB0D5E 访问违规: 正在写入到 [00000000]
00EB0F62 访问违规: 正在写入到 [00000000]
00EAC73A INT3 命令位于00EAC73A
00E8DDE4 断点位于 00E8DDE4
00EAE1F0 访问违规: 正在写入到 [00000000]
00EAFAA5 访问违规: 正在写入到 [00000000]
00EA7D67 断点位于 00EA7D67
00EACCB4 硬件断点 1 位于 00EACCB4
iatstartaddr: 004B6190
iatstart_rva: 000B6190
iatsize: 00000844
010802F4 断点位于 010802F4
OEP_rva: 000B17FC
00400000 卸载 D:\CM\程序企增强版3.32B.exe
无法保存模块 程序企增 的用户数据
5D170000 卸载 C:\WINDOWS\system32\comctl32.dll
62C20000 卸载 C:\WINDOWS\system32\LPK.DLL
71A10000 卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000 卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000 卸载 C:\WINDOWS\system32\wsock32.dll
73FA0000 卸载 C:\WINDOWS\system32\USP10.dll
76300000 卸载 C:\WINDOWS\system32\IMM32.DLL
765E0000 卸载 C:\WINDOWS\system32\CRYPT32.dll
76680000 卸载 C:\WINDOWS\system32\wininet.dll
76990000 卸载 C:\WINDOWS\system32\ole32.dll
76DB0000 卸载 C:\WINDOWS\system32\MSASN1.dll
770F0000 卸载 C:\WINDOWS\system32\oleaut32.dll
77BD0000 卸载 C:\WINDOWS\system32\version.dll
77BE0000 卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000 卸载 C:\WINDOWS\system32\user32.dll
77DA0000 卸载 C:\WINDOWS\system32\advapi32.dll
77E50000 卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 卸载 C:\WINDOWS\system32\GDI32.dll
77F40000 卸载 C:\WINDOWS\system32\SHLWAPI.dll
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
7D590000 卸载 C:\WINDOWS\system32\shell32.dll
进程已终止
无法打开导入库
无法打开导入库
文件 'D:\CM\程序企增强版3.32B.exe'
ID 000006FC 的新进程已创建
00401000 ID 00000310 的主线程已创建
00400000 模块 D:\CM\程序企增强版3.32B.exe
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll
76680000 模块 C:\WINDOWS\system32\wininet.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\version.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\user32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
00401000 程序入口点
7C80176B 断点位于 kernel32.GetSystemTime
00EB0781 访问违规: 正在写入到 [00000000]
00EAFDEF 访问违规: 正在写入到 [00000000]
00EB0023 访问违规: 正在写入到 [00000000]
00EB0183 访问违规: 正在写入到 [00000000]
00EADB8A 访问违规: 正在写入到 [00000000]
00EADCB4 访问违规: 正在写入到 [00000000]
00EADF3F 访问违规: 正在写入到 [00000000]
00EADFEF 访问违规: 正在写入到 [00000000]
00EB024C 访问违规: 正在写入到 [00000000]
00EB03C4 访问违规: 正在写入到 [00000000]
00EB05A7 访问违规: 正在写入到 [00000000]
00EAC73A INT3 命令位于00EAC73A
00EAD492 访问违规: 正在写入到 [00000000]
00EAD5CE 访问违规: 正在写入到 [00000000]
00EAD74E 访问违规: 正在写入到 [00000000]
00EAE3DE 访问违规: 正在写入到 [00000000]
00EAE5CF 访问违规: 正在写入到 [00000000]
00EAF762 访问违规: 正在写入到 [00000000]
00EAF7D3 断点位于 00EAF7D3
00EAEA55 访问违规: 正在写入到 [00000000]
00EAEB3C 访问违规: 正在写入到 [00000000]
00EA7895 断点位于 00EA7895
00E8011A 断点位于 00E8011A
AsprAPIloc: 00EB34E8
00EAE72E 访问违规: 正在写入到 [00000000]
00EAEDCF 访问违规: 正在写入到 [00000000]
00EAEE06 断点位于 00EAEE06
00EABAD2 硬件断点 1 位于 00EABAD2
00EAF00D 访问违规: 正在写入到 [00000000]
00EAF089 访问违规: 正在写入到 [00000000]
00EAF25A 访问违规: 正在写入到 [00000000]
00EAF2BF 断点位于 00EAF2BF
00EAF37A 访问违规: 正在写入到 [00000000]
00EAF3A5 断点位于 00EAF3A5
00EAF46F 访问违规: 正在写入到 [00000000]
00EAF4B3 断点位于 00EAF4B3
Delphi 初始化表的地址 004B14DC
00EABE24 断点位于 00EABE24
00EABE24 断点位于 00EABE24
00EABE24 断点位于 00EABE24
011001BA 断点位于 011001BA
00E8002E 断点位于 00E8002E
00E80062 断点位于 00E80062
00E800C5 断点位于 00E800C5
00E80156 断点位于 00E80156
00E80034 断点位于 00E80034
00EB08E3 访问违规: 正在写入到 [00000000]
00EB095A 访问违规: 正在写入到 [00000000]
00EB0A5F 访问违规: 正在写入到 [00000000]
00EB0B2B 访问违规: 正在写入到 [00000000]
00EB0D5E 访问违规: 正在写入到 [00000000]
00EB0F62 访问违规: 正在写入到 [00000000]
00EAC73A INT3 命令位于00EAC73A
00E8DDE4 断点位于 00E8DDE4
00EAE1F0 访问违规: 正在写入到 [00000000]
00EAFAA5 访问违规: 正在写入到 [00000000]
00EA7D67 断点位于 00EA7D67
00EACCB4 硬件断点 1 位于 00EACCB4
010802F4 断点位于 010802F4
00E807D9 断点位于 00E807D9
00E8003E 断点位于 00E8003E
00E800F2 断点位于 00E800F2
00E80030 断点位于 00E80030
IAT 的地址 = 004B6190
IAT 的相对地址 = 000B6190
IAT 的大小 = 00000844
00E80079 断点位于 00E80079
OEP 的地址 = 004B17FC
OEP 的相对地址 = 000B17FC
用Import REConstructor 修复,还是不行!!怎样处理?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
