关于作业二的一点疑惑
下面记述一下我做的过程,请各位大神看看问题出在哪里了其他广告都能搞定,下图箭头指的那处广告却一直出错,请帮忙分析一下原因
要去除的广告:
我使用PROCMON过滤了这个程序的联网和创建进程
然后打开软件点击了这个广告
在PROCMON下面看到是创建了PROCESS调用了浏览器并给了网址参数
开OD拖进去程序,设置断点API两个,CREATEPROCESSA/W
运行开始跑程序,出现程序界面,点击下部的广告链接
OD断在一个CREATEPROCESSA处,右键这个API在汇编窗口跟随
在汇编窗口中找到这段代码,将整个CALL和前面的PUSH全部NOP掉
然后复制选择,保存文件,这时候出现的是保存DLL,不是EXE的程序
以上是全过程,到最后没有达到目的,请教群里大神说是断在了系统领空
我对这个系统领空,程序领空的概念不是很了解,以上的操作过程也不知道这样做是对不对
麻烦各位大神能指点迷津,多谢{:1_893:}{:1_893:}{:1_893:}
本帖最后由 niuniu919 于 2015-7-24 21:27 编辑
把这两个内容分开干掉,第一个网址用re把框拉掉,后面的用c32填充掉,把弹出的文字和链接的网址都填充掉。当然大神们还有更好的方法。 你看一下od的最上面的标题栏,你贴的第一张、第二张上面是lookcode这就是程序领空,其它的什么kernel32、shell32.dll都是系统领空了。
系统领空中断可能会有其他进程的调用(我这样认为,不知道对不对)。
断到系统领空要按alt-f9回到程序领空再调试。 搜索那段字符串,既可以定位到大概位置了,你可以nop掉或者段首看看能不能跳过去 遇到同样的问题,有没有大神帮忙解决~~~
页:
[1]