QQ农牧偷匪 去广告教程+超傻瓜去广告方法
本帖最后由 lkou 于 2011-8-12 10:35 编辑估计用偷匪的很多人都不会逆向,所以我先说个超傻瓜方法吧,使用此法可以完美去除偷匪系列的广告
首先对偷匪抓包,得到广告网址为ad.6k6.com
然后打开IE浏览器,选择 工具-internet选项,在安全选项卡中,选择受限站点,然后点一下默认级别,如果点不了的话,就不用点了
再点击站点按钮,添加http://ad.6k6.com确定就行了,这样,偷匪就没各种广告了,也不会有啥盗版提示了。
--------------------------我是分割线-------------------------------------------------
前几天得知偷匪有检测去广告版本,也就是提示盗版,那时候我就换成保姆了,偷匪实在功能太弱,不过貌似现在还有很多人用,那我就整个完美的方法出来吧,下面写的会比较繁琐,如果不高兴看的话,直接看这贴就行了http://www.unpack.cn/thread-68429-1-1.html
下面以QQ农牧偷匪 3.0.7.810 为例
我们已经知道了,如果修改http://ad.6k6.com/i1.htm这个网址的话,那么程序就会提示盗版
不知道是谁说是程序比较网址长度,那么请你吧http://ad.6k6.com/i1.htm改为http://ad.6k6.com/i2.htm看看是否提示盗版
修改这个网址后,运行,程序会提示更新后再强制打开一个网址,我们可以直接下MessageBoxW或者ShellExecuteW断下来,
断下后可以发现如下代码
004233D4 .E8 C79DFEFF CALL qqnmtf.0040D1A0
004233D9 >68 307B4C00 PUSH qqnmtf.004C7B30 ;有狗粮不偷:【%s】土地[%d]上的【%s】
004233DE .8D4C24 1C LEA ECX,DWORD PTR SS:
004233E2 .E8 19BFFEFF CALL qqnmtf.0040F300
**************省略垃圾代码****************************
0042345D .68 18934C00 PUSH qqnmtf.004C9318 ;http://ad.6k6.com/i1.htm
00423462 .8D4C24 28 LEA ECX,DWORD PTR SS:
00423466 .E8 95BEFEFF CALL qqnmtf.0040F300
0042346B .C68424 500100>MOV BYTE PTR SS:,5
00423473 .53 PUSH EBX
00423474 .6A 0A PUSH 0A
00423476 .8D4C24 38 LEA ECX,DWORD PTR SS:
0042347A .51 PUSH ECX
***************省略垃圾代码**********************
004234C2 .895C24 2C MOV DWORD PTR SS:,EBX
004234C6 .8B00 MOV EAX,DWORD PTR DS:
004234C8 .50 PUSH EAX
004234C9 .E8 76DE0600 CALL qqnmtf.00491344
004234CE .83C4 04 ADD ESP,4
004234D1 .C64424 1F 01MOV BYTE PTR SS:,1
004234D6 .83F8 01 CMP EAX,1
004234D9 .74 05 JE SHORT qqnmtf.004234E0 这个可以理解为是否已经访问过该网址了,没访问就不跳,
004234DB >C64424 1F 00MOV BYTE PTR SS:,0 赐值0之后,下面的00423525就会跳到处理盗版的地方了,所以上面的需要JMP,比较好的方法是处理这个地方,可以NOP,也可以赐值为1
004234E0 >C78424 500100>MOV DWORD PTR SS:,6
004234EB .F6C3 02 TEST BL,2
004234EE .74 10 JE SHORT qqnmtf.00423500
004234F0 .83E3 FD AND EBX,FFFFFFFD
004234F3 .8D4C24 28 LEA ECX,DWORD PTR SS:
004234F7 .895C24 2C MOV DWORD PTR SS:,EBX
004234FB .E8 303EFEFF CALL qqnmtf.00407330
00423500 >C78424 500100>MOV DWORD PTR SS:,5
0042350B .F6C3 01 TEST BL,1
0042350E .74 10 JE SHORT qqnmtf.00423520
00423510 .83E3 FE AND EBX,FFFFFFFE
00423513 .8D4C24 30 LEA ECX,DWORD PTR SS:
00423517 .895C24 2C MOV DWORD PTR SS:,EBX
0042351B .E8 103EFEFF CALL qqnmtf.00407330
00423520 >807C24 1F 00CMP BYTE PTR SS:,0
00423525 .0F84 A2000000 JE qqnmtf.004235CD
0042352B .C68424 500100>MOV BYTE PTR SS:,3
00423533 .8D4C24 24 LEA ECX,DWORD PTR SS:
00423537 .E8 F43DFEFF CALL qqnmtf.00407330
***************省略垃圾代码**********************
004235C5 .5F POP EDI
004235C6 .5E POP ESI
004235C7 .5D POP EBP
004235C8 .5B POP EBX
004235C9 .8BE5 MOV ESP,EBP
004235CB .5D POP EBP
004235CC .C3 RETN 注意这个retn,代表执行完毕
004235CD >C68424 500100>MOV BYTE PTR SS:,3
004235D5 .8D4C24 24 LEA ECX,DWORD PTR SS:
004235D9 .E8 523DFEFF CALL qqnmtf.00407330
004235DE >C68424 500100>MOV BYTE PTR SS:,2
***************省略垃圾代码**********************
0042361F .8D4C24 28 LEA ECX,DWORD PTR SS:
00423623 .E8 789BFEFF CALL qqnmtf.0040D1A0
00423628 >68 50934C00 PUSH qqnmtf.004C9350 ;当前账号已经掉线,是否尝试重新登陆?\r\n\r\n选择【否】退出程序\r\n\r\n提示:如遇掉线,请适当调高牧场延时;若频繁掉线,可能因为TX更新,请暂停使用,等待软件更新
0042362D .8D4C24 28 LEA ECX,DWORD PTR SS:
00423631 .E8 CABCFEFF CALL qqnmtf.0040F300
***************省略垃圾代码**********************
00423673 .8B4C24 20 MOV ECX,DWORD PTR SS:
00423677 .8B5424 24 MOV EDX,DWORD PTR SS:
0042367B .6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
0042367D .51 PUSH ECX ; |Title
0042367E .52 PUSH EDX ; |Text
0042367F .55 PUSH EBP ; |hOwner
00423680 .FF15 F4A54B00 CALL DWORD PTR DS:[<&USER32.MessageBoxW>>; \MessageBoxW 弹信息框了哦
00423686 .68 F8934C00 PUSH qqnmtf.004C93F8 ;http://appbase.qzone.qq.com/cgi-bin/index/appbase_run_unity.cgi?appid=353&max=0&uin=%s&keyname=353¶ms=&qz_style=1&canvastype
0042368B .8D4C24 34 LEA ECX,DWORD PTR SS:
0042368F .E8 6CBCFEFF CALL qqnmtf.0040F300
00423694 .C68424 500100>MOV BYTE PTR SS:,0B
0042369C .68 98394C00 PUSH qqnmtf.004C3998 ;http://farm.qzone.qq.com/cgi-bin/cgi_farm_reward_beast
004236A1 .8D4C24 1C LEA ECX,DWORD PTR SS:
***************省略垃圾代码**********************
00423E33 .E8 F834FEFF CALL qqnmtf.00407330
00423E38 .6A 01 PUSH 1 ; /IsShown = 1
00423E3A .6A 00 PUSH 0 ; |DefDir = NULL
00423E3C .8B4C24 30 MOV ECX,DWORD PTR SS: ; |
00423E40 .6A 00 PUSH 0 ; |Parameters = NULL
00423E42 .51 PUSH ECX ; |FileName
00423E43 .68 707B4C00 PUSH qqnmtf.004C7B70 ; |open
00423E48 .6A 00 PUSH 0 ; |hWnd = NULL
00423E4A .FF15 B8A34B00 CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; \ShellExecuteW 弹网页了哦~
00423E50 .68 58B34D00 PUSH qqnmtf.004DB358
00423E55 .8D5424 50 LEA EDX,DWORD PTR SS:
00423E59 .52 PUSH EDX
00423E5A .C74424 54 FFF>MOV DWORD PTR SS:,0FFFFFF
00423E62 .E8 F5F00600 CALL qqnmtf.00492F5C
程序内查找http://ad.6k6.com/i1.htm,可以找到多次,每个地方都按照上面说的进行处理
随后,以前咋改的,现在还是咋改,程序永远不会提示盗版了
另外还有个修改方法,来到如下位置
00425350 .56 PUSH ESI
00425351 .8BF1 MOV ESI,ECX
00425353 .E8 DFB40500 CALL qqnmtf.00480837
00425358 .6A 00 PUSH 0
0042535A .6A 00 PUSH 0
0042535C .6A 00 PUSH 0
0042535E .6A 00 PUSH 0
00425360 .6A 00 PUSH 0
00425362 .68 18934C00 PUSH qqnmtf.004C9318 ;http://ad.6k6.com/i1.htm
00425367 .8BCE MOV ECX,ESI
00425369 .E8 DEA40500 CALL qqnmtf.0047F84C 这个call里面是处理字符串的长度
0042536E .B8 01000000 MOV EAX,1
00425373 .5E POP ESI
00425374 .C3 RETN
直接 MOV EAX,1 然后retn,随后还是按照以前的方法改广告网址,程序也不会提示盗版了
最后我还是建议大家使用我一开始提到的傻瓜方法,一劳永逸,永远无需担心程序内置或者外置的各种验证
全文完 ByLkou 2011.08.11
本帖最后由 lys76 于 2011-8-11 10:47 编辑
回复 lkou 的帖子
说实话,我只改了最后一处,其他都没动,没啥后遗症!00425350 .56 PUSH ESI
00425351 .8BF1 MOV ESI,ECX
00425353 .E8 DFB40500 CALL qqnmtf.00480837
00425358 .6A 00 PUSH 0
0042535A .6A 00 PUSH 0
0042535C .6A 00 PUSH 0
0042535E .6A 00 PUSH 0
00425360 .6A 00 PUSH 0
00425362 .68 18934C00 PUSH qqnmtf.004C9318 ;http://ad.6k6.com/i1.htm
00425367 .8BCE MOV ECX,ESI
00425369 .E8 DEA40500 CALL qqnmtf.0047F84C 这个call里面是处理字符串的长度
0042536E .B8 01000000 MOV EAX,1
00425373 .5E POP ESI
00425374 .C3 RETN
nop掉网址
找到提示盗版的关键跳过去一切ok 谢谢分享,慢慢学习 学习了。谢谢 学习了,谢谢分享! 学习啦。。 本帖最后由 zxqwe 于 2011-8-12 09:23 编辑
回复 lkou 的帖子
把ad.6k6.com/i1.htm改为ad.6k3.com/i1.htm就OK了。后遗症没有,问题没出现过!
不知道谁说的是比较长度,我测试了一番,可惜不是,不管我怎么改还是提示,我就知道是对比i1.htm,如果修改,提示盗版
{:301_993:}学习了哈,不用外挂狠久了