00403831 >/$  55            push ebp
00403832  |.  8BEC          mov ebp,esp
00403834  |.  6A FF         push -1
00403836  |.  68 F0624000   push exe.004062F0
0040383B  |.  68 A44C4000   push exe.00404CA4                  ;  SE 句柄安装
//是否从这个跟进？ 找到00404CA4
00403840  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
00403846  |.  50            push eax
00403847  |.  64:8925 00000>mov dword ptr fs:[0],esp
0040384E  |.  83EC 58       sub esp,58
00403851  |.  53            push ebx
00403852  |.  56            push esi
00403853  |.  57            push edi
00403854  |.  8965 E8       mov dword ptr ss:[ebp-18],esp
00403857  |.  FF15 48604000 call dword ptr ds:[<&KERNEL32.GetV>;  kernel32.GetVersion
0040385D  |.  33D2          xor edx,edx
0040385F  |.  8AD4          mov dl,ah
00403861  |.  8915 6C8A4000 mov dword ptr ds:[408A6C],edx
00403867  |.  8BC8          mov ecx,eax
00403869  |.  81E1 FF000000 and ecx,0FF
0040386F  |.  890D 688A4000 mov dword ptr ds:[408A68],ecx
00403875  |.  C1E1 08       shl ecx,8
00403878  |.  03CA          add ecx,edx
0040387A  |.  890D 648A4000 mov dword ptr ds:[408A64],ecx
00403880  |.  C1E8 10       shr eax,10
00403883  |.  A3 608A4000   mov dword ptr ds:[408A60],eax
00403888  |.  33F6          xor esi,esi
0040388A  |.  56            push esi
0040388B  |.  E8 D3010000   call exe.00403A63
00403890  |.  59            pop ecx
00403891  |.  85C0          test eax,eax
00403893  |.  75 08         jnz short exe.0040389D
00403895  |.  6A 1C         push 1C
00403897  |.  E8 B0000000   call exe.0040394C
0040389C  |.  59            pop ecx
0040389D  |>  8975 FC       mov dword ptr ss:[ebp-4],esi
004038A0  |.  E8 59110000   call exe.004049FE
004038A5  |.  FF15 44604000 call dword ptr ds:[<&KERNEL32.GetC>; [GetCommandLineA
004038AB  |.  A3 548F4000   mov dword ptr ds:[408F54],eax
004038B0  |.  E8 17100000   call exe.004048CC
004038B5  |.  A3 408A4000   mov dword ptr ds:[408A40],eax
004038BA  |.  E8 C00D0000   call exe.0040467F
004038BF  |.  E8 020D0000   call exe.004045C6
004038C4  |.  E8 1F0A0000   call exe.004042E8
004038C9  |.  8975 D0       mov dword ptr ss:[ebp-30],esi
004038CC  |.  8D45 A4       lea eax,dword ptr ss:[ebp-5C]
004038CF  |.  50            push eax                           ; /pStartupinfo
004038D0  |.  FF15 40604000 call dword ptr ds:[<&KERNEL32.GetS>; \GetStartupInfoA
004038D6  |.  E8 930C0000   call exe.0040456E
004038DB  |.  8945 9C       mov dword ptr ss:[ebp-64],eax
004038DE  |.  F645 D0 01    test byte ptr ss:[ebp-30],1
004038E2  |.  74 06         je short exe.004038EA
004038E4  |.  0FB745 D4     movzx eax,word ptr ss:[ebp-2C]
004038E8  |.  EB 03         jmp short exe.004038ED
004038EA  |>  6A 0A         push 0A
004038EC  |.  58            pop eax
004038ED  |>  50            push eax                           ; /Arg4
004038EE  |.  FF75 9C       push dword ptr ss:[ebp-64]         ; |Arg3
004038F1  |.  56            push esi                           ; |Arg2
004038F2  |.  56            push esi                           ; |/pModule
004038F3  |.  FF15 3C604000 call dword ptr ds:[<&KERNEL32.GetM>; |\GetModuleHandleA
004038F9  |.  50            push eax                           ; |Arg1
004038FA  |.  E8 3BD8FFFF   call exe.0040113A                  ; \exe.0040113A
004038FF  |.  8945 A0       mov dword ptr ss:[ebp-60],eax
00403902  |.  50            push eax
00403903  |.  E8 0D0A0000   call exe.00404315
00403908  |.  8B45 EC       mov eax,dword ptr ss:[ebp-14]
0040390B  |.  8B08          mov ecx,dword ptr ds:[eax]
0040390D  |.  8B09          mov ecx,dword ptr ds:[ecx]
0040390F  |.  894D 98       mov dword ptr ss:[ebp-68],ecx
00403912  |.  50            push eax
00403913  |.  51            push ecx
00403914  |.  E8 D10A0000   call exe.004043EA
00403919  |.  59            pop ecx
0040391A  |.  59            pop ecx
0040391B  \.  C3            retn
//这个RETN 就掉到一个  push ebp  但脱下来比程序还小 不能运行肯定有错

已经确定这个程序是用E语言写的  因为OD载入  看到它生成了fnr的库文件

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！