某辅助软件的去广告笔记
好久没有发新帖了,一直在研究C#编程开发和逆向,闲来无事玩玩游戏,也开发了两个游戏辅助软件,偶然翻库存找到了一个古董级的辅助软件,每次打开都会弹网页,所以就逆向了一下,经过不懈的努力终于是搞定了,所以将成果分享.### 注意,这个软件是某人PJ版,但是加了调料了(懂的都懂),VirusTotal检测其中41个引擎显示有威胁(经测试对系统无威胁)
检测报告地址:https://www.virustotal.com/gui/file/283e77fda6848b42a9ce7e570b6558c34630ccdfaee6648285eed39e4e9a6e6f
### 由于技术能力有限,没办法清除恶意代码,所以希望各位大神展示自己的一技之长,接力完成净化任务,在此谢过.
使用软件:
1.Detect It Easy v3.06(查壳,PE结构分析)
2.2.IDA PRO 7.6汉化版
3.x64dbg-2022.11.26-zh_Chs
4.PEExplorer_v1.99.6.1400_Chs(PE结构分析,资源修改)
软件下载地址:(base64)
aHR0cHM6Ly93d3cubmV3YXNwLmNvbS9mdXpodS82ODg4Ni5odG1s
## 1.查壳
总结:软件本身显示无壳,但是两个区段显示已加壳()希望大神能解答一下原因,不胜感激!),但是软件入口点明显异常,且包含附加区段(作用不详).
## 2.IDA PRO修改方法(入门级)
载入
直接查找字符串
CTRL+F打开搜索框,然后输入弹出网页的关键字
先分析第一个连接(经修改测试无效)
点击地址
结构图
F5转换为伪代码
更改汇编代码视图模式
汇编代码
继续分析第二个链接
点击跳转到目标代码
定位关键代码
标记跳转位置
分析代码行为,确定修改内容
汇编方式修改代码
修改到目标地址
第二处也一并修改
保存修改后的文件
根据需要选择是否需要备份文件
退出后可以选择不保存调试数据
总结:IDA PRO的伪代码个人比较喜欢,通过汇编方式修改跳转来跳过弹网页代码.
## 3.x64dbg修改方法(入门级)
查找字符串
直接定位第二个链接的代码为止
选择网页弹窗部分代码,直接NOP掉
保存修改后的文件
保存的时候记得加上扩展名哦
总结:OD的批量NOP功能是真心好用
## 4.修改界面
这里我就不上图了,大家可以自定义调整大小和按钮布局,删除控件目前由于个人技术有限还不能实现,所以知识隐藏了主界面的帮助按钮.
#在此希望各位大神能出一个修改入口点和删除附加区段的教程,让我们这帮小白也学习学习,感谢!
最后总结:
综合技术越强,可以做的事情越多,这个软件的破解原理到现在我也没弄懂,不过经过测试如果在跳转的地方开始一直NOP到跳转的位置软件就显示未注册,具体也搞不清楚原因
个人技术能力有限,对PE结构和汇编结构了解少之又少,望各位前辈推荐一些资料或者教程,补充一下对PE结构原理和修改方法的知识. 感谢分享!
最近想整一下finalshell升级屏蔽,但这玩意是java写的,一脸懵逼,有大佬有兴趣吗? 不知道用了啥玩意的混淆,把OEP几行代码偷了,直接代码段设置执行访问就能到OEP附近,看代码特征就是VC6的,直接补上几行代码,其中两行push的常数从堆栈中很容易获得,补好后修改一下OEP地址就行了,应该外面的区段都可以删除了。
00406DD9 55 push ebp
00406DDA 8BEC mov ebp,esp
00406DDC 6A FF push -0x1
00406DDE 68 F8E14000 push 0040E1F8
00406DE3 68 68934000 push 00409368
00406DE8 64:A1 00000000 mov eax,dword ptr fs:
00406DEE 50 push eax
00406DEF 64:8925 00000000 mov dword ptr fs:,esp
00406DF6 83EC 58 sub esp,0x58
00406DF9 53 push ebx
00406DFA 56 push esi
00406DFB 57 push edi
00406DFC 8965 E8 mov dword ptr ss:,esp 支持下原创! 感谢分享 感谢分享 感谢分享 收藏学习,感谢 还没使用,但感觉很实用的样子,谢谢楼主无私分享 学习一下 谢谢楼主分享 膜拜大神{:1_932:} 学习一下 谢谢楼主分享