luoyehome 发表于 2013-6-9 12:14

QQ魔法卡片辅助:魔法小分队_2.0.15(去弹窗)教程

本帖最后由 luoyehome 于 2013-6-9 18:43 编辑

【文章标题】: QQ魔法卡片:魔法小分队 2.0.15(去弹窗)教程
【文章作者】: luoyehome
【作者邮箱】: 351984311@qq.com
【软件名称】:魔法小分队 2.0.15
【软件大小】: 480KB
【下载地址】: http://www.176web.net/software/card.html
【破解版下载】 (最新上传)
【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
【编写语言】: Borland Delphi 6.0 - 7.0
【操作平台】: winxp、win7
【作者声明】: 小试牛刀,把在网上下载的QQ魔法卡片专用的魔法小分队 2.0.15去掉烦人的弹窗
【详细过程】
玩QQ魔法卡片的童鞋有福啦,作为菜鸟的我来给你们送礼物来啦
首先感谢@Shark恒 的教程,让我踏入破解之门
QQ魔法卡片辅助:魔法小分队_2.0.15:自动抽卡炼卡等
在这里我把原版恼人的弹窗广告去掉了,这样就不用因为每次启动软件弹出网页广告而烦心了
原版软件下载地址:http://www.176web.net/software/card.html (打开软件,会弹出随机地址网页,很烦人吧?)


第一步:查壳
下载魔法小分队2.0.15 原版软件
用PEiD查看是否有壳:

可以看出,该软件加的壳为:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
第二步:脱壳
用OD打开魔法小分队2.0.15 原版软件,ESP定律查找OEP入口,操作如下

下硬件断点方法:选择数据窗口中紫色部分->右键 断点->硬件访问->Word
然后F9运行,软件运行到

005602E6    8D4424 80       lea eax,dword ptr ss:      这里按F8
005602EA    6A 00         push 0x0                                          F8
005602EC    39C4            cmp esp,eax                                    F8
005602EE^ 75 FA         jnz X魔法小分.005602EA                   这里选择下一行按F4
005602F0    83EC 80         sub esp,-0x80                                  按两次F4,再按F8到下一行
005602F3^ E9 180AFCFF   jmp 魔法小分.00520D10             按F8跳转看看

经过跳转,我们来到这里

00520D10    55            push ebp
00520D11    8BEC            mov ebp,esp
00520D13    83C4 F0         add esp,-0x10
00520D16    B8 98075200   mov eax,魔法小分.00520798
00520D1B    E8 2C5EEEFF   call 魔法小分.00406B4C
00520D20    A1 207B5200   mov eax,dword ptr ds:

可以看出这就是OEP入口 ,OllyDump脱壳,注意这里修正为 120D10



第三步:修复
我们启动脱壳后的软件,发现

启动提示出错,所以我们还需要用ImportREC修复一下,OEP地址输入上面OllyDump里的地址 120D10 ,修复转储文件后,我们可以看到


这里的“魔法小分队2.0.15_脱壳_”就是我们修复后的文件。
第四步:去软件更新及弹窗广告
OD打开魔法小分队2.0.15_脱壳_.exe
中文搜索引擎->搜索ASCII,查找带有网址的文本字符串

这里很可以,看出来是获取软件的版本等信息与电脑上的软件进行比较,
我们复制打开http://www.179web.com/card/card1.0.xml 看看

可以看出这个xml保存着FileVer 、FileUrl 、FileMd5 、FileOther 、FileStatus 信息
我是采取下面的方法取消软件更新的
http://www.179web.com/card/card1.0.xml这一行,按ENTER键

如上图所示,nop掉以后,软件就获取不到网站上软件版本等信息(这是侥幸破掉的,如有更好方法,请大牛指教,文本字符串里有软件更新成功和更新失败的提示,只是我还没找到方法)

去弹窗
还是在中文搜索引擎->智能搜索要有耐心 找 http://的。

可以看到这里的http://www.179web.com/card/notice_v1.html   很可疑
打开网页看看,显示“广告赞助邮箱:admin@176web.net”,也许你说,这没有什么啊
网页限制了右键功能、限制了选择功能 。不过我们依然可以查看网页源代码,在源代码里您会发现其中有猫腻


<div style="display:none"><script src="http://s13.cnzz.com/stat.php?id=2484297&web_id=2484297" language="JavaScript"></script></div><!-- 这里是统计弹出广告次数的地方-->
<!--iframe src="http://www.179web.com/notice5/popjs.html" style="display:none;"></iframe-->    <!--老版本“魔法辅助器曾经用这代码调用广告” -->
<iframe id="ID_PP" style="display:none"></iframe>
<script type="text/javascript">

(function(){
function getUrlParam(url, param)
{
var re = new RegExp("(\\\?|&)" + param + "=([^&]+)(&|$)", "i");
var m = url.match(re);
if (m)
return m;
else
return '';
}
function _doit(){
      var url = window.location.href + '&nopop=1';
      //window.location.href = url;
}
var v = parseInt(getUrlParam(window.location.href,'nopop'));
if( v != 1 ){
      document.getElementById('ID_PP').src = 'http://www.179web.com/notice5/popjs.html';//改进后用javascript调用这个网页,里面包含很多调用广告的网页文件
      //setTimeout(_doit, 1000*60*10);
}
})()
</script>

好了,现在我们清楚了,我们在中文搜索引擎里http://www.179web.com/card/notice_v1.html那一行按ENTER键

nop掉http://www.179web.com/card/notice_v1.html 所在的行
然后   右键-->复制到可执行文件-->所有修改 ,保存修改后的软件,
现在打开软件看看,哇塞,没有软件更新窗口,没有弹出网页




【版权声明】: 本文原创于luoyehome, 转载请注明作者并保持文章的完整, 谢谢!谢谢@Shark恒 的教程,让我跨入破解之门

                                                       2013年06月09日 12:04:35

736038509 发表于 2013-6-9 12:19

来抢沙发!

phoxicy 发表于 2013-6-9 12:31

虽然我不懂怎么玩,但是还是支持一下你

1354669803 发表于 2013-6-9 12:45

膜拜会去广告的大牛

Shark恒 发表于 2013-6-9 13:02

lyxswgdjd 发表于 2013-6-9 13:15

没玩过的童鞋路过

蚁上火 发表于 2013-6-9 14:13

等教程吧。等

簡簡單單 发表于 2013-6-9 14:17

教程在哪里呢?亲 软件没兴趣教程很有兴趣

老万 发表于 2013-6-9 17:41

好教程,学习了

luoyehome 发表于 2013-6-9 18:03

phoxicy 发表于 2013-6-9 12:31 static/image/common/back.gif
虽然我不懂怎么玩,但是还是支持一下你

谢谢您的支持,我这是第一次发原创,不足之处,请多多指教
页: [1] 2 3 4 5
查看完整版本: QQ魔法卡片辅助:魔法小分队_2.0.15(去弹窗)教程