firstrose,riijj,help!-软件逆向-看雪-安全社区|安全招聘|kanxue.com

firstrose,riijj,help!

发表于: 2004-11-27 08:37 3790

firstrose,riijj,help!

nnscccn

2004-11-27 08:37

3790

unit fmAbout;

interface

uses
  Windows, Messages, SysUtils, Classes, Graphics,
  Controls, Forms, Dialogs, StdCtrls
type
  TAboutBox=class(TForm)
Panel1: TPanel;
ProgramIcon: TImage;
Product: TLabel;
Version: TLabel;
OKButton: TButton;
Label1: TLabel;
CList: TListBox;
Label2: TLabel;
httplink: TLabel;
mailto: TLabel;
Label3: TLabel;
ProductName: TLabel;
procedure FormCreate(Sender : TObject);
procedure FormClose(Sender : TObject);
procedure httplinkClick(Sender : TObject);
procedure mailtoClick(Sender : TObject);
procedure _PROC_004FEB15(Sender : TObject);
procedure _PROC_004FEB44(Sender : TObject);
procedure _PROC_004FEB4C(Sender : TObject);
  private
{ Private declarations }
  public
{ Public declarations }
  end ;

var
  AboutBox: TAboutBox;

{This file is generated by DaRk Ver 3.50.04 Copyright (c) 1999-2002 DaFixer}

implementation

{$R *.DFM}
-------------------------------------------------------------------------------------------------
procedure TAboutBox.FormCreate(Sender : TObject);
begin
(*
004FE9D8 55                   push ebp
004FE9D9 8BEC                mov    ebp, esp
004FE9DB 6A00                push $00
004FE9DD 6A00                push $00
004FE9DF 6A00                push $00
004FE9E1 53                   push ebx
004FE9E2 8BD8                mov    ebx, eax
004FE9E4 33C0                xor    eax, eax
004FE9E6 55                   push ebp
004FE9E7 6855EA4F00          push $004FEA55

***** TRY
|
004FE9EC 64FF30                push dword ptr fs:[eax]
004FE9EF 648920                mov    fs:[eax], esp
004FE9F2 8D55F8                lea    edx, [ebp-$08]
004FE9F5 8D45FC                lea    eax, [ebp-$04]

004FE9F8 E8C74BFEFF          call 004E35C4
004FE9FD 8B55F8                mov    edx, [ebp-$08]

* Reference to control TAboutBox.ProductName : TLabel
|
004FEA00 8B8324030000          mov    eax, [ebx+$0324]

* Reference to: Controls.TControl.SetText(TControl;TCaption);
|
004FEA06 E8EDB3F5FF          call 00459DF8
004FEA0B 8D45F4                lea    eax, [ebp-$0C]
004FEA0E 8B4DFC                mov    ecx, [ebp-$04]

* Possible String Reference to: 'Version: '
|
004FEA11 BA6CEA4F00          mov    edx, $004FEA6C

* Reference to: System.@LStrCat3;
|
004FEA16 E8ED60F0FF          call 00404B08
004FEA1B 8B55F4                mov    edx, [ebp-$0C]

* Reference to control TAboutBox.Version : TLabel
|
004FEA1E 8B8304030000          mov    eax, [ebx+$0304]

* Reference to: Controls.TControl.SetText(TControl;TCaption);
|
004FEA24 E8CFB3F5FF          call 00459DF8

* Reference to control TAboutBox.CList : TListBox
|
004FEA29 8B8310030000          mov    eax, [ebx+$0310]

* Reference to field TListBox.Items : TStrings
|
004FEA2F 8B8018020000          mov    eax, [eax+$0218]

004FEA35 E81649FEFF          call 004E3350
004FEA3A 33C0                xor    eax, eax
004FEA3C 5A                   pop    edx
004FEA3D 59                   pop    ecx
004FEA3E 59                   pop    ecx
004FEA3F 648910                mov    fs:[eax], edx

****** FINALLY
|
004FEA42 685CEA4F00          push $004FEA5C
004FEA47 8D45F4                lea    eax, [ebp-$0C]
004FEA4A BA03000000          mov    edx, $00000003

* Reference to: System.@LStrArrayClr(void;void;Integer);
|
004FEA4F E8CC5DF0FF          call 00404820
004FEA54 C3                   ret

* Reference to: System.@HandleFinally;
|
004FEA55 E92257F0FF          jmp    0040417C
004FEA5A EBEB                jmp    004FEA47

****** END
|
004FEA5C 5B                   pop    ebx
004FEA5D 8BE5                mov    esp, ebp
004FEA5F 5D                   pop    ebp
004FEA60 C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
procedure TAboutBox.FormClose(Sender : TObject);
begin
(*
004FEA78 C60102                mov    byte ptr [ecx], $02
004FEA7B C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
procedure TAboutBox.httplinkClick(Sender : TObject);
begin
(*
004FEA7C 6A05                push $05
004FEA7E 6A00                push $00
004FEA80 6A00                push $00

* Possible String Reference to: 'http://www.forex-mhv.com'
|
004FEA82 68A0EA4F00          push $004FEAA0

* Possible String Reference to: 'open'
|
004FEA87 68BCEA4F00          push $004FEABC

* Reference to TApplication instance
|
004FEA8C A180E75100          mov    eax, dword ptr [$0051E780]
004FEA91 8B00                mov    eax, [eax]

* Reference to field TApplication.Handle : HWnd
|
004FEA93 8B4030                mov    eax, [eax+$30]
004FEA96 50                   push eax

004FEA97 E8586FF3FF          call 004359F4
004FEA9C C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
procedure TAboutBox.mailtoClick(Sender : TObject);
begin
(*
004FEAC4 6A05                push $05
004FEAC6 6A00                push $00
004FEAC8 6A00                push $00

* Possible String Reference to: 'mailto: [email]forex-mhv.com@forex-mhv.com[/email]'
|
004FEACA 68E8EA4F00          push $004FEAE8

* Possible String Reference to: 'open'
|
004FEACF 680CEB4F00          push $004FEB0C

* Reference to TApplication instance
|
004FEAD4 A180E75100          mov    eax, dword ptr [$0051E780]
004FEAD9 8B00                mov    eax, [eax]

* Reference to field TApplication.Handle : HWnd
|
004FEADB 8B4030                mov    eax, [eax+$30]
004FEADE 50                   push eax

004FEADF E8106FF3FF          call 004359F4
004FEAE4 C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
procedure TAboutBox._PROC_004FEB15(Sender : TObject);
begin
(*
004FEB15 8BEC                mov    ebp, esp
004FEB17 33C0                xor    eax, eax
004FEB19 55                   push ebp
-------------------------------------------------------------------------------------------------
004FEB1A 6839EB4F00          push $004FEB39
-------------------------------------------------------------------------------------------------
//004FEB39  jmp forexman.0040417C
//004FEB3E  jmp short forexman.004FEB38
//004FEB40  pop ebp
//004FEB41  retn
-------------------------------------------------------------------------------------------------

***** TRY
|
004FEB1F 64FF30                push dword ptr fs:[eax]
004FEB22 648920                mov    fs:[eax], esp
004FEB25 FF055CFD5100          inc    dword ptr [$0051FD5C]
                              *****************************
004FEB2B 33C0                xor    eax, eax
004FEB2D 5A                   pop    edx
004FEB2E 59                   pop    ecx
004FEB2F 59                   pop    ecx
004FEB30 648910                mov    fs:[eax], edx

****** FINALLY
|
004FEB33 6840EB4F00          push $004FEB40
004FEB38 C3                   ret

* Reference to: System.@HandleFinally;
|
004FEB39 E93E56F0FF          jmp    0040417C
004FEB3E EBF8                jmp    004FEB38

****** END
|
004FEB40 5D                   pop    ebp
004FEB41 C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
procedure TAboutBox._PROC_004FEB44(Sender : TObject);
begin
(*
004FEB44 832D5CFD510001       sub    dword ptr [$0051FD5C], +$01
004FEB4B C3                   ret

*)
end;
-------------------------------------------------------------------------------------------------
这个procedure怀疑就是okButtonClick事件。是否加了反调试功能？找个反调试软件试一下！可能是没有脱壳的原因。找个加壳软件试一下。
-------------------------------------------------------------------------------------------------
procedure TAboutBox._PROC_004FEB4C(Sender : TObject);
begin
(*
004FEB4C 98                   cwde
004FEB4D EB4F                jmp    004FEB9E
004FEB4F 0000                add    [eax], al

004FEB51 0000                add    [eax], al

004FEB53 0000                add    [eax], al

004FEB55 0000                add    [eax], al

004FEB57 0000                add    [eax], al

004FEB59 0000                add    [eax], al

004FEB5B 0000                add    [eax], al

004FEB5D 0000                add    [eax], al

004FEB5F 0000                add    [eax], al

004FEB61 0000                add    [eax], al

004FEB63 0000                add    [eax], al

004FEB65 0000                add    [eax], al

004FEB67 0000                add    [eax], al

004FEB69 0000                add    [eax], al

004FEB6B 0098EB4F000C          add    [eax+$C004FEB], bl
004FEB71 0000                add    [eax], al

004FEB73 006881                add    [eax-$7F], ch
004FEB76 40                   inc    eax
004FEB77 0030                add    [eax], dh
004FEB79 3C40                cmp    al, $40
004FEB7B 003C3C                add    [esp+edi], bh
004FEB7E 40                   inc    eax
004FEB7F 00403C                add    [eax+$3C], al
004FEB82 40                   inc    eax
004FEB83 00443C40             add    [esp+edi+$40], al
004FEB87 0038                add    [eax], bh
004FEB89 3C40                cmp    al, $40
004FEB8B 00803940009C          add    [eax+$9C004039], al
004FEB91 394000                cmp    [eax+$00], eax
004FEB94 D839                fdivr dword ptr [ecx]
004FEB96 40                   inc    eax
004FEB97 000C4549644578       add    [$78456449+eax*2], cl
004FEB9E 636570                arpl [ebp+$70], sp
004FEBA1 7469                jz    004FEC0C
004FEBA3 6F                   outsd
004FEBA4 6E                   outsb
004FEBA5 8D4000                lea    eax, [eax+$00]
004FEBA8 F4                   hlt
004FEBA9 EB4F                jmp    004FEBFA
004FEBAB 0000                add    [eax], al

004FEBAD 0000                add    [eax], al

004FEBAF 0000                add    [eax], al

004FEBB1 0000                add    [eax], al

004FEBB3 0000                add    [eax], al

004FEBB5 0000                add    [eax], al

004FEBB7 0000                add    [eax], al

004FEBB9 0000                add    [eax], al

004FEBBB 0000                add    [eax], al

004FEBBD 0000                add    [eax], al

004FEBBF 0000                add    [eax], al

004FEBC1 0000                add    [eax], al

004FEBC3 0000                add    [eax], al

004FEBC5 0000                add    [eax], al

004FEBC7 00F4                add    ah, dh
004FEBC9 EB4F                jmp    004FEC1A
004FEBCB 000C00                add    [eax+eax], cl
004FEBCE 0000                add    [eax], al

004FEBD0 4C                   dec    esp
004FEBD1 EB4F                jmp    004FEC22
004FEBD3 0030                add    [eax], dh
004FEBD5 3C40                cmp    al, $40
004FEBD7 003C3C                add    [esp+edi], bh
004FEBDA 40                   inc    eax
004FEBDB 00403C                add    [eax+$3C], al
004FEBDE 40                   inc    eax
004FEBDF 00443C40             add    [esp+edi+$40], al
004FEBE3 0038                add    [eax], bh
004FEBE5 3C40                cmp    al, $40
004FEBE7 00803940009C          add    [eax+$9C004039], al
004FEBED 394000                cmp    [eax+$00], eax
004FEBF0 D839                fdivr dword ptr [ecx]
004FEBF2 40                   inc    eax
004FEBF3 0012                add    [edx], dl
004FEBF5 45                   inc    ebp
004FEBF6 49                   dec    ecx
004FEBF7 6453                push ebx
004FEBF9 696C656E74457863    imul ebp, [ebp+$6E], $63784574
004FEC01 657074                jo    004FEC78
004FEC04 696F6E9054EC4F       imul ebp, [edi+$6E], $4FEC5490
004FEC0B 0000                add    [eax], al

004FEC0D 0000                add    [eax], al

004FEC0F 0000                add    [eax], al

004FEC11 0000                add    [eax], al

004FEC13 0000                add    [eax], al

004FEC15 0000                add    [eax], al

004FEC17 0000                add    [eax], al

004FEC19 0000                add    [eax], al

004FEC1B 0000                add    [eax], al

004FEC1D 0000                add    [eax], al

004FEC1F 0000                add    [eax], al

004FEC21 0000                add    [eax], al

004FEC23 0000                add    [eax], al

*)
end;

end.
----------------------------------------------------------------------
三个procedure分别对应着三个事件，okbutton按下事件等,很奇怪，我没有看到它的procedure,因此我猜测这三个procedure中有一个是okbutton事件，通过实验，发现它没有加壳，也没有用花指令，是加密了吗？为什么要对一个不重要
的okbutton加密?究竟是怎么回事，请jj指点。
----------------------------------------------------------------------

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・1

支持

最新回复 (7)
nig 雪币： 413 活跃值： (637) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1456 粉丝 13 关注私信	nig 4 2 楼兄弟，你累傻小子呢吧！那几个过程并不一定有用，你可以看一下DEDE里窗体里，那里有这个 fmabout的框架，在里面很容易可以找到ok的处理事件啊！费这么大的力做作用。 2004-11-27 12:15 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 3 楼 1、请参考我的笔记系列，里面有如何去分析一个程序 2、请参考<Classes restoration>，里面有如何去分析VCL 3、请参考汇编手册 4、请使用多种反汇编软件，然后互相对照结果。 5、请参考http://bbs.pediy.com/showthread.php?s=&threadid=7440里你自己的跟贴 6、祝你水平提高。 2004-11-27 20:01 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 4 楼忘了说了，事件函数动态赋值也不是没有。刚想到的。 2004-11-27 20:12 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 5 楼谢谢firstrose,我请你吃饭。再详细讲讲事件函数怎么动态赋值好吗？我不是片子，我答应的事情一定会做到。好累啊，刚学完收音机电路原理，你帮我解决这个问题，我设计一台高性能收音机送你。 2004-11-27 22:11 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 6 楼另外，你使用的头像不好看，沉闷了一点，你这个人不太活泼哦。 2004-11-27 22:31 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 7 楼这么说吧。 Btn.OnClick:=xxxx; 就是这个了。许多软件用dede分析的结果，按钮没有事件，估计就是这个了。你为什么不查delphi的help呢？饭和收音机你就留着吧。我是来学技术的，不是来敲竹杠的。:D nig也说了嘛。 2004-11-28 14:39 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 8 楼谢谢firstrose,我试试。 2004-11-28 16:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nnscccn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
nig 雪币： 413 活跃值： (637) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1456 粉丝 13 关注私信	nig 4 2 楼兄弟，你累傻小子呢吧！那几个过程并不一定有用，你可以看一下DEDE里窗体里，那里有这个 fmabout的框架，在里面很容易可以找到ok的处理事件啊！费这么大的力做作用。 2004-11-27 12:15 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 3 楼 1、请参考我的笔记系列，里面有如何去分析一个程序 2、请参考<Classes restoration>，里面有如何去分析VCL 3、请参考汇编手册 4、请使用多种反汇编软件，然后互相对照结果。 5、请参考http://bbs.pediy.com/showthread.php?s=&threadid=7440里你自己的跟贴 6、祝你水平提高。 2004-11-27 20:01 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 4 楼忘了说了，事件函数动态赋值也不是没有。刚想到的。 2004-11-27 20:12 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 5 楼谢谢firstrose,我请你吃饭。再详细讲讲事件函数怎么动态赋值好吗？我不是片子，我答应的事情一定会做到。好累啊，刚学完收音机电路原理，你帮我解决这个问题，我设计一台高性能收音机送你。 2004-11-27 22:11 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 6 楼另外，你使用的头像不好看，沉闷了一点，你这个人不太活泼哦。 2004-11-27 22:31 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 7 楼这么说吧。 Btn.OnClick:=xxxx; 就是这个了。许多软件用dede分析的结果，按钮没有事件，估计就是这个了。你为什么不查delphi的help呢？饭和收音机你就留着吧。我是来学技术的，不是来敲竹杠的。:D nig也说了嘛。 2004-11-28 14:39 0
nnscccn 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 64 粉丝 0 关注私信	nnscccn 1 8 楼谢谢firstrose,我试试。 2004-11-28 16:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复