干掉多余的菜单项 研究:
今天 要干掉的是,上面的这个菜单项;
1,开OD超强字串搜索,搜索什么?先F9,点击看出啥下菜呗~~
出如下网址:http://bbs.anjian.com/api/profileapizsctest.php?action=login&date=fA%3D%3D&relin=aHR0cDovL2Jicy52cmJyb3RoZXJzLmNvbS9mb3J1bWRpc3BsYXkucGhwP2ZpZD0yNw%3D%3D
于是得
00466768 .68 8C608300 push 0083608C ;http://zy.anjian.com/api/memberapitest.php?action=login&date=%s&relin=%s
00487828 .68 8C608300 push 0083608C ;http://zy.anjian.com/api/memberapitest.php?action=login&date=%s&relin=%s
下断,
拦不下!{:301_977:}
2.特高科情报有误,那就接着找情报。
虽然按键精灵主程序是VC的,但你知道不?跟html还有VB关系重大,主界面上的新手上路,设置反馈按钮,底部 广告条,还有其他的都是调用HTML实现的~~
上面的红色箭头,英文不错的,一定能读懂吧~~
明明白白的在那里述说着,我叫什么?打算干什么?
接下来394 395 资源ID中 可以看到,尝试把鼠标移到“反馈按钮”上,果然带下画线的出来了,这就是上面为啥断不下来的原因了。
好的,存盘。下面接着调试。
本帖最后由 冥界3大法王 于 2014-3-9 20:19 编辑
沙发,收回,且不能叫 大水娃们,占去{:301_981:}{:301_978:}{:301_1006:}
http://www.52pojie.cn/static/image/hrline/line8.png
接下来,不知啥函数API,所以拼人品,姑且继续搜索 menu字样,你能看到很多toolbar menu botton 之类的字样,全部F2,ctrl+f2,F9
第1个断下,来到
0053EBC0 > \68 20C08300 push 0083C020 ;CBCGPToolbarMenuButton
记录之
第2个
0055A7F0 > \68 30C58300 push 0083C530 ;CBCGPPopupMenu
3
005857E0 > \68 C8CB8300 push 0083CBC8 ;CBCGPTasksPaneMenuButton
4 第4个出现在广告条之后,要当心了
0052C109|.68 80BB8300 push 0083BB80 ;MENU
0052C109|.68 80BB8300 push 0083BB80 ;MENU
又一次
又是两次
00522504|> \68 98D28300 push 0083D298 ;CBCGPPopupMenuBar
004889D0 .B8 409C7700 mov eax, 00779C40 ;CQMacroToolbarMenuButton
太多了,直接F9 N次
让它到界面中,如果“反馈字样”变成带下划线被拦下,就拦到了第二态的原形,第1 原始态的那个也就不远了。
效果 还是非常不明显,
我们来个狠招,让它快速达到那个地点
用exescope把那张图片 导出来,然后用winhex修改一字节完事再导入回,然后再比对下,看能否实现?
99 99 88 66{:301_978:} 够毒辣不?楼下的吸血鬼同学,您说呢?
咱们放大三倍够味了不?
搜索 不同
1. H:\按键精灵9\补丁FOR XP________________2 winhex内部底下广告_拯救+人家的JMP.exe: 9,645,608 字节
2. H:\按键精灵9\狠毒搞法.exe: 9,645,608 字节
Offsets: 十六进制
505258: FF 90
505259: FF F3
50525A: FF 4D
50525B: BF 09
50525C: A8 09
50525D: 64 00
50525E: FF 98
50525F: FF 00
505260: FF 98
505261: BF 78
505262: A8 70
505263: 64 09
505264: BF 98
505265: A8 78
505266: 64 78
505267: BF 67
505268: A8 66
505269: 64 55
50526A: BF 64
50526B: A8 55
50526C: 64 44
21 不同 被发现。
我们把这个“毒辣.exe” 用OD load,go on our game.
00505258 .8B36 mov esi, dword ptr
向上找 0050523E .E8 E51A0000 call <jmp.&MFC42.#CString::CString_53>
不管了,直接全F2上~~
发现字串界面那个位图确实有变化,但还是无法断下,说明一个问题,下手晚了。离目标可能有点远~
我们回到winhex,alt+g,505258,
我们来到 字段前面,发现一个怪字符,跟winhex修改BMP时看到的差不多
地址是505138
,又没成功,我们把修改位置 换在类似PE头开始处,
于是
看到了这种东西,前几天干掉了某XX delphi的广告菜单项,所以这种位置不陌生~~
但是依然,没有断下来,
我们这次用 最毒辣,最阴毒,最流氓,最无耻的技能,就像吸血鬼日记中一样,死了还能再活,活了还能再死,楼下的吸血鬼同学他可能最懂了~~{:301_1001:}
我们直接用Restorator把资源文件咔嚓了,看它不报错才怪~~
00508421|.E8 E4000000 call <jmp.&MSVCRT._initterm>
程序完蛋,切入点!
不远处,向上找到后K掉,竟然成功了。
藤椅我来了 {:1_918:}其实36就看到这帖子 没抢而已。 {:1_937:}下次一定抢了! 看着太高僧了 表示看完只知道大概 没技术 真是可怜.........
页:
[1]