菜鸟也玩伪装(VB) 呵呵大家有福气了~~~~~

hyj3050

先看看,是VB写的



先载入程序

00401128 > 68 A4124000 PUSH 工程1.004012A4 ====>入口
0040112D E8 F0FFFFFF CALL <JMP.&MSVBVM60.#100>

直接找块空地方,把滚动条往下拉,看到代码都是00的就是空地了

我就选00401B9C这里吧,紧贴着上面的代码呢!

双击修改指令,写入下面的代码(抄的)

push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 401128 ====>跳到入口,自行修改

记住最后一句是跳到真正的入口,这个程序是401128

再用LordPE来修改入口点,改成1B9C后保存



再查显示VC,呵呵




还有两种入口代码

*****VC++ 6.0

PUSH EBP
MOV EBP,ESP
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 入口点


*****Delphi

PUSH EBP
MOV EBP,ESP
ADD ESP,-0C
ADD ESP,0C
PUSH EAX
JMP 入口点


只是我的peid查不出来,不知是不是我的peid的问题

其实这没什么大用处,哄哄人罢了

本文中的程序是VB写的,用vbde载入伪装前的程序可以

载入伪装后的就失败了,提示不是vb6程序,呵呵,看来也并非完全没用

图片为什么穿不上去呢？
BTW:禁止留网址