The034. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例二
The034. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例二
关于吾爱破解论坛官方入门教学培训第一期,我的学习记录,如有疑问欢迎交流指正。^_^
这节课是实战去程序弹出网页、广告、注册表主页锁定等,算是继脱壳学习之后的第一个实战。
被试程序:【吾爱破解培训第二课实例二.exe】
实例一程序需要修改的地方有4处:
1)程序开启时显示指定网页、2)按钮按下弹出网页、3)程序开启时更改主页、4)20秒自动弹出广告窗口
我没有完全按照kido大牛的教程顺序,而是按照程序打开时网页出来的顺序破解的,比较方便记忆,个人习惯而已。
https://s4.ax1x.com/2022/02/11/Ha5aM4.png
1、查壳,ASPack壳,这种简单壳就不记录脱壳过程了,直接拿已脱壳的程序演示。一定要脱壳,否则查找不到字符串。
https://s4.ax1x.com/2022/02/11/Ha5dsJ.png
2、第一步,去除程序界面显示指定网页。运行程序在网页页面打开属性,可以看到网页地址,OD载入dumped_已脱壳.exe程序,中文搜索,发现了“https://www.52pojie.cn/portal.php”地址。
https://s4.ax1x.com/2022/02/11/Ha5tRU.png
3、双击进入代码区,复制进栈地址00403630,数据窗口Ctrl+G,粘贴地址,回车,找到对应网址全选中,右键二进制填充,00填充,保存程序为1.exe。
https://s4.ax1x.com/2022/02/11/Ha5NzF.png
4、由于我的机器打开程序本来就没有显示网页,运行1.exe后通过页面属性可以发现,网址已经被和谐了。至于kido大牛用资源修改工具去掉网页显示控件,后面学习程序美化修改的时候在记录吧。
https://s4.ax1x.com/2022/02/11/Ha5BZR.png
5、第二步,去掉按钮按下弹出网页。弹出的网页地址为“http://www.52pojie.cn/thread-384195-1-1.html”,这里发现中文搜索里有两个同样地址,我自己测试了一下,第一个修改了没有效果,第二个才是按钮按下弹出网页。修改方法The 033集里有记载。保存文件为2.exe,运行发现按钮按下不弹出网页了。
https://s4.ax1x.com/2022/02/11/Ha5wL9.png
6、第三步,去掉程序开启时更改主页。通过中文搜索的主页地址“http://www.52pojie.cn”,双击到代码区,这里一大块代码都是在操作注册表更改主页。
https://s4.ax1x.com/2022/02/11/Ha5Dd1.png
7、去掉更改主页有两种方法。1)retn大法,简单实用、2)一个一个NOP掉call,比较麻烦。这里采用第一种办法。将代码段首改为retn,跟代码段为的retn对应,这样程序就不会运行中间修改部分的内容了。
https://s4.ax1x.com/2022/02/11/Ha5rIx.png
8、处理完毕后保存文件为3.exe,运行后会发现程序没有再更改主页了。
https://s4.ax1x.com/2022/02/11/Ha56JK.png
9、第四步,20秒后自动弹出广告窗口。右下角弹出的广告窗口虽然没有边框,依然属于一个窗口类型,窗口相关的API有一下4种:1)CreateWindowExA、2)CreateWindowExW、3)DialogBoxParamA、4)DialogBoxParamW。
由于中文搜索窗口搜索到的内容是Unicode类型,所以我下了CreateWindowExW断点,也不知道这么理解是不是对的。
https://s4.ax1x.com/2022/02/11/Ha5yi6.png
然后F9运行后程序就断下了,此时程序并没有运行起来。又F9几次后,OD卡死掉了,目前还不知道怎么选择API下断点才是对的。我又尝试了DialogBoxParamW断点,F9程序运行起来了,等待20秒,OD断下来了,应该就是广告窗口触发了,这里有2种方法去广告弹窗如下:
1)retn大法
https://s4.ax1x.com/2022/02/11/Ha5cRO.png
2)NOP大法
https://s4.ax1x.com/2022/02/11/Ha5gzD.png
10、至此,一个干干净净的实例二就修改完成了^_^
https://s4.ax1x.com/2022/02/11/Ha5RQe.png
感谢分享, 厉害了学习一下 感谢大佬的无私分享
页:
[1]