网站 › 『 新手求助 』 › 一个软件的奇怪现象

千江月 发表于 2009-3-18 23:05:08

一个软件的奇怪现象

有一个软件，注册代码入口到错误信息之间没有任何跳转，那位老大说说。
0041A130   > \55            PUSH EBP                                 ;注册代码位
0041A131   .8BEC          MOV EBP,ESP
0041A133   .83EC 0C       SUB ESP,0C
0041A136   .68 C6114000   PUSH <JMP.&MSVBVM60.__vbaExceptHandler>;SE 处理程序安装
0041A13B   .64:A1 0000000>MOV EAX,DWORD PTR FS:
0041A141   .50            PUSH EAX
0041A142   .64:8925 00000>MOV DWORD PTR FS:,ESP
0041A149   .81EC 88000000 SUB ESP,88
0041A14F   .53            PUSH EBX
0041A150   .56            PUSH ESI
0041A151   .57            PUSH EDI
0041A152   .8965 F4       MOV DWORD PTR SS:,ESP
0041A155   .C745 F8 88114>MOV DWORD PTR SS:,QQ业务狂.00401188
0041A15C   .8B45 08       MOV EAX,DWORD PTR SS:
0041A15F   .8BC8          MOV ECX,EAX
0041A161   .83E1 01       AND ECX,1
0041A164   .894D FC       MOV DWORD PTR SS:,ECX
0041A167   .24 FE         AND AL,0FE
0041A169   .50            PUSH EAX
0041A16A   .8945 08       MOV DWORD PTR SS:,EAX
0041A16D   .8B10          MOV EDX,DWORD PTR DS:
0041A16F   .FF52 04       CALL DWORD PTR DS:
0041A172   .8B3D 7C104000 MOV EDI,DWORD PTR DS:[<&MSVBVM60.__vbaVa>;MSVBVM60.__vbaVarDup
0041A178   .B9 04000280   MOV ECX,80020004
0041A17D   .33F6          XOR ESI,ESI
0041A17F   .894D B4       MOV DWORD PTR SS:,ECX
0041A182   .B8 0A000000   MOV EAX,0A
0041A187   .894D C4       MOV DWORD PTR SS:,ECX
0041A18A   .BB 08000000   MOV EBX,8
0041A18F   .8975 BC       MOV DWORD PTR SS:,ESI
0041A192   .8975 AC       MOV DWORD PTR SS:,ESI
0041A195   .8975 8C       MOV DWORD PTR SS:,ESI
0041A198   .8D55 8C       LEA EDX,DWORD PTR SS:
0041A19B   .8D4D CC       LEA ECX,DWORD PTR SS:
0041A19E   .8975 DC       MOV DWORD PTR SS:,ESI
0041A1A1   .8975 CC       MOV DWORD PTR SS:,ESI
0041A1A4   .8975 9C       MOV DWORD PTR SS:,ESI
0041A1A7   .8945 AC       MOV DWORD PTR SS:,EAX
0041A1AA   .8945 BC       MOV DWORD PTR SS:,EAX
0041A1AD   .C745 94 64734>MOV DWORD PTR SS:,QQ业务狂.00417364
0041A1B4   .895D 8C       MOV DWORD PTR SS:,EBX
0041A1B7   .FFD7          CALL EDI                                 ;<&MSVBVM60.__vbaVarDup>
0041A1B9   .8D55 9C       LEA EDX,DWORD PTR SS:
0041A1BC   .8D4D DC       LEA ECX,DWORD PTR SS:
0041A1BF   .C745 A4 F8744>MOV DWORD PTR SS:,QQ业务狂.004174F8
0041A1C6   .895D 9C       MOV DWORD PTR SS:,EBX
0041A1C9   .FFD7          CALL EDI
0041A1CB   .8D45 AC       LEA EAX,DWORD PTR SS:
0041A1CE   .8D4D BC       LEA ECX,DWORD PTR SS:
0041A1D1   .50            PUSH EAX
0041A1D2   .8D55 CC       LEA EDX,DWORD PTR SS:
0041A1D5   .51            PUSH ECX
0041A1D6   .52            PUSH EDX
0041A1D7   .8D45 DC       LEA EAX,DWORD PTR SS:
0041A1DA   .56            PUSH ESI
0041A1DB   .50            PUSH EAX
0041A1DC   .FF15 24104000 CALL DWORD PTR DS:[<&MSVBVM60.#595>]   ;错误提示框出现
0041A1E2   .8D4D AC       LEA ECX,DWORD PTR SS:

sun50 发表于 2009-3-19 06:10:29

vb的程序就是这样，难搞啊/:010

Luckly 发表于 2009-3-19 17:14:31

那就是假注册.

不排除三种可能
1. 软件带忽悠性的注册
2. 软件本身就是个假软件
3. 软件根本不需要注册

t0dd_133 发表于 2009-3-20 08:58:19

现在都看不懂了
都还给老师了

冬天的雷雨 发表于 2009-3-20 09:02:46

小弟同意Luckly老兄的说法，这个软件应该就是个假软件

zykissyan 发表于 2009-3-20 23:10:16

原帖由 Luckly 于 2009-3-19 17:14 发表 https://www.chinapyg.com/images/common/back.gif
那就是假注册.

不排除三种可能
1. 软件带忽悠性的注册
2. 软件本身就是个假软件
3. 软件根本不需要注册
同意这个观点
另外你也可以看下 0041A130此处是从哪里跳转的。也许作者设计了这样的思路
正确跳到另一个地址。

千江月 发表于 2009-3-22 16:11:27

上面就是一个jmp,什么都没有

jy3318007 发表于 2009-3-27 01:19:48

QQ业务狂 应该是开启QQ业务的吧。假软件居多！

查看完整版本: 一个软件的奇怪现象