网站 › 『脱壳破解区』 › QQ伴侣 V2.43去弹窗广告教程,,,高手飘过

81665488 发表于 2009-10-3 22:51

QQ伴侣 V2.43去弹窗广告教程,,,高手飘过

本帖最后由 81665488 于 2009-11-8 12:25 编辑

偶不太清楚给19楼的朋友的回复是否有用词不当的.还希望19楼的朋友和版主理解如果版主觉得偶有用词不当的行为那就麻烦版主帮忙改一下把.嘻嘻,或通知我一声俺自己改
回复22楼的朋友
http://www.52pojie.cn/attachments/month_0911/09110812192f218ae6139e13fb.gif
软件名称:QQ伴侣
准备工具:PEID,OllyDbg,LordPE,ImportREC.

首先使用PEID查壳结果为
ASPack 2.12 -> Alexey Solodovnikov
004FF001    60            pushad                \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000   call QQ伴侣.004FF00A
004FF007- E9 EB045D45   jmp 45ACF4F7
004FF00C    55            push ebp
004FF00D    C3            retn
004FF00E    E8 01000000   call QQ伴侣.004FF014
004FF013    EB 5D         jmp short QQ伴侣.004FF072
004FF015    BB EDFFFFFF   mov ebx,-13
004FF01A    03DD            add ebx,ebp
004FF01C    81EB 00F00F00   sub ebx,0FF000
004FF022    83BD 22040000 0>cmp dword ptr ss:,0
004FF029    899D 22040000   mov dword ptr ss:,ebx
004FF02F    0F85 65030000   jnz QQ伴侣.004FF39A
004FF035    8D85 2E040000   lea eax,dword ptr ss:
004FF03B    50            push eax
004FF03C    FF95 4D0F0000   call dword ptr ss:
004FF042    8985 26040000   mov dword ptr ss:,eax
004FF048    8BF8            mov edi,eax
004FF04A    8D5D 5E         lea ebx,dword ptr ss:
004FF04D    53            push ebx
ESP定律......
00401360    68 401A4000   push QQ伴侣.00401A40                     ; ASCII "VB5!6&vb6chs.dll"\\程序的入口...
00401365    E8 EEFFFFFF   call QQ伴侣.00401358                     ; jmp 到 msvbvm60.ThunRTMain
0040136A    0000            add byte ptr ds:,al
0040136C    40            inc eax
打开LordPE 选中你OD载入的QQ伴侣进程...右键单击,修正镜像大小,右键单击,完整转存,保存.关闭LordPE 打开ImportREC选中你OD载入的QQ伴侣进程 OEP地址 00401360-00400000=1360我们在OPE添1360就可以了 自动查找IAT,获取输入表,显示无效函数,修复转存文件,选择你刚才保存的程序OK脱壳完成
第二步 去自校验.
OD载入刚才修复好的文件
00401360 > $68 401A4000   push dumped_.00401A40                           ;ASCII "VB5!6&vb6chs.dll"
00401365   .E8 EEFFFFFF   call <jmp.&msvbvm60.ThunRTMain>
0040136A   .0000          add byte ptr ds:,al
0040136C   .40            inc eax
我们Ctrl+G00403A84下面就是大小验证的地方了,我们先随便找一个空数据的地址汇编成 retn 然后记下你修改的地址,,,
我修改的地址是0046CFFF着个地址...编辑的时候要倒着写,,,我修改的地址就变成了FF CF 46 00
00403A84   \02124000      dd <jmp.&msvbvm60.rtcFileLen>\\来到这里,Ctrl+E编辑把你修改的地址写上(FF CF 46 00)
之后右键单击,复制可执行文件-所有修改-全部复制,右键单击,保存文件-保存.
第三部去弹窗广告
伴侣在我的电脑没见弹窗出来:rggrg
如果要去除右上角的广告条
004154B0      68            db      68
改为
004154B0      00            db      00
就可以了
llpplplp 发表于 2009-10-25 19:40 http://www.52pojie.cn/images/common/back.gif
大家要是找不到地址可以Ctrl+B输入68 00 00 00 02查找即可
没有技术含量,,,高手飘过....

262111430 发表于 2009-10-4 02:58

支持个！··

老万 发表于 2009-10-4 08:12

本帖最后由 老万 于 2009-10-4 09:19 编辑

2# 262111430


004FF001    60            pushad \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000   call QQ伴侣.004FF00A
004FF007- E9 EB045D45   jmp 45ACF4F7
004FF00C    55            push ebp
004FF00D    C3            retn
004FF00E    E8 01000000   call QQ伴侣.004FF014
004FF013    EB 5D         jmp short QQ伴侣.004FF072
高手，我用OD调试到上边，用ESP定律后，OD就死了，请高手指点一下？
但是，我用ESP定律3次，就可搞定，但是不知道楼主是怎么找到自校验的？

xiehuis 发表于 2009-10-4 09:15

顶一个！！！！！！！！

llpplplp 发表于 2009-10-4 11:23

其实QQ伴侣只会在第一次运行的时候出现设置首页窗口，因此不会造成什么困扰
如果要去掉首次运行时出现的设置首页窗口，代码在下面

:0045594F0404FF            FLdRfVar            ;Push LOCAL_00FC
:00455952FBD9F4FE          FnAbsVar            ;
:004559562814FF0500      LitVarI2            ;PushVarInteger 0005
:0045595B5D                HardType            ;
:0045595CFB4D            LeVarBool         ;
:0045595E36040038FF04FF    FFreeVar            ;Free 0004/2 variants
:004559651C7C05            BranchF             ;If Pop=0 then ESI=00455980，这个是关键跳，程序前面利用GetSetting()函数取得相关注册表键值，并在这里进行比较，如果键值存在则继续往下走，否则跳到00455980处利用SaveSetting()将相关信息写入注册表，并显示设置首页对话框
:004559680015            LargeBos            ;
:0045596A2714FF            LitVar            ;PushVar LOCAL_00EC
:0045596D25                PopAdLdVar          ;
:0045596E2748FF            LitVar            ;PushVar LOCAL_00B8
:0045597125                PopAdLdVar          ;
:00455972053700            ImpAdLdRf         ;Push ptr
:00455975243800            NewIfNullPr         ;
:004559780DB0023900      VCallHresult      ;Call ptr_004133D8
:0045597D1E6406            Branch            ;ESI=00455A68
:004559800002            LargeBos            ;
:004559820096            LargeBos            ;
:00455984F501000000      LitI4               ;Push 00000001
:004559890438FF            FLdRfVar            ;Push LOCAL_00C8

程序运行会读取注册表HKEY_CURRENT_USER\Software\VB and VBA Program Settings\UU23Soft\soft\QQBanlv_HomePage下的值，该值存放的是程序第一次运行时间，不存在则显示设置首页对话框

P-code编译的程序，有点晕乎乎的~~

xujunlin5588 发表于 2009-10-4 11:30

谢谢LZ。我也懂了一点。
用C32真好修改

paulbaby3000 发表于 2009-10-4 11:44

2# 262111430


004FF001    60            pushad \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000   call QQ伴侣.004FF00A
004FF007- E9 EB045D45   jmp 45ACF4 ...
老万 发表于 2009-10-4 08:12 http://www.52pojie.cn/images/common/back.gif

隐藏OD

GCCG 发表于 2009-10-4 12:46

楼主是否将http://2523.com/taoke这个去除呢？

81665488 发表于 2009-10-4 13:43

本帖最后由 81665488 于 2009-11-7 22:43 编辑

5# llpplplp
其实QQ伴侣只会在第一次运行的时候出现设置首页窗口，因此不会造成什么困扰
如果要去掉首次运行时出现的设置首页窗口，代码在下面

:0045594F0404FF            FLdRfVar            ;Push LOCAL_00FC
:004559 ...
llpplplp 发表于 2009-10-4 11:23 http://www.52pojie.cn/images/common/back.gif

多些达人指点一二了,下去44...如果真弄好了那俺也跟大家分享分享
才疏学浅...研究失败...-_-,

speedboy 发表于 2009-10-4 16:02

支持原创。

查看完整版本: QQ伴侣 V2.43去弹窗广告教程,,,高手飘过