断在退出程序之前～～～回逆上去不行么～

有 病毒。。。。。

打开电脑就死机

00401FE0   .  8B4424 14     MOV EAX,DWORD PTR SS:[ESP+14]
00401FE4   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FE8   .  50            PUSH EAX
00401FE9   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FED   .  52            PUSH EDX
00401FEE   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FF2   .  50            PUSH EAX
00401FF3   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FF7   .  52            PUSH EDX
00401FF8   .  50            PUSH EAX
00401FF9   .  68 C0374000   PUSH 测试.004037C0
00401FFE   .  6A 00         PUSH 0
00402000   .  6A 00         PUSH 0
00402002   .  6A 01         PUSH 1
00402004   .  6A 68         PUSH 68
00402006   .  51            PUSH ECX
00402007   .  E8 88020000   CALL <JMP.&MFC42.#4034_?InvokeHelper@CWnd@@QAAXJGGPAXPBEZZ>
0040200C   .  83C4 2C       ADD ESP,2C
0040200F   .  C2 1400       RETN 14

LZ这两个弹窗是通过COM组件调用弹出来的，你可以断一下
IWebBrowser2->Navigate
IWebBrowser2->Navigate2
两个函数，或者直接写个DLL劫持hook这两个函数

可以参考这个
f66K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6*7z5o6M7I4x3U0x3$3z5o6S2Q4x3V1k6T1L8r3!0Y4i4K6u0r3K9i4c8W2L8g2)9J5c8X3k6X3j5$3q4V1y4e0q4T1z5h3c8V1z5h3b7&6j5$3q4S2j5K6k6W2y4K6f1@1y4g2)9J5k6h3S2@1L8h3H3`.

如果是自己用的话，下一个MD，阻止它调用COM组件就行了

或者你直接修改host文件

0013F7F8   004033BC  ASCII "a31K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0t1K6x3h3#2^5k6q4)9J5k6h3y4G2L8b7`.`."

感谢大家帮忙 5楼的老大给的很详细 再次感谢 我自己使用是没问题 直接hook InvokeHelper

可是为什么修改pe保存后就无法运行了呢？原理是什么呢？貌似很强大的自校验哦

程序是没有问题的 VC5的编译器编译的

亲 这个不是病毒

异常直接结束 不经过任何api 该如何下断？

的确有自校验，功力不够加了VM的，真心不会

用LordPE修正校验和，就不会退出了，输入表中有MapFileAndCheckSumA

修正了还是会退出 郁闷 貌似还有文件大小校验

测试1.7z

我这样确实没有改变文件大小

上传的附件：

• QQ截图20120514120833.jpg （60.77kb，105次下载）
• 测试1.7z （22.40kb，4次下载）

调用MapFileAndCheckSumA 校验和文件是否被修改的。
如楼上的方法就可以的，修改完，然后LOADPE PE编辑器里面的 校验和 后面的“？”点一下就是新的，然后点保存点确定，我估计你肯定不是这样做的。

感谢大家热心帮助，改变下大小 就悲剧了！

试过了，加区段，然后改校验值都没有问题

功力不够还是要下苦功啊 感谢大家帮助 散分 散花