-
-
[旧帖] [求助]求教定位VB主程序代码开头的方法 0.00雪花
-
发表于: 2009-4-13 23:14
-
同学的机器貌似感染了个恶意程序,把样本传给我让我分析下,PEID查了下壳 是VB 5.0/6.0
我用OD调,发现进入ThunRTMain中在MSVBVM60.dll中很容易跑飞。我现在想定位到病毒作者写的程序代码处,而不是在虚拟机里转。
由于我几乎没用过VB
,临时抱了下佛脚写了msgbox,自己调试了下发现从MSVBVM60.dll返回main thread后,先是一个SEH 安装,然后是Zombie_AddRef, 接下来是__vbaVarDup,然后就是我写的msgbox处了。
所以我在调试那个样本时在__vbaVarDup下断,貌似停到了主程序代码开头的地方。
我想请教各位高手,我这么下断有没有问题,是否适用于定位所有或者大部分VB 5.0/6.0程序代码开头吗?
到底应该如何定位vb程序作者写的代码开始的位置呢?
还有请问 反汇编vb程序的函数,像rtcEnvironVar 这样的函数有没有帮助文档。我查msdn找不到.......
谢谢各位啦~~~
我用OD调,发现进入ThunRTMain中在MSVBVM60.dll中很容易跑飞。我现在想定位到病毒作者写的程序代码处,而不是在虚拟机里转。
由于我几乎没用过VB
,临时抱了下佛脚写了msgbox,自己调试了下发现从MSVBVM60.dll返回main thread后,先是一个SEH 安装,然后是Zombie_AddRef, 接下来是__vbaVarDup,然后就是我写的msgbox处了。所以我在调试那个样本时在__vbaVarDup下断,貌似停到了主程序代码开头的地方。
我想请教各位高手,我这么下断有没有问题,是否适用于定位所有或者大部分VB 5.0/6.0程序代码开头吗?
到底应该如何定位vb程序作者写的代码开始的位置呢?
还有请问 反汇编vb程序的函数,像rtcEnvironVar 这样的函数有没有帮助文档。我查msdn找不到.......
谢谢各位啦~~~
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
我都是按Page Down找的(
 )
|
|
|
您能说的再具体点吗?在哪里按page down?
|
|
|
|
