我为车狂

看似是VB写的，可我直接解却解不出什么东西来

00401080 > . 5A603973   DD msvbvm60.__vbaChkstk         ; ASCII "QWP="
00408674  48864000   DD 1.00408648              ; ASCII "user32"
00408678  54864000   DD 1.00408654              ; ASCII "FindWindowA"
004086BC  48864000   DD 1.00408648              ; ASCII "user32"
004086C0  AC864000   DD 1.004086AC              ; ASCII "PostMessageA"
00408914  30884000   DD 1.00408830              ; ASCII "advapi32.dll"
00408918  04894000   DD 1.00408904              ; ASCII "RegSetValueExA"
00408E58  48864000   DD 1.00408648              ; ASCII "user32"
00408E5C  488E4000   DD 1.00408E48              ; ASCII "CallWindowProcA"
00408EA0  F4864000   DD 1.004086F4              ; ASCII "kernel32"
00408EA4  908E4000   DD 1.00408E90              ; ASCII "RtlMoveMemory"
00409A76 . BA 148B4000  MOV EDX,1.00408B14           ; UNICODE "YB_OnlineClient"
00409BA6 . BA 548D4000  MOV EDX,1.00408D54           ; UNICODE "QQGame"
00409BCC . BA 788D4000  MOV EDX,1.00408D78           ; UNICODE "NS-SHAFT"
00409D9A . C745 A4 E48D40>MOV DWORD PTR SS:[EBP-5C],1.00408DE4  ; UNICODE "msvci.exe"
0040A101 . C785 DCFEFFFF >MOV DWORD PTR SS:[EBP-124],1.00408DFC  ; UNICODE "\explorer.exe"
0040A958 . C785 ECFEFFFF >MOV DWORD PTR SS:[EBP-114],1.00408F00  ; UNICODE "Recycled.exe"
0040AAFA . 68 408F4000  PUSH 1.00408F40             ; UNICODE "D:\"
0040AC68 . 68 708F4000  PUSH 1.00408F70             ; UNICODE "sval"
0040AC6D . 68 648F4000  PUSH 1.00408F64             ; UNICODE "st"
0040AC72 . 68 4C8F4000  PUSH 1.00408F4C             ; UNICODE "sgstudent"
0040AF82 . BF 908F4000  MOV EDI,1.00408F90           ; UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"
0040B011 . BA F08F4000  MOV EDX,1.00408FF0           ; UNICODE "userinit.exe,Recycled.exe"
0040B016 . 8D4D DC    LEA ECX,DWORD PTR SS:[EBP-24]
0040B019 . E8 3067FFFF  CALL <JMP.&msvbvm60.__vbaStrCopy>
0040B01E . BA 98904000  MOV EDX,1.00409098           ; UNICODE "Userinit"
0040B023 . 8D4D CC    LEA ECX,DWORD PTR SS:[EBP-34]
0040B026 . E8 2367FFFF  CALL <JMP.&msvbvm60.__vbaStrCopy>
0040B02B . BA 28904000  MOV EDX,1.00409028           ; UNICODE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
0040B395 . 68 C0904000  PUSH 1.004090C0             ; UNICODE "Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL"
0040B3DA . 68 68914000  PUSH 1.00409168             ; UNICODE "CheckedValue"
0040B66B . BF 98914000  MOV EDI,1.00409198           ; UNICODE "AutoRun.inf"

0040C674 |. 68 44944000  PUSH 1.00409444             ; UNICODE "[autorun]"
0040C679 |. 57      PUSH EDI
0040C67A |. BE 5C944000  MOV ESI,1.0040945C
0040C67F |. 56      PUSH ESI
0040C680 |. E8 2351FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C685 |. 68 64944000  PUSH 1.00409464             ; UNICODE "OPEN=Recycled.exe"
0040C68A |. 57      PUSH EDI
0040C68B |. 56      PUSH ESI
0040C68C |. E8 1751FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C691 |. 68 8C944000  PUSH 1.0040948C             ; UNICODE "shell\open="
0040C696 |. 57      PUSH EDI
0040C697 |. 56      PUSH ESI
0040C698 |. E8 0B51FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C69D |. 68 B4944000  PUSH 1.004094B4             ; UNICODE "shell\open\Command=Recycled.exe"
0040C6A2 |. 57      PUSH EDI
0040C6A3 |. 56      PUSH ESI
0040C6A4 |. E8 FF50FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6A9 |. 68 F8944000  PUSH 1.004094F8             ; UNICODE "shell\open\Default=1"
0040C6AE |. 57      PUSH EDI
0040C6AF |. 56      PUSH ESI
0040C6B0 |. E8 F350FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6B5 |. 68 28954000  PUSH 1.00409528             ; UNICODE "shell\explore="
0040C6BA |. 57      PUSH EDI
0040C6BB |. 56      PUSH ESI
0040C6BC |. E8 E750FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6C1 |. 83C4 48    ADD ESP,48
0040C6C4 |. 68 5C954000  PUSH 1.0040955C             ; UNICODE "shell\explore\Command=Recycled.exe"
帖子53 精华4 积分3207 阅读权限100 性别男 来自crsky 在线时间99 小时 注册时间2006-2-26 最后登录2008-6-26 查看详细资料TOP

peter_yu
荣誉会员