VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
查看: 3322|回复: 11

[原创] vb内嵌汇编都会报病毒吗?原因居然是vba6.dll!

[复制链接]
发表于 2015-4-10 16:04:41 | 显示全部楼层 |阅读模式
本帖最后由 menglv 于 2015-4-11 15:58 编辑

用了几个内嵌汇编的插件似乎都有这个问题。

问题已经在8楼解决了!

点评

只有250会报毒吧……而且是一开始还没报毒,后台先偷偷上传带网站上去,然后它检测到你没交保护费,就报毒了  发表于 2015-4-11 11:09
 楼主| 发表于 2015-4-10 16:23:35 | 显示全部楼层
看来更保险的方法还是将汇编代码直接写入生成的call中,这样就不会报毒,周末搞搞AsmInVB1.3,看看原理,看是否能够修正一下。
回复 支持 反对

使用道具 举报

发表于 2015-4-10 16:38:57 | 显示全部楼层
用360只要是VB写的一律报毒
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-4-10 17:10:03 来自手机 | 显示全部楼层
正常vb是不会报毒的,只是内嵌汇编就会报,我用小红伞,没用过国产杀毒软件。
回复 支持 反对

使用道具 举报

发表于 2015-4-10 18:22:42 | 显示全部楼层
只要调用几个API就报毒。。也挺无奈的。~~
最好的方法是把杀软暂时关掉,否则它可能会后台把你的程序传上去,鉴定是不是病毒哦。

点评

后台不是鉴定你的程序是不是病毒,而是鉴定你的程序是否交了保护费  发表于 2015-4-11 11:10
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-4-11 13:18:56 | 显示全部楼层
本帖最后由 menglv 于 2015-4-11 13:48 编辑

已经找到原因,正在解决。问题出现在最后一步:
LINK "C:\Documents and Settings\Administrator\桌面\ttt\Form1.OBJ" "C:\Documents and Settings\Administrator\桌面\ttt\Module1.OBJ" "C:\Documents and Settings\Administrator\桌面\ttt\工程11.OBJ" "C:\Program Files\Microsoft Visual Basic 6.0\VBAEXE6.LIB" /ENTRY:__vbaS /OUT:"C:\Documents and Settings\Administrator\桌面\ttt\工程1.exe" /BASE:0x400000 /SUBSYSTEM:WINDOWS,4.0 /VERSION:1.0   /INCREMENTAL:NO /OPT:REF /MERGE:.rdata=.text /IGNORE:4078

也许因为破解的原因,所以程序修改了上面的某些参数,拦截在生成之前,用命令行生成的文件就不会报毒。

看来并不是我破解的原因,原版依然有这个问题,我只能在生成的步调用命令行生成文件了。这个应该比较麻烦,不过既然问题知道出现在哪里,应该有办法解决的。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-4-11 14:54:03 | 显示全部楼层
问题解决了,原来asminvb生成exe后还会对exe写入一些信息,不清楚这样做的目的是什么?

CPU Disasm
地址        十六进制数据            指令                                                  注释
0FB6449A  ^\0F8C 73FDFFFF   JL 0FB64213                                         ; 这里不跳的话就会继续修改exe文件
0FB644A0    8B5D 10         MOV EBX,DWORD PTR SS:[EBP+10]
0FB644A3    85DB            TEST EBX,EBX
0FB644A5    74 15           JE SHORT 0FB644BC
0FB644A7    8B0B            MOV ECX,DWORD PTR DS:[EBX]
0FB644A9    85C9            TEST ECX,ECX
0FB644AB    74 0F           JE SHORT 0FB644BC
0FB644AD    A1 F0D0C00F     MOV EAX,DWORD PTR DS:[0FC0D0F0]                     ; UNICODE "瀌皫"
0FB644B2    51              PUSH ECX
0FB644B3    50              PUSH EAX
0FB644B4    8B10            MOV EDX,DWORD PTR DS:[EAX]
0FB644B6    FF52 14         CALL DWORD PTR DS:[EDX+14]
0FB644B9    8323 00         AND DWORD PTR DS:[EBX],00000000
0FB644BC    68 9CFFB30F     PUSH 0FB3FF9C                                       ; ASCII "imagehlp.dll"
0FB644C1    33DB            XOR EBX,EBX
0FB644C3    FF15 2814A90F   CALL DWORD PTR DS:[<&KERNEL32.LoadLibraryA>]
0FB644C9    85C0            TEST EAX,EAX
0FB644CB    8945 10         MOV DWORD PTR SS:[EBP+10],EAX
0FB644CE    74 0E           JE SHORT 0FB644DE
0FB644D0    68 90FFB30F     PUSH 0FB3FF90                                       ; ASCII "BindImage"
0FB644D5    50              PUSH EAX
0FB644D6    FF15 2C14A90F   CALL DWORD PTR DS:[<&KERNEL32.GetProcAddress>]
0FB644DC    8BD8            MOV EBX,EAX
0FB644DE    85DB            TEST EBX,EBX
0FB644E0    74 09           JE SHORT 0FB644EB                                   ; ???????
0FB644E2    6A 00           PUSH 0
0FB644E4    6A 00           PUSH 0
0FB644E6    FF76 18         PUSH DWORD PTR DS:[ESI+18]
0FB644E9    FFD3            CALL EBX                                            ; 这里会修改exe
0FB644EB    837D 10 00      CMP DWORD PTR SS:[EBP+10],0
0FB644EF  ^ 0F84 1EFDFFFF   JE 0FB64213

点评

因为调用了LoadLibraryA  发表于 2015-4-11 21:33
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-4-11 15:45:38 | 显示全部楼层
本帖最后由 menglv 于 2015-4-11 17:30 编辑

等我修改保存后,发现上面的代码居然是vba6.dll的代码,看来汇编都会报毒的原因就在这里。
现在上传修改后的文件给大家测试一下,替换vb目录下的vba6.dll即可。


无意中解决一个重要的问题,这回vb的程序应该不会报毒了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

点评

辛苦啦~  发表于 2015-4-11 17:32
回复 支持 反对

使用道具 举报

发表于 2015-4-11 23:26:16 | 显示全部楼层
menglv 发表于 2015-4-11 15:45
等我修改保存后,发现上面的代码居然是vba6.dll的代码,看来汇编都会报毒的原因就在这里。
现在上传修改后 ...

这样改这个DLL会对其他普通正常VB工程有影响吗?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-4-11 23:58:32 来自手机 | 显示全部楼层
其实在我改那个地方之前就已经生成了exe,只是不明白为什么后来还要对exe进行修改,经测试对一般程序也是没有影响的,其实那段代码就是先检测imagehlp.dll的存在,如果不存在就直接跳过,这个就相当于我修改的代码。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-7-5 10:56

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表