摘要： 从卡饭弄到一个样本，虚拟机中跑了下，发现是个消息溢出工具，能够使窗口程序进程莫名崩溃。想看下实现原理，一看是vb写的，想当初就最怕遇到vb的和易语言的程序了，相当蛋疼，汇编代码又臭又长，这几天研究了下VB的程序，发现也不是那么难。在FindWindow下断点，很快就找到了关键点。程序中用的是PostMessage，实际上经过我的测试SendMessage也是可以的，自己用vc6写了一个，成功实现。只是不知道程序为何崩溃，真正的原因是什么，有时间调试下。 阅读全文

摘要： 1.VB的程序从入口点从进入了VBVM60.DLL中的ThunRtMain之后就不知道什么时候回到主模块中，让人很是费解，实际上在VBVM60.DLL中有段专门计算返回到主模块地址的代码。红色部分为HEX特征码。733BAE5A 8B7C81 0C mov edi, dword ptr [ecx+eax*4+C] ; 这里是计算地址的733BAE5E 57 push edi ; 对取得的地址检测所有要跳转到主模块的地址都会经过这里，其中的edi就是要跳转的地址，也就是自定义函数... 阅读全文