Flashget最新版怀疑自动下载病毒
[b][font=宋体][size=12pt][color=#000000][/color][/size][/font][/b][b][font=宋体][size=22pt]文件来源:[/size][/font][/b]
[color=#000000][font=Times New Roman]FlashGet[/font][font=宋体]安装包[/font][/color]
[color=#000000][font=宋体]来源:[/font][font=Times New Roman]FlashGet[/font][font=宋体]官方网站[/font][font=Times New Roman]
[url=http://www.flashget.com.cn]www.flashget.com.cn[/url][/font][/color]
[color=#000000][font=宋体]文件名:[/font][font=Times New Roman]flashget196cn.exe[/font][/color]
[color=#000000][font=宋体]长度:[/font][font=Times New Roman]4,520,496 [/font][font=宋体]字节[/font][/color]
[color=#000000][font=宋体]版本号:[/font][font=Times New Roman]1.9.6.1073[/font][/color]
[b][font=宋体][size=22pt]测试环境[/size][/font][/b]
[font=宋体][size=12pt][color=#000000]OS:
XP SP2-2600[/color][/size][/font]
[color=#000000][font=宋体][size=12pt]文件名[/size][/font][font=宋体][size=12pt]:
[/size][/font][font=Verdana][size=10pt]C:/PROGRAM FILES/FLASHGET/INAPP6.EXE[/size][/font][/color]
[color=#000000][font=宋体][size=10pt]长度:[/size][/font][font=Verdana][size=10pt]
42,496 byte[/size][/font][/color]
[color=#000000][font=Verdana][size=10pt]CRC32[/size][/font][font=宋体][size=10pt]:[/size][/font][font=Verdana][size=10pt]
329C08C6[/size][/font][/color]
[b][font=宋体][size=22pt]摘要:[/size][/font][/b]
[color=#000000][font=Verdana][size=10pt]INAPP6.EXE[/size][/font][font=宋体][size=10pt]强行[/size][/font][font=宋体]感染系统文件[/font][font=宋体][size=12pt]sens.dll([/size][/font][font=Arial][size=9pt]sens.dll[/size][/font][font=宋体][size=9pt]是系统事件提醒服务相关库文件[/size][/font][font=宋体][size=12pt]),然后去下载[/size][/font][font=宋体]流氓软件[/font][font=宋体][size=12pt]gdim32.dll[/size][/font][font=宋体][size=9pt]程序[/size][/font][font=宋体][size=12pt][/size][/font][/color]
[b][font=宋体][size=22pt]程序行为:[/size][/font][/b]
[color=#000000][font=宋体][size=12pt]1[/size][/font][font=宋体][size=12pt]、程序被执行后[/size][/font][font=宋体][size=12pt],[/size][/font][font=宋体][size=12pt]查找[/size][/font][font=宋体][size=12pt]%systemroot%/system32[/size][/font][font=宋体][size=12pt]目录下[/size][/font][font=宋体][size=12pt]ms*as.dll[/size][/font][font=宋体][size=12pt];[/size][/font][/color]
[color=#000000][font=宋体][size=12pt]2[/size][/font][font=宋体][size=12pt]、为自身进程添加[/size][/font][font=宋体][size=12pt]SeDebugPrivilege[/size][/font][font=宋体][size=12pt]、[/size][/font][font=宋体][size=12pt]SeLoadDriverPrivileg[/size][/font][font=宋体][size=12pt]、[/size][/font][font=宋体][size=12pt]SeShutdownPrivilege[/size][/font][font=宋体][size=12pt]、[/size][/font][font=宋体][size=12pt]SeTcbPrivilege[/size][/font][font=宋体][size=12pt]等特权令牌[/size][/font][font=宋体][size=12pt]([/size][/font][font=宋体][size=12pt]其实[/size][/font][font=宋体][size=12pt]SeDebugPrivilege[/size][/font][font=宋体][size=12pt]就可以了[/size][/font][font=宋体][size=12pt]),[/size][/font][font=宋体][size=12pt]判断操作系统板本将[/size][/font][font=宋体][size=12pt]sfc_os.dll[/size][/font][font=宋体][size=12pt]载入[/size][/font][font=宋体][size=12pt],[/size][/font][font=宋体][size=12pt]获取到[/size][/font][font=宋体][size=12pt]sfc_os.dll[/size][/font][font=宋体][size=12pt]导出的[/size][/font][font=宋体][size=12pt]2#[/size][/font][font=宋体][size=12pt]函数[/size][/font][font=宋体][size=12pt](SfcTerminateWatcherThread[/size][/font][font=宋体][size=12pt]此函数为微软未公开[/size][/font][font=宋体][size=12pt]),[/size][/font][font=宋体][size=12pt]打开进程[/size][/font][font=宋体][size=12pt]winlogon.exe[/size][/font][font=宋体][size=12pt]创建远程线程[/size][/font][font=宋体][size=12pt],[/size][/font][font=宋体][size=12pt]将系统文件保护功能线程终止[/size][/font][font=宋体][size=12pt];[/size][/font][/color]
[font=宋体][size=12pt]3、多余代码:通过调用动态库sfc_os.dll的5号 API函数(SfcFileException),实现对单一文件禁止Windows自动恢复系统文件的功能(此处代码并未调用,怀疑为抄袭)[/size][/font]
[font=宋体][size=12pt][color=#000000]4、之后修改%System32%\sens.dll文件,修改数据如下图1\图2\图3所示,动作如下;[/color][/size][/font]
[color=#000000][font=宋体][size=12pt]尝试删除%systemroot%[/size][/font][font=宋体][size=12pt]\[/size][/font][font=宋体][size=12pt]system32\sensdat.dll,将%systemroot%[/size][/font][font=宋体][size=12pt]\[/size][/font][font=宋体][size=12pt]system32\sens.dll改名为sensdat.dll,将%systemroot%[/size][/font][font=宋体][size=12pt]\[/size][/font][font=宋体][size=12pt]system32\sensdat.dll拷贝为sens.dll,通过API函数WriteFile生成sens.dll,完成修改sens.dll的任务;在%SystemRoot%\system32\目录下释放动态库msasno.dll;在目录%SystemRoot%\system32\下,拷贝msasn1.dll为msuas.dll;将rundll32 msasno.dll in 111432作为API函数CreateProcessA的参数启动msasno.dll,msasno.dll主要完成下载任务。通过批处理将病毒原文件删除。[/size][/font][font=宋体][size=12pt][/size][/font][/color]
[font=宋体][size=12pt][color=#000000][/color][/size][/font]
[font=宋体][size=12pt][color=#000000]图1[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][img]http://bbs.360safe.com/attachments/20080305_5ea07b372f62dc83cedcRq1MkJGgupyJ.jpg[/img][/color][/size][/font]
[font=宋体][size=12pt][/size][/font]
[font=宋体][size=12pt][color=#000000]此处代码:[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]722612C7
. /E9 616F0000
jmp sens.7226822D[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]在该dll未加载之前执行地址7226822D的恶意代码[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][/color][/size][/font]
[font=宋体][size=12pt][color=#000000]图2[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][img]http://bbs.360safe.com/attachments/20080305_081a5ee6f94087cab71aADIgigdthKVO.jpg[/img][/color][/size][/font]
此处代码:
72268232 $ 58 pop eax
72268233 . 50 push eax
72268234 . 60 pushad
72268235 . B9 5723DE0A mov ecx,0ADE2357
7226823A . 68 6411DE0A push 0ADE1164
7226823F . 310C24 xor dword ptr ss:[esp],ecx
72268242 . 68 3047B767 push 67B74730
72268247 . 310C24 xor dword ptr ss:[esp],ecx
7226824A . 54 push esp
7226824B . 05 D68EFFFF add eax,FFFF8ED6
72268250 . 8B18 mov ebx,dword ptr ds:[eax]
72268252 . FFD3 call ebx ; kernel32.LoadLibraryA
72268254 . 58 pop eax
72268255 . 5B pop ebx
72268256 . 61 popad
72268257 . 58 pop eax
72268258 . 05 7E8EFFFF add eax,FFFF8E7E
7226825D . 8B18 mov ebx,dword ptr ds:[eax]
7226825F . FFD3 call ebx
72268261 .^ E9 6790FFFF jmp sens111.722612CD
[font=宋体][size=12pt][/size][/font]
[font=宋体][size=12pt][color=#000000]以上恶意代码被执行后预读入动态库字串gdim32解密出,通过LoadLibraryA对gdim32.dll进行加载,跳转到地址722612CD执行sens.dll正常代码。[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][/color][/size][/font]
[font=宋体][size=12pt][color=#000000]通过网络搜索gdim32.dll为一个中招后很难卸载的恶意广告程序,究竟是flashget自己为谋利下载安装还是其他原因,期待正解。Gdim32.dll反响如图所示:[/color][/size][/font]
[font=宋体][size=12pt][/size][/font]
[font=宋体][size=12pt][color=#000000][img]http://bbs.360safe.com/attachments/20080305_c5efebc3b388c234a584HyaLwVhLvETV.jpg[/img] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]引用:[url=http://bbs.duba.net/view]http://bbs.duba.net/view[/url][/color][/size][/font]
[font=宋体][size=12pt][color=#000000]thread.php?action=printable&tid=21882976[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][img]http://bbs.360safe.com/attachments/20080305_e435e62b9ce96cd41d78XLtWLzf4qXZR.jpg[/img][/color][/size][/font]
[font=宋体][size=12pt][color=#000000]“[img]http://bbs.360safe.com/attachments/20080305_56ff42312d7ec35bbc8do3Tct8AIHptJ.jpg[/img][/color][/size][/font]
[color=#000000][b][font=宋体][size=10pt]标题[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][font=Helvetica][size=10pt][url=http://bbs.duba.net/forumdisplay.php?fid=3162&filter=type&typeid=12][color=#0000ff][size=10.5pt][[/size][font=宋体][size=10.5pt]求助[/size][/font][size=10.5pt]][/size][/color][/url][color=#000000] [/color][/size][/font][font=宋体][size=10pt][color=#000000]怎么删除这个病毒[/color][/size][/font][font=Helvetica][size=10pt][color=#000000] [/color][b][url=http://bbs.duba.net/viewthread.php?action=printable&tid=21882976#][color=#0000ff][size=10.5pt][[/size][font=宋体][size=10.5pt]打印本页[/size][/font][size=10.5pt]][/size][/color][/url][/b][/size][/font]
[align=center][font=Helvetica][size=10pt][color=#0000ff][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]lincj1moli [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]2008-2-3 14:48 [/size][/font][b][font=宋体][size=10pt]标题[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=宋体][size=10pt]怎么删除这个病毒[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]风险程序[/size][/font][font=Helvetica][size=10pt] 2008-02-03 14:40:38 C:\WINDOWS\system32\gdim32.dll Win32.Adware.Agent.ms.25088 [/size][/font][font=宋体][size=10pt]跳过,未处理[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]能查出这个风险程序但是选择处理了,显示还是,跳过未处理[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]pzping [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 15:04
[/size][/font][font=宋体][size=10pt]你先把它放到隔离区里[/size][/font][font=Helvetica][size=10pt],[/size][/font][font=宋体][size=10pt]等待解决[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]lincj1moli [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 16:08
[/size][/font][font=宋体][size=10pt]隔离不了啊,有高手能帮帮忙么[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=宋体][size=10pt]小小小猪[/size][/font]
[b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 16:08
[/size][/font][font=宋体][size=10pt]不会吧?应该可以隔离呀。加壳了。金山杀不了,但是可以隔离的说。[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=宋体][size=10pt]小小小猪[/size][/font]
[b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 16:10
[/size][/font][font=宋体][size=10pt]病毒名称[/size][/font][font=Helvetica][size=10pt] Win32 WINDOWS[/size][/font][font=宋体][size=10pt]下的[/size][/font][font=Helvetica][size=10pt]PE[/size][/font][font=宋体][size=10pt]病毒[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]别[/size][/font]
[font=宋体][size=10pt]名[/size][/font]
[font=宋体][size=10pt]病毒长度[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]危害程度[/size][/font]
[font=宋体][size=10pt]传播途径[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]行为类型[/size][/font][font=Helvetica][size=10pt] WINDOWS[/size][/font][font=宋体][size=10pt]下的[/size][/font][font=Helvetica][size=10pt]PE[/size][/font][font=宋体][size=10pt]病毒[/size][/font]
[font=宋体][size=10pt]感[/size][/font]
[font=宋体][size=10pt]染[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]该病毒是一个[/size][/font][font=Helvetica][size=10pt]WIN32 PE[/size][/font][font=宋体][size=10pt]感染型病毒[/size][/font][font=Helvetica][size=10pt],[/size][/font][font=宋体][size=10pt]病毒感染普通[/size][/font][font=Helvetica][size=10pt]PE EXE[/size][/font][font=宋体][size=10pt]文件并把自己的代码加到[/size][/font][font=Helvetica][size=10pt]EXE[/size][/font][font=宋体][size=10pt]文件尾部[/size][/font][font=Helvetica][size=10pt].[/size][/font][font=宋体][size=10pt]修改原程序的入口点以指向病毒体[/size][/font][font=Helvetica][size=10pt],[/size][/font][font=宋体][size=10pt]病毒本身没有什么危害[/size][/font][font=Helvetica][size=10pt].[/size][/font][font=宋体][size=10pt]但被感染的文件可能被破坏不能正常运行[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]解决方法:安全模式下杀毒[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=宋体][size=10pt]小小小猪[/size][/font]
[b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 16:13
[/size][/font][font=宋体][size=10pt]或许你的那个风险程序是广告了。也有可能的。[/size][/font][/color]
[font=宋体][size=10pt][color=#000000]你用汉化的[/color][/size][/font][font=Helvetica][size=10pt][color=#000000]AVG Anti-Spyware 7.5.1.43
[/color][url=http://www.17ai.org/qt/avg.htm][size=10.5pt][color=#0000ff]http://www.17ai.org/qt/avg.htm[/color][/size][/url][color=#000000] [/color][/size][/font][color=#000000][font=宋体][size=10pt]杀杀试试[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]long_bb818 [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]2008-2-3 17:07 [/size][/font][b][font=宋体][size=10pt]标题[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=宋体][size=10pt]解决最佳方案[/size][/font][/color][color=#000000]
[font=宋体][size=10pt]这个问题我也遇到过,我手动杀除了他。不需要用到[/size][/font][font=Helvetica][size=10pt]AVG[/size][/font][font=宋体][size=10pt]。[/size][/font][/color]
[font=宋体][size=10pt][color=#000000]下载超级兔子。下载地址[/color][/size][/font][font=Helvetica][size=10pt][color=#000000] [/color][url=http://www.skycn.com/soft/2993.html][size=10.5pt][color=#0000ff]http://www.skycn.com/soft/2993.html[/color][/size][/url]
[/size][/font][color=#000000][font=宋体][size=10pt]打开超级兔子内置的任务管理器,点击里面的[/size][/font][font=Helvetica][size=10pt]“[/size][/font][font=宋体][size=10pt]模块[/size][/font][font=Helvetica][size=10pt]”[/size][/font][font=宋体][size=10pt]。[/size][/font][/color]
[color=#000000][font=宋体][size=10pt]列表里面会发现很多的后缀为[/size][/font][font=Helvetica][size=10pt]dll[/size][/font][font=宋体][size=10pt]的文件,看看哪个程序是[/size][/font][font=Helvetica][size=10pt]gdim32.dll[/size][/font][font=宋体][size=10pt],然后找到这个文件相应的程序,结束掉它。(不管是什么文件,结束了就可以)[/size][/font][/color]
[color=#000000][font=宋体][size=10pt]然后再找到[/size][/font][font=Helvetica][size=10pt]system32[/size][/font][font=宋体][size=10pt]下的[/size][/font][font=Helvetica][size=10pt]gdim32.dll[/size][/font][font=宋体][size=10pt],右键杀毒,定能删掉。[/size][/font][/color]
[color=#000000][font=宋体][size=10pt]呵呵,重启系统吧,解决了!大哥不信再杀次毒阿。。。[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]DK747 [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 17:12
[/size][/font][font=宋体][size=10pt]支持[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[align=left][color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]slippy [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 17:16
[/size][/font][font=宋体][size=10pt]就是一流氓软件,不算毒,属于清理专家管辖的范畴[/size][/font][font=Helvetica][size=10pt] [/size][/font][/color][/align]
[align=center][font=Helvetica][size=10pt][color=#000000][/color][/size][/font][/align]
[color=#000000][b][font=宋体][size=10pt]作者[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][font=Helvetica][size=10pt]ksef0252129 [/size][/font][b][font=宋体][size=10pt]时间[/size][/font][/b][b][font=Helvetica][size=10pt]: [/size][/font][/b][/color][color=#000000][font=Helvetica][size=10pt]2008-2-3 20:13
[/size][/font][font=宋体][size=10pt]同意[/size][/font][font=宋体][size=12pt]”[/size][/font][/color]
[font=宋体][size=12pt][color=#000000][/color][/size][/font]
[b][font=宋体][size=22pt]相关代码:[/size][/font][/b]
[b][font=宋体][size=15pt][color=#000000]程序行为二[/color][/size][/font][/b]
[font=宋体][color=#000000][email=q?@2]q?@2[/email] P
.text:00403ACB loc_403ACB: ; CODE XREF: sub_403A70+46 j
.text:00403ACB ; sub_403A70+52 j
.text:00403ACB push offset LibFileName ; "sfc_os.dll"
.text:00403ACB
.text:00403AD0
.text:00403AD0 loc_403AD0: ; CODE XREF: sub_403A70+59 j
.text:00403AD0 call ds:LoadLibraryA
.text:00403AD0
.text:00403AD6 mov esi, eax
.text:00403AD8 test esi, esi
.text:00403ADA jnz short loc_403AE3
.text:00403ADA
.text:00403ADC pop edi
.text:00403ADD pop esi
.text:00403ADE xor al, al
.text:00403AE0 pop ebx
.text:00403AE1 pop ecx
.text:00403AE2 retn
.text:00403AE2
.text:00403AE3 ; ---------------------------------------------------------------------------
.text:00403AE3
.text:00403AE3 loc_403AE3: ; CODE XREF: sub_403A70+6A j
.text:00403AE3 push 2 ; lpProcName
.text:00403AE5 push esi ; hModule
.text:00403AE6 call ds:GetProcAddress
.text:00403AE6
.text:00403AEC mov ebx, eax
.text:00403AEE push esi ; hLibModule
.text:00403AEF test ebx, ebx
.text:00403AF1 jnz short loc_403B00
.text:00403AF1
.text:00403AF3 call ds:FreeLibrary[/color][/font]
[font=宋体][color=#000000]程序行为三
loc_403C10: ; CODE XREF: sub_403BC0+47 j
.text:00403C10 push offset LibFileName ; "sfc_os.dll"
.text:00403C15 call ds:LoadLibraryA
.text:00403C15
.text:00403C1B mov esi, eax
.text:00403C1D test esi, esi
.text:00403C1F jnz short loc_403C2B
.text:00403C1F
.text:00403C21
.text:00403C21 loc_403C21: ; CODE XREF: sub_403BC0+4E j
.text:00403C21 xor eax, eax
.text:00403C23 pop esi
.text:00403C24 add esp, 208h
.text:00403C2A retn
.text:00403C2A
.text:00403C2B ; ---------------------------------------------------------------------------
.text:00403C2B
.text:00403C2B loc_403C2B: ; CODE XREF: sub_403BC0+5F j
.text:00403C2B push 5 ; lpProcName
.text:00403C2D push esi ; hModule
.text:00403C2E call ds:GetProcAddress
.text:00403C2E
.text:00403C34 test eax, eax
.text:00403C36 jnz short loc_403C49
.text:00403C36
.text:00403C38 push esi ; hLibModule
.text:00403C39 call ds:FreeLibrary
.text:00403C39
.text:00403C3F xor eax, eax
.text:00403C41 pop esi
.text:00403C42 add esp, 208h
.text:00403C48 retn
[/color][/font]
页:
[1]