一字节过Geek更新弹窗
本帖最后由 SScrew 于 2021-10-12 15:18 编辑Geek Uninstaller 是一款简单易用的卸载软件,单文件、32/64位一体 。
自新版1.4.8.145开始已不再支持XP,运行如下:
虽说XP已被淘汰,但有些企业内部还在使用,故可将上一版1.4.7.142留存备用
软件有检测新版本功能,旧版每次打开都会弹窗提示,下面对其进行处理:
抓包分析
抓包得到检测更新接口网址为:https://geekuninstaller.com/update.txt
尝试hosts屏蔽geekuninstaller.com,发现打开软件已不再有弹窗,也没有出现某些软件的连接更新服务器失败的提示,软件使用正常
那么问题就简单了,我们只需将软件内的该网址修改一下即可。
得到特征码
软件无壳,直接OD载入,搜索unicode字符串update.txt,找到上方的网址
双击后回到汇编窗口,在选中行右击 > 数据窗口中跟随 > 立即数,在数据窗口中可看到相关的16进制数据
如图选中一段复制到记事本备用,由于软件是32/64位一体,此处特征其实有两处,下面采用WinHex来处理
修改软件
打开WinHex,将Geek拖入,Ctrl+Alt+H打开16进制替换窗口
搜索:63006F006D002F007500700064006100740065002E00740078007400
替换:63006F006E002F007500700064006100740065002E00740078007400
点击确定,提示被替换2次,如果大于2,请扩大上方特征码选择范围
点击WinHex菜单 > 文件 > 另存为,即可得到无弹窗的文件。
成品链接
蓝奏云:https://sscrew.lanzoui.com/ibMfov7qh5g密码:52pj
常见问题
1、没用啊,怎么还有弹窗?
答:64位系统,Geek会释放geek64.exe到临时目录,同版本的只会释放一次,出现弹窗说明机器上存在相同版本的Geek,此时在资源管理器打开%temp%,找到geek64.exe将其删除,重新运行修改后的Geek
本帖最后由 SScrew 于 2021-10-12 17:16 编辑
Vvvvvoid 发表于 2021-10-12 16:28
噢噢 改url 啊 , 请求会超时啊,
我觉着把这个call nop掉或者 ret 掉比较好
它不会阻塞主线程,超时不影响,这只是一种思路 SScrew 发表于 2021-10-12 17:10
它不会阻塞主线程,超时不影响,这只是一种思路
我也赞同上面这位同学的建议,直接端首retn不让他执行就好了。 教程不错 点赞 好厉害 值得学习 收藏了 噢噢 改url 啊 , 请求会超时啊,
我觉着把这个call nop掉或者 ret 掉比较好 把请求指向127.0.0.1就会立刻返回了 网址是随便改一个吗,抓包怎么抓的能有教程最好了 支持支持 拿个积分 好久没看到装XP的机器了 强啊强啊
页:
[1]
2