[原创]SoftSnoop2009-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SoftSnoop2009

发表于: 2009-6-14 20:47 78617

[原创]SoftSnoop2009

红尘岁月

2009-6-14 20:47

78617

首先：非常感谢原作者yoda/f2f提供了这么好的工具，并慷慨地公布了源代码；
其次：非常感谢大虾hmilyyang，因为他让我有机会接触SoftSnoop并加以修改。
大虾hmilyyang的原文
http://bbs.pediy.com/showthread.php?t=55974

软件说明：
SoftSnoop一款强大的函数调用监控工具。

更新说明：
20090621：添加了vb事件解析，MFC动态链接方式的虚函数与消息映射表的解析，更新了"不报告这些区间API"不生效的问题。选项中添加"显示MFC、vb等详细信息"。(应31楼的要求，把XX版改Softsnoop2009)
20090710：添加了Delphi对象解析（演示结果见：72楼）
20091119：对vb头文件进行详细的解析，更新了展示结构等等

使用说明：
SoftSnoop2009应用一：如何跟踪加壳程序
 SoftSnoop2009应用二：详细解析vb头结构

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

SoftSnoop2009V0.3.rar （683.78kb，1135次下载）

收藏・50

免费・8

支持

最新回复 (142) 1 2 3 4 5 6 ▶
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 2 楼 vb模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00412000 模块名称: C:\Documents and Settings\butt\桌面\002\vb模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E4000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到15个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 7160...... 返回地址: 0040D042 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName="kernel32.dll" GetModuleHandleA返回值: 0x7C800000(模块句柄) 返回地址: 0040D29B 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName="MSVBVM60.DLL" GetModuleHandleA返回值: 0x73390000(模块句柄) 返回地址: 004011D2 函数名称: ThunRTMain(MSVBVM60.DLL) ThunRTMain: 初始化进程并获取进程ID lpstring="VB5!#vb6chs.dll" 返回地址: 00408672 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000006 返回地址: 004086CB 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012FB20 变量2=0x0012FBF0 __vbaVarDup返回值: 0x0012FAD0 (vb字符串:"欢迎使用") 返回地址: 004086DD 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012FB20 变量2=0x0012FBF0 __vbaVarDup返回值: 0x0012FAE0 (vb字符串:"注册成功之后，你会在窗体右边看到隐藏的文字。") 返回地址: 004086F4 函数名称: rtcMsgBox(MSVBVM60.DLL) rtcMsgBox: 显示对话框对话框内容=0x0012FAE0 (vb字符串:"注册成功之后，你会在窗体右边看到隐藏的文字。") 参数2=0x00000000 标题=0x0012FAD0 (vb字符串:"欢迎使用") 参数4=0x0012FAC0 参数5=0x0012FAB0 rtcMsgBox返回值: 0x00000001(1表示OK) 返回地址: 00408767 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000005 返回地址: 00408313 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000004 返回地址: 0040838D 函数名称: rtcR8ValFromBstr(MSVBVM60.DLL) rtcR8ValFromBstr: 字符串转为数值字符串="797979" rtcR8ValFromBstr返回值: 0x00000020(结果) 返回地址: 0040840E 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F4B4 变量1=0x0012F474 (vb长整型:3864242) 变量2=0x0012F4D0 (vb双精度:797979.000000) __vbaVarAdd返回值: 0x0012F4B4 (vb双精度:4662221.000000) 返回地址: 0040841C 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F4A4 变量1=0x0012F464 (vb整型:1970) 变量2=0x0012F4B4 (vb双精度:4662221.000000) __vbaVarAdd返回值: 0x0012F4A4 (vb双精度:4664191.000000) 返回地址: 0040842A 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F494 变量1=0x0012F454 (vb长整型:330043) 变量2=0x0012F4A4 (vb双精度:4664191.000000) __vbaVarAdd返回值: 0x0012F494 (vb双精度:4994234.000000) 返回地址: 00408431 函数名称: __vbaI4Var(MSVBVM60.DLL) __vbaI4Var: 把VB变量变成I4数值 Var=0x0012F494 (vb双精度:4994234.000000) __vbaI4Var返回值: 0x004C34BA(数值) 返回地址: 004084DC 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012F514 变量2=0x0012F5E4 __vbaVarDup返回值: 0x0012F4A4 (vb字符串:"注册码不正确") 返回地址: 004084FB 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012F514 变量2=0x0012F5E4 __vbaVarDup返回值: 0x0012F4B4 (vb字符串:"注册码不正确，请重新输入。") 返回地址: 00408515 函数名称: rtcMsgBox(MSVBVM60.DLL) rtcMsgBox: 显示对话框对话框内容=0x0012F4B4 (vb字符串:"注册码不正确，请重新输入。") 参数2=0x00000000 标题=0x0012F4A4 (vb字符串:"注册码不正确") 参数4=0x0012F494 参数5=0x0012F484 rtcMsgBox返回值: 0x00000001(1表示OK) 返回地址: 004085A4 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000003 返回地址: 004085FF 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000004 返回地址: 00408605 函数名称: __vbaEnd(MSVBVM60.DLL) __vbaEnd: 结束进程返回地址: 00408615 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000003 卸载ApiSnoop dll. 上传的附件： vb模板.rar （20.20kb，357次下载） 2009-6-14 20:50 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 3 楼 mfc模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00406000 模块名称: C:\Documents and Settings\butt\桌面\002\mfc模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73D30000 终止于: 0x73E2E000 模块名称: MFC42.DLL 正在处理HookAddr_MFC42.txt相关函数，请稍后....... 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到13个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 11336...... 返回地址: 004023DB 函数名称: AfxGetModuleState(MFC42.DLL) AfxGetModuleState: 获取模块信息 AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE) 返回地址: 00401056 函数名称: CWinApp::CWinApp()(MFC42.DLL) CWinApp::CWinApp()返回值: 0x00404028 返回地址: 00402336 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF64 GetStartupInfoA返回值: 0x0012FF64(无返回值) 返回地址: 0040235A 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName=NULL GetModuleHandleA返回值: 0x00400000(模块句柄) 返回地址: 004023D3 函数名称: AfxWinMain(MFC42.DLL) AfxWinMain: MFC程序主函数 hInstance=0x00400000 hPrevInstance=0x00000000 lpCmdLine=0x001523BD nCmdShow=0x0000000A (SW_SHOWDEFAULT) 返回地址: 0040117B 函数名称: AfxEnableControlContainer(MFC42.DLL) AfxEnableControlContainer: 使程序能够提供对OLE控件容器的支持 AfxEnableControlContainer返回值: 0x00154700 返回地址: 00401186 函数名称: Enable3dControls(MFC42.DLL) Enable3dControls: 使窗口中的控件提供3D外观 Enable3dControls返回值: 0x00000001 返回地址: 0040138F 函数名称: CDialog::CDialog()(MFC42.DLL) CDialog::CDialog(): CDialog构造函数 CDialog::CDialog()返回值: 0x0012FE88 返回地址: 004013BE 函数名称: CString::CString(szStr)(MFC42.DLL) CString::CString(szStr): 把ASCII字符串赋给CString szString="" CString::CString(szStr)返回值: 0x0012FEE8 返回地址: 00401CDE 函数名称: AfxGetModuleState(MFC42.DLL) AfxGetModuleState: 获取模块信息 AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE) 返回地址: 00401FA6 函数名称: AfxFindResourceHandle(MFC42.DLL) AfxFindResourceHandle: 查找资源 lpszName=0x00000080 lpszType=0x0000000E AfxFindResourceHandle返回值: 0x00400000 返回地址: 00401FAD 函数名称: LoadIconA(USER32.dll) LoadIconA: 从指定的模块或应用程序实例中载入一个图标 hInstance=0x00400000 lpIconName=0x0080 LoadIconA返回值: 0x00AE039B(图标句柄) 返回地址: 004011A8 函数名称: CDialog::DoModal(MFC42.DLL) CDialog::DoModal: 执行对话框返回地址: 004014E9 函数名称: CDialog::OnInitDialog(MFC42.DLL) CDialog::OnInitDialog: 对话框初始化返回地址: 0040146D 函数名称: DDX_Text@CString(MFC42.DLL) DDX_Text@CString: 把字符串变量和控件的文本相关联 pDX=0x0012F7A0 nIDC=0x000003E9 lpstrBuffer=0x0012FEE8 存入缓冲区中的数据: "" DDX_Text@CString返回值: 0x00000000 CDialog::OnInitDialog返回值: 0x00000001 返回地址: 00401E33 函数名称: CMenu::FromHandle(MFC42.DLL) CMenu::FromHandle: 与指定句柄关联的CMenu对象,如果没有创建一个临时的CMenu对象并将它与句柄连接 hMenu=0x00CD02AB CMenu::FromHandle返回值: 0x00901614 返回地址: 00401515 函数名称: CString::LoadStringA(MFC42.DLL) CString::LoadStringA: 导入文本 nIDC=0x00000065 CString::LoadStringA返回值: 0x00000001 返回地址: 00401DD5 函数名称: AppendMenuA(USER32.dll) AppendMenuA: 在指定的菜单里添加菜单项 hMenu=0x00CD02AB wFlags=0x00000800 wIDNewItem=0x00000000 lpNewItem=NULL AppendMenuA返回值: 0x00000001(NULL表示失败) 返回地址: 00401DD5 函数名称: AppendMenuA(USER32.dll) AppendMenuA: 在指定的菜单里添加菜单项 hMenu=0x00CD02AB wFlags=0x00000000 wIDNewItem=0x00000010 lpNewItem="关于 cm(&A)..." AppendMenuA返回值: 0x00000001(NULL表示失败) 返回地址: 00401556 函数名称: CString::FreeData(MFC42.DLL) CString::FreeData: 释放内存 CString=0x00386E8C CString::FreeData返回值: 0x00000000 返回地址: 00401ED4 函数名称: CWnd::Default(MFC42.DLL) CWnd::Default: 调用缺省的窗口过程,对没有处理窗口消息进行缺省处理 CWnd::Default返回值: 0x00000000 返回地址: 00401BD7 函数名称: CWnd::GetWindowTextA(MFC42.DLL) CWnd::GetWindowTextA: 获取窗口文本 CWnd=0x0012FEE8 CWnd::GetWindowTextA返回值: 0x00000008 ("ccbsxhxd") 返回地址: 00401BEE 函数名称: CString::GetBuffer(MFC42.DLL) CString::GetBuffer: 取CString中数据 CString::GetBuffer返回值: 0x00386E48 ("ccbsxhxd") 返回地址: 00401BFA 函数名称: strlen(msvcrt.dll) strlen: 获取字符串的长度 lpString="ccbsxhxd" strlen返回值: 0x00000008 返回地址: 00401884 函数名称: AfxMessageBox(MFC42.DLL) AfxMessageBox返回值: 0x00000001 返回地址: 00401899 函数名称: TerminateProcess(KERNEL32.dll) TerminateProcess: 结果进程 hProcess=0xFFFFFFFF uExitCode=0x00000000 上传的附件： mfc模板.rar （4.78kb，328次下载） 2009-6-14 20:51 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼易语言模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x0040B000 模块名称: C:\Documents and Settings\butt\桌面\002\易语言模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到12个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 5788...... 返回地址: 00403A7A 函数名称: HeapCreate(KERNEL32.dll) HeapCreate: 在堆中创建一块内存 flOptions=0x00000001 dwInitialSize=0x00001000 dwMaximumSize=0x00000000 HeapCreate返回值: 0x00E30000(堆的句柄) 返回地址: 00404A5D 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF04 GetStartupInfoA返回值: 0x0012FF04(无返回值) 返回地址: 00404BA1 函数名称: SetHandleCount(KERNEL32.dll) SetHandleCount: 设置可提供给进程的文件句柄数目 uNumber=0x00000020 SetHandleCount返回值: 0x00000020 返回地址: 004038AB 函数名称: GetCommandLineA(KERNEL32.dll) GetCommandLineA: 获得指向当前命令行缓冲区的指针,无参数 GetCommandLineA返回值: 0x00152388 (""C:\Documents and Settings\butt\桌面\002\易语言模板.exe"") 返回地址: 004048E9 函数名称: GetEnvironmentStringsW(KERNEL32.dll) GetEnvironmentStringsW: 返回指向包含了环境字串的一个内存块的地址,无参数 GetEnvironmentStringsW返回值: 0x00010000(环境字串地址) 返回地址: 004049A0 函数名称: FreeEnvironmentStringsW(KERNEL32.dll) FreeEnvironmentStringsW: 释放指定的环境字串块 lpszEnvironmentBlock=0x00010000 FreeEnvironmentStringsW返回值: 0x00000001(NULL表示失败) 返回地址: 004046A8 函数名称: GetModuleFileNameA(KERNEL32.dll) GetModuleFileNameA: 获取一个已装载模板的完整路径名称 hModule=0x00000000 lpBuffer=0x00408AA4 nBufferSize=0x00000104 存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe" GetModuleFileNameA返回值: 0x00000036(文本长度) 返回地址: 004038D6 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF64 GetStartupInfoA返回值: 0x0012FF64(无返回值) 返回地址: 004038F9 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName=NULL GetModuleHandleA返回值: 0x00400000(模块句柄) 返回地址: 00401166 函数名称: GetModuleFileNameA(KERNEL32.dll) GetModuleFileNameA: 获取一个已装载模板的完整路径名称 hModule=0x00400000 lpBuffer=0x0012FDA0 nBufferSize=0x00000104 存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe" GetModuleFileNameA返回值: 0x00000036(文本长度) 返回地址: 00401183 函数名称: CreateFileA(KERNEL32.dll) CreateFileA: 打开和创建文件、管道及控制台等 lpFileName="C:\Documents and Settings\butt\桌面\002\易语言模板.exe" dwDesiredAccess=0x80000000 dwShareMode=0x00000001 (FILE_SHARE_READ) lpSecurityAttributes=0x00000000 dwCreationDistribution=0x00000003 (OPEN_EXISTING) dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL) hTemplateFile=0x00000000 CreateFileA返回值: 0x00000050(文件句柄) 返回地址: 004011A4 函数名称: SetFilePointer(KERNEL32.dll) SetFilePointer: 在一个文件中设置当前的读写位置 hFile=0x00000050 lDistanceToMove=0xFFFFFFF8 lpDistanceToMoveHigh=0x00000000 dwMoveMethod=0x00000002 (FILE_END) SetFilePointer返回值: 0x00085FF8(从文件起始处开始算起的一个字节偏移量) 返回地址: 00401220 函数名称: SetFilePointer(KERNEL32.dll) SetFilePointer: 在一个文件中设置当前的读写位置 hFile=0x00000050 lDistanceToMove=0xFFF85000 lpDistanceToMoveHigh=0x00000000 dwMoveMethod=0x00000002 (FILE_END) SetFilePointer返回值: 0x0000B000(从文件起始处开始算起的一个字节偏移量) 返回地址: 00401271 函数名称: GetTempPathA(KERNEL32.dll) GetTempPathA: 获取为临时文件指定的路径 nBufferSize=0x00000104 lpBuffer=0x0012FDA0 存入缓冲区中的数据: "C:\DOCUME~1\butt\LOCALS~1\Temp\" GetTempPathA返回值: 0x0000001F 返回地址: 00401299 函数名称: wsprintfA(USER32.dll) wsprintfA: 把arglist列表的数据按lpFormat的格式保存到lpBuffer中 lpBuffer=0x0012FEA4 lpFormat="E_%X" arglist=0x00000004 存入缓冲区中的数据: "E_4" wsprintfA返回值: 0x00000003(文本长度) 返回地址: 004012BD 函数名称: CreateDirectoryA(KERNEL32.dll) CreateDirectoryA: 创建一个新目录 lpPathName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4" pSecurityAttributes=0x00000000 CreateDirectoryA返回值: 0x00000000 返回地址: 004013F2 函数名称: CreateFileA(KERNEL32.dll) CreateFileA: 打开和创建文件、管道及控制台等 lpFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr" dwDesiredAccess=0x40000000 dwShareMode=0x00000000 lpSecurityAttributes=0x00000000 dwCreationDistribution=0x00000002 (CREATE_ALWAYS) dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL) hTemplateFile=0x00000000 CreateFileA返回值: 0x00000054(文件句柄) 返回地址: 00401408 函数名称: WriteFile(KERNEL32.dll) WriteFile: 将数据写入一个文件 hFile=0x00000054 lpBuffer=0x0104002E nNumberOfBytesToWrite=0x0010C000 lpNumberOfBytesWritten=0x0012FF0C lpOverlapped=0x00000000 存入缓冲区中的数据: "MZ? WriteFile返回值: 0x00000001(BOOL类型) 返回地址: 00401411 函数名称: CloseHandle(KERNEL32.dll) CloseHandle: 关闭句柄 hObject=0x00000054 CloseHandle返回值: 0x00000001(NULL表示失败) 返回地址: 00401460 函数名称: LoadLibraryA(KERNEL32.dll) LoadLibraryA: 载入指定的动态链接库,并将它映射到当前进程使用的地址空间 lpLibFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr" LoadLibraryA返回值: 0x01150000(链接库句柄) API添加成功,hook API成功: Ecode_Function_3 API添加成功,hook API成功: Ecode_GetProperty API添加成功,hook API成功: Ecode_SetProperty API添加成功,hook API失败: Ecode_Function_2 错误号: 9 返回地址: 0040966A 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010002 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164DB0 ("ccbsxhxd") 返回地址: 00409693 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 判断变量是否为数值 dwEcodeType=0x00000001 EcodeVariable=0x00164DB0 ("ccbsxhxd") dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000004 (文本型) Ecode_Function_3返回值: 0x00000000 (FALSE) 返回地址: 004096D2 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为字节类型 dwEcodeType=0x00000001 EcodeVariable=0x00000000 (数值) dwEcodeVarType_2=0x40180000 dwEcodeVarType=0x80000601 (数值型) Ecode_Function_3返回值: 0x00000006 返回地址: 004096F1 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为文本 dwEcodeType=0x00000001 EcodeVariable=0x00000006 (NULL) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000101 (字节型) Ecode_Function_3返回值: 0x00164CF8 ("6") 返回地址: 0040970A 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010003 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164DB0 ("79797979") 返回地址: 004097A5 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为文本 dwEcodeType=0x00000001 EcodeVariable=0x00000006 (NULL) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000101 (字节型) Ecode_Function_3返回值: 0x00162AF0 ("6") 返回地址: 004097BE 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010003 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164CF8 ("79797979") 返回地址: 00409838 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 创建对话框 dwEcodeType=0x00000003 EcodeVariable=0x004090DF ("再试一次！") dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000004 (文本型) EcodeVariable=0x00000000 (整数) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000301 (整数型) EcodeVariable=0x00000000 dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x00000000 Ecode_Function_3返回值: 0x00000000 卸载ApiSnoop dll. 上传的附件：易语言模板.rar （510.12kb，313次下载） 2009-6-14 20:58 0
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 5 楼很好很强大，我来做个沙发。感谢红尘大侠持续开发。 2009-6-14 21:00 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 6 楼楼上骗人，我们做的都是地板，红尘大侠的杀气已经占满前四楼了！ 2009-6-14 21:59 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 7 楼这么好的东东，强烈要求加精哈！红尘岁月20090613修改版：添加汇编、C、VB、易语言、MFC、delphi函数功能与参数注释这么好的东东，强烈要求加精哈！ 2009-6-14 22:04 0
ouyangxx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ouyangxx 8 楼开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00420000 模块名称: C:\Documents and Settings\Avvr\桌面\ck.exe 查询到模块开始于: 0x5D170000 终止于: 0x5D20A000 模块名称: COMCTL32.dll 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x72F70000 终止于: 0x72F96000 模块名称: WINSPOOL.DRV 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x75C60000 终止于: 0x75D00000 模块名称: urlmon.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x77BD0000 终止于: 0x77BD8000 模块名称: VERSION.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77F40000 终止于: 0x77FB6000 模块名称: SHLWAPI.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 查询到模块开始于: 0x7D590000 终止于: 0x7DD84000 模块名称: SHELL32.dll 共查找到19个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 老是在这里就停了,貌似有点问题。我SP3系统的？不过还是强烈支持。 2009-6-14 22:05 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 9 楼问题已解决。 2009-6-14 22:11 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼收下，这东东有时可以节省些时间，谢 2009-6-14 22:18 0
ouyangxx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ouyangxx 11 楼没有找到你说的 2009-6-14 22:22 0
nokiafans 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	nokiafans 12 楼很好很强大，第一帖就献给您了 2009-6-14 23:25 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 13 楼还是会在附加程序后，自动退出！期待能够解决这个问题！ 2009-6-14 23:46 0
无知aiwuzhi 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	无知aiwuzhi 14 楼我的打了那个kb956572补丁后还是不行！我是xp sp3系统！ 2009-6-15 01:11 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 15 楼感谢LZ分享 2009-6-15 06:34 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 16 楼问题已解决，与此补丁无关系。 2009-6-15 06:48 0
无知aiwuzhi 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	无知aiwuzhi 17 楼我没打之前就不行，我以为打了才行，结果一样！听他们说支持2000的和xp sp2系统刚好我有一台2000的虚拟机试了一下可以。说实话我估计是兼容性的问题。好好调试调试，我感觉这软件有发展潜力！支持一下，以后的多来你这学习了！ 2009-6-15 07:27 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼 "选项"中选中"创建进程时调试进程"与"显示调试信息"，看一下是因为那个地址调用非法退出了。再在"选项"中"不报告来自这些区间的API"，选中，下面加入非法访问的地址，区间可以大一些，再试。成功或者失败麻烦反馈一下。 2009-6-15 09:04 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 19 楼我的也是SP3的，在纯净的虚拟机下测试也是如此，应该不关选项的事。错误同上面的几位描述！ 2009-6-15 09:22 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 20 楼在虚拟机上跑sp3也把kb956572补丁给卸了也是出现开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x0040B000 模块名称: C:\Documents and Settings\Administrator\桌面\易语言模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 共查找到11个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 2009-6-15 10:40 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 21 楼问题已解决。 2009-6-15 11:29 0
我脱雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 132 粉丝 0 关注私信	我脱 22 楼什么时候vista系统也行呀。 2009-6-15 11:42 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 23 楼刚刚发现在本机有装补丁结果也是一样＝＝把DetourTransactionCommit放进『不报告这些api』结果也是一样 2009-6-15 14:55 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 24 楼 DetourTransactionCommit是SoftSnoop程序里面调用的Detour库函数。放进『不报告这些api』当然不会有什么效果。（已经可以了） 2009-6-15 15:28 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 25 楼 SP3不行，没打那个kb补丁。 2009-6-15 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红尘岁月

发帖

476

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (142) 1 2 3 4 5 6 ▶
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 2 楼 vb模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00412000 模块名称: C:\Documents and Settings\butt\桌面\002\vb模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E4000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到15个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 7160...... 返回地址: 0040D042 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName="kernel32.dll" GetModuleHandleA返回值: 0x7C800000(模块句柄) 返回地址: 0040D29B 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName="MSVBVM60.DLL" GetModuleHandleA返回值: 0x73390000(模块句柄) 返回地址: 004011D2 函数名称: ThunRTMain(MSVBVM60.DLL) ThunRTMain: 初始化进程并获取进程ID lpstring="VB5!#vb6chs.dll" 返回地址: 00408672 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000006 返回地址: 004086CB 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012FB20 变量2=0x0012FBF0 __vbaVarDup返回值: 0x0012FAD0 (vb字符串:"欢迎使用") 返回地址: 004086DD 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012FB20 变量2=0x0012FBF0 __vbaVarDup返回值: 0x0012FAE0 (vb字符串:"注册成功之后，你会在窗体右边看到隐藏的文字。") 返回地址: 004086F4 函数名称: rtcMsgBox(MSVBVM60.DLL) rtcMsgBox: 显示对话框对话框内容=0x0012FAE0 (vb字符串:"注册成功之后，你会在窗体右边看到隐藏的文字。") 参数2=0x00000000 标题=0x0012FAD0 (vb字符串:"欢迎使用") 参数4=0x0012FAC0 参数5=0x0012FAB0 rtcMsgBox返回值: 0x00000001(1表示OK) 返回地址: 00408767 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000005 返回地址: 00408313 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000004 返回地址: 0040838D 函数名称: rtcR8ValFromBstr(MSVBVM60.DLL) rtcR8ValFromBstr: 字符串转为数值字符串="797979" rtcR8ValFromBstr返回值: 0x00000020(结果) 返回地址: 0040840E 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F4B4 变量1=0x0012F474 (vb长整型:3864242) 变量2=0x0012F4D0 (vb双精度:797979.000000) __vbaVarAdd返回值: 0x0012F4B4 (vb双精度:4662221.000000) 返回地址: 0040841C 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F4A4 变量1=0x0012F464 (vb整型:1970) 变量2=0x0012F4B4 (vb双精度:4662221.000000) __vbaVarAdd返回值: 0x0012F4A4 (vb双精度:4664191.000000) 返回地址: 0040842A 函数名称: __vbaVarAdd(MSVBVM60.DLL) __vbaVarAdd: 加法运算保存结果=0x0012F494 变量1=0x0012F454 (vb长整型:330043) 变量2=0x0012F4A4 (vb双精度:4664191.000000) __vbaVarAdd返回值: 0x0012F494 (vb双精度:4994234.000000) 返回地址: 00408431 函数名称: __vbaI4Var(MSVBVM60.DLL) __vbaI4Var: 把VB变量变成I4数值 Var=0x0012F494 (vb双精度:4994234.000000) __vbaI4Var返回值: 0x004C34BA(数值) 返回地址: 004084DC 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012F514 变量2=0x0012F5E4 __vbaVarDup返回值: 0x0012F4A4 (vb字符串:"注册码不正确") 返回地址: 004084FB 函数名称: __vbaVarDup(MSVBVM60.DLL) __vbaVarDup: 变量复制,从变量1复制到变量2 变量1=0x0012F514 变量2=0x0012F5E4 __vbaVarDup返回值: 0x0012F4B4 (vb字符串:"注册码不正确，请重新输入。") 返回地址: 00408515 函数名称: rtcMsgBox(MSVBVM60.DLL) rtcMsgBox: 显示对话框对话框内容=0x0012F4B4 (vb字符串:"注册码不正确，请重新输入。") 参数2=0x00000000 标题=0x0012F4A4 (vb字符串:"注册码不正确") 参数4=0x0012F494 参数5=0x0012F484 rtcMsgBox返回值: 0x00000001(1表示OK) 返回地址: 004085A4 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000003 返回地址: 004085FF 函数名称: Zombie_AddRef(MSVBVM60.DLL) Zombie_AddRef返回值: 0x00000004 返回地址: 00408605 函数名称: __vbaEnd(MSVBVM60.DLL) __vbaEnd: 结束进程返回地址: 00408615 函数名称: Zombie_Release(MSVBVM60.DLL) Zombie_Release返回值: 0x00000003 卸载ApiSnoop dll. 上传的附件： vb模板.rar （20.20kb，357次下载） 2009-6-14 20:50 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 3 楼 mfc模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00406000 模块名称: C:\Documents and Settings\butt\桌面\002\mfc模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73D30000 终止于: 0x73E2E000 模块名称: MFC42.DLL 正在处理HookAddr_MFC42.txt相关函数，请稍后....... 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到13个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 11336...... 返回地址: 004023DB 函数名称: AfxGetModuleState(MFC42.DLL) AfxGetModuleState: 获取模块信息 AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE) 返回地址: 00401056 函数名称: CWinApp::CWinApp()(MFC42.DLL) CWinApp::CWinApp()返回值: 0x00404028 返回地址: 00402336 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF64 GetStartupInfoA返回值: 0x0012FF64(无返回值) 返回地址: 0040235A 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName=NULL GetModuleHandleA返回值: 0x00400000(模块句柄) 返回地址: 004023D3 函数名称: AfxWinMain(MFC42.DLL) AfxWinMain: MFC程序主函数 hInstance=0x00400000 hPrevInstance=0x00000000 lpCmdLine=0x001523BD nCmdShow=0x0000000A (SW_SHOWDEFAULT) 返回地址: 0040117B 函数名称: AfxEnableControlContainer(MFC42.DLL) AfxEnableControlContainer: 使程序能够提供对OLE控件容器的支持 AfxEnableControlContainer返回值: 0x00154700 返回地址: 00401186 函数名称: Enable3dControls(MFC42.DLL) Enable3dControls: 使窗口中的控件提供3D外观 Enable3dControls返回值: 0x00000001 返回地址: 0040138F 函数名称: CDialog::CDialog()(MFC42.DLL) CDialog::CDialog(): CDialog构造函数 CDialog::CDialog()返回值: 0x0012FE88 返回地址: 004013BE 函数名称: CString::CString(szStr)(MFC42.DLL) CString::CString(szStr): 把ASCII字符串赋给CString szString="" CString::CString(szStr)返回值: 0x0012FEE8 返回地址: 00401CDE 函数名称: AfxGetModuleState(MFC42.DLL) AfxGetModuleState: 获取模块信息 AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE) 返回地址: 00401FA6 函数名称: AfxFindResourceHandle(MFC42.DLL) AfxFindResourceHandle: 查找资源 lpszName=0x00000080 lpszType=0x0000000E AfxFindResourceHandle返回值: 0x00400000 返回地址: 00401FAD 函数名称: LoadIconA(USER32.dll) LoadIconA: 从指定的模块或应用程序实例中载入一个图标 hInstance=0x00400000 lpIconName=0x0080 LoadIconA返回值: 0x00AE039B(图标句柄) 返回地址: 004011A8 函数名称: CDialog::DoModal(MFC42.DLL) CDialog::DoModal: 执行对话框返回地址: 004014E9 函数名称: CDialog::OnInitDialog(MFC42.DLL) CDialog::OnInitDialog: 对话框初始化返回地址: 0040146D 函数名称: DDX_Text@CString(MFC42.DLL) DDX_Text@CString: 把字符串变量和控件的文本相关联 pDX=0x0012F7A0 nIDC=0x000003E9 lpstrBuffer=0x0012FEE8 存入缓冲区中的数据: "" DDX_Text@CString返回值: 0x00000000 CDialog::OnInitDialog返回值: 0x00000001 返回地址: 00401E33 函数名称: CMenu::FromHandle(MFC42.DLL) CMenu::FromHandle: 与指定句柄关联的CMenu对象,如果没有创建一个临时的CMenu对象并将它与句柄连接 hMenu=0x00CD02AB CMenu::FromHandle返回值: 0x00901614 返回地址: 00401515 函数名称: CString::LoadStringA(MFC42.DLL) CString::LoadStringA: 导入文本 nIDC=0x00000065 CString::LoadStringA返回值: 0x00000001 返回地址: 00401DD5 函数名称: AppendMenuA(USER32.dll) AppendMenuA: 在指定的菜单里添加菜单项 hMenu=0x00CD02AB wFlags=0x00000800 wIDNewItem=0x00000000 lpNewItem=NULL AppendMenuA返回值: 0x00000001(NULL表示失败) 返回地址: 00401DD5 函数名称: AppendMenuA(USER32.dll) AppendMenuA: 在指定的菜单里添加菜单项 hMenu=0x00CD02AB wFlags=0x00000000 wIDNewItem=0x00000010 lpNewItem="关于 cm(&A)..." AppendMenuA返回值: 0x00000001(NULL表示失败) 返回地址: 00401556 函数名称: CString::FreeData(MFC42.DLL) CString::FreeData: 释放内存 CString=0x00386E8C CString::FreeData返回值: 0x00000000 返回地址: 00401ED4 函数名称: CWnd::Default(MFC42.DLL) CWnd::Default: 调用缺省的窗口过程,对没有处理窗口消息进行缺省处理 CWnd::Default返回值: 0x00000000 返回地址: 00401BD7 函数名称: CWnd::GetWindowTextA(MFC42.DLL) CWnd::GetWindowTextA: 获取窗口文本 CWnd=0x0012FEE8 CWnd::GetWindowTextA返回值: 0x00000008 ("ccbsxhxd") 返回地址: 00401BEE 函数名称: CString::GetBuffer(MFC42.DLL) CString::GetBuffer: 取CString中数据 CString::GetBuffer返回值: 0x00386E48 ("ccbsxhxd") 返回地址: 00401BFA 函数名称: strlen(msvcrt.dll) strlen: 获取字符串的长度 lpString="ccbsxhxd" strlen返回值: 0x00000008 返回地址: 00401884 函数名称: AfxMessageBox(MFC42.DLL) AfxMessageBox返回值: 0x00000001 返回地址: 00401899 函数名称: TerminateProcess(KERNEL32.dll) TerminateProcess: 结果进程 hProcess=0xFFFFFFFF uExitCode=0x00000000 上传的附件： mfc模板.rar （4.78kb，328次下载） 2009-6-14 20:51 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼易语言模板跟踪结果：开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x0040B000 模块名称: C:\Documents and Settings\butt\桌面\002\易语言模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F38000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91D000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll 共查找到12个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 成功获取函数: 5788...... 返回地址: 00403A7A 函数名称: HeapCreate(KERNEL32.dll) HeapCreate: 在堆中创建一块内存 flOptions=0x00000001 dwInitialSize=0x00001000 dwMaximumSize=0x00000000 HeapCreate返回值: 0x00E30000(堆的句柄) 返回地址: 00404A5D 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF04 GetStartupInfoA返回值: 0x0012FF04(无返回值) 返回地址: 00404BA1 函数名称: SetHandleCount(KERNEL32.dll) SetHandleCount: 设置可提供给进程的文件句柄数目 uNumber=0x00000020 SetHandleCount返回值: 0x00000020 返回地址: 004038AB 函数名称: GetCommandLineA(KERNEL32.dll) GetCommandLineA: 获得指向当前命令行缓冲区的指针,无参数 GetCommandLineA返回值: 0x00152388 (""C:\Documents and Settings\butt\桌面\002\易语言模板.exe"") 返回地址: 004048E9 函数名称: GetEnvironmentStringsW(KERNEL32.dll) GetEnvironmentStringsW: 返回指向包含了环境字串的一个内存块的地址,无参数 GetEnvironmentStringsW返回值: 0x00010000(环境字串地址) 返回地址: 004049A0 函数名称: FreeEnvironmentStringsW(KERNEL32.dll) FreeEnvironmentStringsW: 释放指定的环境字串块 lpszEnvironmentBlock=0x00010000 FreeEnvironmentStringsW返回值: 0x00000001(NULL表示失败) 返回地址: 004046A8 函数名称: GetModuleFileNameA(KERNEL32.dll) GetModuleFileNameA: 获取一个已装载模板的完整路径名称 hModule=0x00000000 lpBuffer=0x00408AA4 nBufferSize=0x00000104 存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe" GetModuleFileNameA返回值: 0x00000036(文本长度) 返回地址: 004038D6 函数名称: GetStartupInfoA(KERNEL32.dll) GetStartupInfoA: 检查启动信息,可检查是否被调试 lpStartupInfo=0x0012FF64 GetStartupInfoA返回值: 0x0012FF64(无返回值) 返回地址: 004038F9 函数名称: GetModuleHandleA(KERNEL32.dll) GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄 lpModuleName=NULL GetModuleHandleA返回值: 0x00400000(模块句柄) 返回地址: 00401166 函数名称: GetModuleFileNameA(KERNEL32.dll) GetModuleFileNameA: 获取一个已装载模板的完整路径名称 hModule=0x00400000 lpBuffer=0x0012FDA0 nBufferSize=0x00000104 存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe" GetModuleFileNameA返回值: 0x00000036(文本长度) 返回地址: 00401183 函数名称: CreateFileA(KERNEL32.dll) CreateFileA: 打开和创建文件、管道及控制台等 lpFileName="C:\Documents and Settings\butt\桌面\002\易语言模板.exe" dwDesiredAccess=0x80000000 dwShareMode=0x00000001 (FILE_SHARE_READ) lpSecurityAttributes=0x00000000 dwCreationDistribution=0x00000003 (OPEN_EXISTING) dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL) hTemplateFile=0x00000000 CreateFileA返回值: 0x00000050(文件句柄) 返回地址: 004011A4 函数名称: SetFilePointer(KERNEL32.dll) SetFilePointer: 在一个文件中设置当前的读写位置 hFile=0x00000050 lDistanceToMove=0xFFFFFFF8 lpDistanceToMoveHigh=0x00000000 dwMoveMethod=0x00000002 (FILE_END) SetFilePointer返回值: 0x00085FF8(从文件起始处开始算起的一个字节偏移量) 返回地址: 00401220 函数名称: SetFilePointer(KERNEL32.dll) SetFilePointer: 在一个文件中设置当前的读写位置 hFile=0x00000050 lDistanceToMove=0xFFF85000 lpDistanceToMoveHigh=0x00000000 dwMoveMethod=0x00000002 (FILE_END) SetFilePointer返回值: 0x0000B000(从文件起始处开始算起的一个字节偏移量) 返回地址: 00401271 函数名称: GetTempPathA(KERNEL32.dll) GetTempPathA: 获取为临时文件指定的路径 nBufferSize=0x00000104 lpBuffer=0x0012FDA0 存入缓冲区中的数据: "C:\DOCUME~1\butt\LOCALS~1\Temp\" GetTempPathA返回值: 0x0000001F 返回地址: 00401299 函数名称: wsprintfA(USER32.dll) wsprintfA: 把arglist列表的数据按lpFormat的格式保存到lpBuffer中 lpBuffer=0x0012FEA4 lpFormat="E_%X" arglist=0x00000004 存入缓冲区中的数据: "E_4" wsprintfA返回值: 0x00000003(文本长度) 返回地址: 004012BD 函数名称: CreateDirectoryA(KERNEL32.dll) CreateDirectoryA: 创建一个新目录 lpPathName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4" pSecurityAttributes=0x00000000 CreateDirectoryA返回值: 0x00000000 返回地址: 004013F2 函数名称: CreateFileA(KERNEL32.dll) CreateFileA: 打开和创建文件、管道及控制台等 lpFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr" dwDesiredAccess=0x40000000 dwShareMode=0x00000000 lpSecurityAttributes=0x00000000 dwCreationDistribution=0x00000002 (CREATE_ALWAYS) dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL) hTemplateFile=0x00000000 CreateFileA返回值: 0x00000054(文件句柄) 返回地址: 00401408 函数名称: WriteFile(KERNEL32.dll) WriteFile: 将数据写入一个文件 hFile=0x00000054 lpBuffer=0x0104002E nNumberOfBytesToWrite=0x0010C000 lpNumberOfBytesWritten=0x0012FF0C lpOverlapped=0x00000000 存入缓冲区中的数据: "MZ? WriteFile返回值: 0x00000001(BOOL类型) 返回地址: 00401411 函数名称: CloseHandle(KERNEL32.dll) CloseHandle: 关闭句柄 hObject=0x00000054 CloseHandle返回值: 0x00000001(NULL表示失败) 返回地址: 00401460 函数名称: LoadLibraryA(KERNEL32.dll) LoadLibraryA: 载入指定的动态链接库,并将它映射到当前进程使用的地址空间 lpLibFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr" LoadLibraryA返回值: 0x01150000(链接库句柄) API添加成功,hook API成功: Ecode_Function_3 API添加成功,hook API成功: Ecode_GetProperty API添加成功,hook API成功: Ecode_SetProperty API添加成功,hook API失败: Ecode_Function_2 错误号: 9 返回地址: 0040966A 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010002 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164DB0 ("ccbsxhxd") 返回地址: 00409693 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 判断变量是否为数值 dwEcodeType=0x00000001 EcodeVariable=0x00164DB0 ("ccbsxhxd") dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000004 (文本型) Ecode_Function_3返回值: 0x00000000 (FALSE) 返回地址: 004096D2 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为字节类型 dwEcodeType=0x00000001 EcodeVariable=0x00000000 (数值) dwEcodeVarType_2=0x40180000 dwEcodeVarType=0x80000601 (数值型) Ecode_Function_3返回值: 0x00000006 返回地址: 004096F1 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为文本 dwEcodeType=0x00000001 EcodeVariable=0x00000006 (NULL) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000101 (字节型) Ecode_Function_3返回值: 0x00164CF8 ("6") 返回地址: 0040970A 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010003 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164DB0 ("79797979") 返回地址: 004097A5 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 变量转为文本 dwEcodeType=0x00000001 EcodeVariable=0x00000006 (NULL) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000101 (字节型) Ecode_Function_3返回值: 0x00162AF0 ("6") 返回地址: 004097BE 函数名称: Ecode_GetProperty(krnl.fnr) Ecode_GetProperty: 获取窗口控件属性 hWindow=0x52010001 hControl=0x16010003 dwEcodeType=0x00000008 (标题) Arg4=0xFFFFFFFF Ecode_GetProperty返回值: 0x00164CF8 ("79797979") 返回地址: 00409838 函数名称: Ecode_Function_3(krnl.fnr) Ecode_Function_3: 创建对话框 dwEcodeType=0x00000003 EcodeVariable=0x004090DF ("再试一次！") dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000004 (文本型) EcodeVariable=0x00000000 (整数) dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x80000301 (整数型) EcodeVariable=0x00000000 dwEcodeVarType_2=0x00000000 dwEcodeVarType=0x00000000 Ecode_Function_3返回值: 0x00000000 卸载ApiSnoop dll. 上传的附件：易语言模板.rar （510.12kb，313次下载） 2009-6-14 20:58 0
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 5 楼很好很强大，我来做个沙发。感谢红尘大侠持续开发。 2009-6-14 21:00 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 6 楼楼上骗人，我们做的都是地板，红尘大侠的杀气已经占满前四楼了！ 2009-6-14 21:59 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 7 楼这么好的东东，强烈要求加精哈！红尘岁月20090613修改版：添加汇编、C、VB、易语言、MFC、delphi函数功能与参数注释这么好的东东，强烈要求加精哈！ 2009-6-14 22:04 0
ouyangxx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ouyangxx 8 楼开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00420000 模块名称: C:\Documents and Settings\Avvr\桌面\ck.exe 查询到模块开始于: 0x5D170000 终止于: 0x5D20A000 模块名称: COMCTL32.dll 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x72F70000 终止于: 0x72F96000 模块名称: WINSPOOL.DRV 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x75C60000 终止于: 0x75D00000 模块名称: urlmon.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x77BD0000 终止于: 0x77BD8000 模块名称: VERSION.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77F40000 终止于: 0x77FB6000 模块名称: SHLWAPI.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 查询到模块开始于: 0x7D590000 终止于: 0x7DD84000 模块名称: SHELL32.dll 共查找到19个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 老是在这里就停了,貌似有点问题。我SP3系统的？不过还是强烈支持。 2009-6-14 22:05 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 9 楼问题已解决。 2009-6-14 22:11 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼收下，这东东有时可以节省些时间，谢 2009-6-14 22:18 0
ouyangxx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ouyangxx 11 楼没有找到你说的 2009-6-14 22:22 0
nokiafans 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	nokiafans 12 楼很好很强大，第一帖就献给您了 2009-6-14 23:25 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 13 楼还是会在附加程序后，自动退出！期待能够解决这个问题！ 2009-6-14 23:46 0
无知aiwuzhi 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	无知aiwuzhi 14 楼我的打了那个kb956572补丁后还是不行！我是xp sp3系统！ 2009-6-15 01:11 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 15 楼感谢LZ分享 2009-6-15 06:34 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 16 楼问题已解决，与此补丁无关系。 2009-6-15 06:48 0
无知aiwuzhi 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	无知aiwuzhi 17 楼我没打之前就不行，我以为打了才行，结果一样！听他们说支持2000的和xp sp2系统刚好我有一台2000的虚拟机试了一下可以。说实话我估计是兼容性的问题。好好调试调试，我感觉这软件有发展潜力！支持一下，以后的多来你这学习了！ 2009-6-15 07:27 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼 "选项"中选中"创建进程时调试进程"与"显示调试信息"，看一下是因为那个地址调用非法退出了。再在"选项"中"不报告来自这些区间的API"，选中，下面加入非法访问的地址，区间可以大一些，再试。成功或者失败麻烦反馈一下。 2009-6-15 09:04 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 19 楼我的也是SP3的，在纯净的虚拟机下测试也是如此，应该不关选项的事。错误同上面的几位描述！ 2009-6-15 09:22 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 20 楼在虚拟机上跑sp3也把kb956572补丁给卸了也是出现开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x0040B000 模块名称: C:\Documents and Settings\Administrator\桌面\易语言模板.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 共查找到11个模块..... DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 2009-6-15 10:40 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 21 楼问题已解决。 2009-6-15 11:29 0
我脱雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 132 粉丝 0 关注私信	我脱 22 楼什么时候vista系统也行呀。 2009-6-15 11:42 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 23 楼刚刚发现在本机有装补丁结果也是一样＝＝把DetourTransactionCommit放进『不报告这些api』结果也是一样 2009-6-15 14:55 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 24 楼 DetourTransactionCommit是SoftSnoop程序里面调用的Detour库函数。放进『不报告这些api』当然不会有什么效果。（已经可以了） 2009-6-15 15:28 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 25 楼 SP3不行，没打那个kb补丁。 2009-6-15 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复