The033. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例一
本帖最后由 chuiyan121 于 2022-2-11 18:01 编辑The033. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例一
关于吾爱破解论坛官方入门教学培训第一期,我的学习记录,如有疑问欢迎交流指正。^_^
这节课是实战去程序弹出网页、广告、注册表主页锁定等,算是继脱壳学习之后的第一个实战。
被试程序:【吾爱破解培训第二课实例一.exe】
实例一程序需要修改的地方有5处:
1)打开程序弹出网页、2)弹出消息窗口、3)按钮按下弹网页、4)程序开启20秒弹出网页、5)程序开启40秒弹出网页。
我没有完全按照kido大牛的教程顺序,而是按照程序打开时网页出来的顺序破解的,比较方便记忆,个人习惯而已。
1、查壳,UPX壳,这种简单壳就不记录脱壳过程了,直接拿已脱壳的程序演示。一定要脱壳,否则查找不到字符串。
https://s4.ax1x.com/2022/02/11/HUKvPs.png
2、第一步,去掉打开程序时弹出的网页。将已脱壳的程序载入Hex Workshop,Ctrl+F搜索框选择Unicode字符串选项,搜索字符“http”,只找到一处内容“h.t.t.p.:././.w.w.w...5.2.p.o.j.i.e...c.n...o.p.e.n”。
https://s4.ax1x.com/2022/02/11/HUKbqS.png
3、选中完整内容,右键 -> 填充,确定。另存为1.exe。
https://s4.ax1x.com/2022/02/11/HUKLVg.png
4、运行后发现打开程序的同时没有弹出网页了。
https://s4.ax1x.com/2022/02/11/HUKxGn.png
5、第二步,继续解决“来试试我的程序啊”消息弹窗。OD载入1.exe,右键 -> 中文搜索引擎 -> 智能搜索,会发现消息框内容:来试试我的程序啊。
https://s4.ax1x.com/2022/02/11/HUK7Kf.png
6、双击文字所在行跳转到代码区。发现这个窗体是MessageBoxW这个API函数调用的,在call处F2断点,Shift+F9运行到断点,会看到右下角堆栈窗口显示了弹出窗体的参数信息。hOwner:窗体句柄,Text:正文内容,Title:标题内容,Style:按钮类型。有程序基础的应该很熟悉这些参数。
https://s4.ax1x.com/2022/02/11/HUKOaQ.png
7、知道这个MessageBoxW弹窗有4个参数后,在call调用上面发现了4个push,分别进栈了4个对应参数,如果要取消这个消息弹窗,需要将4个push和call一同NOP掉。注意这里不能用00填充,大牛说可能会出问题。
https://s4.ax1x.com/2022/02/11/HUKz2q.png
8、处理完毕后保存文件为2.exe,保存的方法前面的学习记录有,就不赘述了。运行2.exe会发现弹窗没有了,点击课程介绍按钮,会弹出一个网页。
https://s4.ax1x.com/2022/02/11/HUMPqU.png
9、第三步,解决课程介绍按钮弹出的网页。将2.exe载入Hex Workshop,ASCII字符串模式搜索“http”,搜索到“explorer.exe http://www.52pojie.cn/thread-384195-1-1.html”,00填充,另存为3.exe,运行后发现课程介绍按钮不会弹出网页了。
https://s4.ax1x.com/2022/02/11/HUM9MV.png
10、截止目前,程序还剩两个弹出网页,分别是程序开启后20秒和40秒弹出,通过Hex Workshop搜索字符串是搜索不到的,大牛已经说过,网址加密了。下面通过在API函数下断点的方式寻找网页地址。
弹窗的API常用的有5种:
1)ShellExecuteA,运行方式为:open URL,控制台执行。
2)ShellExecuteW,运行方式为:open URL,控制台执行。
3)WinExec,运行方式为:explorer.exe URL,Windows执行。
4)CreateProcessA,运行方式为:PATH URL,创建进程。
5)CreateProcessW,运行方式为:PATH URL,创建进程。
接下来OD载入3.exe,Ctrl+G将以上5个函数全部下断点。
https://s4.ax1x.com/2022/02/11/HUMCrT.png
11、F9运行,第一处断下在shellExecuteW函数,在堆栈窗口call处回车,可以到达用户代码。这里是打开程序的同时弹出网页的地方,堆栈窗口参数没有值,是因为我们前面在Hex Workshop中用00填充了。其实在OD中NOP掉6个参数和call同样能达到效果。
https://s4.ax1x.com/2022/02/11/HUMFZF.png
12、Alt+C返回系统领空,继续F9运行几次,此时程序会运行一回,等待20秒后的弹出网页触发断点,发现此弹出网页是WinExec方式运行的。在程序断下后系统会特别的卡,后来发现是我给虚拟机分配的内存太小,分配大点就好了。
https://s4.ax1x.com/2022/02/11/HUMka4.png
13、将上图中2个参数加上call全NOP掉,保存为4.exe文件,运行后发现20秒的弹出网页没有了。最后就剩下40秒弹出的网页了,OD载入4.exe,F9运行几次,程序停在CreateProcessA处,可以看到是用的创建进程的方式,调用IE打开网页,同样适用NOP大法,10个参数加上call,保存为5.exe。
https://s4.ax1x.com/2022/02/11/HUMAIJ.png
14、至此,一个干干净净的实例一就修改完成了^_^
https://s4.ax1x.com/2022/02/11/HUMZGR.png
伯婆派1 发表于 2022-2-11 13:46
看了,感觉挺厉害的。楼主顺道问下,本人想学编程这类的,文化小学毕业,但是我就是有时间,请楼主可以指条 ...
学编程的话,看是你自己想网哪个方向发展,然后选一门编程语言从基础学起。我自己是delphi用得多点,C++学了一点,不精通,不敢误人子弟{:1_918:} 安伦 发表于 2022-2-13 16:16
您好,被试程序:【吾爱破解培训第二课实例一.exe】,上课的素材有吗。
教程和被试程序都有的,爱盘下载地址:https://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%AE%BA%E5%9D%9B%E5%AE%98%E6%96%B9%E5%85%A5%E9%97%A8%E6%95%99%E5%AD%A6%E5%9F%B9%E8%AE%AD%E7%AC%AC%E4%B8%80%E6%9C%9F/%E3%80%8A%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E5%9F%B9%E8%AE%AD%E7%AC%AC%E4%BA%8C%E8%AF%BE%EF%BC%9A%E5%AE%9E%E6%88%98%E5%8E%BB%E5%B9%BF%E5%91%8A%E3%80%81%E5%BC%B9%E7%AA%97%E5%8F%8A%E4%B8%BB%E9%A1%B5%E9%94%81%E5%AE%9A%E3%80%8B%E8%AE%B2%E5%B8%88%EF%BC%9AKido/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E5%9F%B9%E8%AE%AD%E7%AC%AC%E4%BA%8C%E8%AF%BE%EF%BC%9A%E5%AE%9E%E6%88%98%E5%8E%BB%E5%B9%BF%E5%91%8A%E5%BC%B9%E7%AA%97%E5%8F%8A%E4%B8%BB%E9%A1%B5%E9%94%81%E5%AE%9A.7z 通过这个,可以自主解决弹窗问题了,收藏 wan456 发表于 2022-2-11 11:42
通过这个,可以自主解决弹窗问题了,收藏
感谢支持!{:1_893:} 多谢分享教程,以后碰到类似的软件可以一试了。
chuiyan121 发表于 2022-2-11 12:56
感谢支持!
关注你了,以后有好文章第一时间来拜读 sutramusic 发表于 2022-2-11 13:55
多谢分享教程,以后碰到类似的软件可以一试了。
一起进步:handshake 感谢分享教程 您好,被试程序:【吾爱破解培训第二课实例一.exe】,上课的素材有吗。
页:
[1]
2