谈谈如何给软件去广告,不局限在某一软件上面
本帖最后由 lkou 于 2011-1-25 10:07 编辑在这里,我给大家介绍2个经常会遇到的弹广告去除方法,本文适合去广告初学者观看
使用软件,OD,UltraEdit,HexDecChar,WSE06b1
第一个,QQ餐厅助手
点评:处理起来比较方便,找到网址后,OD里面改retn 或者UE改掉网址都行,推荐前者,节省时间
找到他网址可以使用HTTP://这样的关键字在od里面搜索,或者抓包,我推荐新手使用抓包这个方法
用WSE06b1抓包,等到程序弹出网址后,停止抓包,得到的结果后,往下到最后,看到如下图所示
这个http://ad.qqct999.com/QQCT/code.asp?id=1&v=1.136&u=new 就是广告
OD里面查找所有的http://ad.qqct999.com/QQCT/code.asp,将这些网址所在的区段,全部retn
如下
005BFE90/.55 PUSH EBP <---------这里retn
005BFE91|.8BEC MOV EBP,ESP
005BFE93|.6A 00 PUSH 0
005BFE95|.6A 00 PUSH 0
005BFE97|.6A 00 PUSH 0
005BFE99|.53 PUSH EBX
005BFE9A|.56 PUSH ESI
005BFE9B|.8BF1 MOV ESI,ECX
005BFE9D|.8BDA MOV EBX,EDX
005BFE9F|.33C0 XOR EAX,EAX
005BFEA1|.55 PUSH EBP
005BFEA2|.68 7BFF5B00 PUSH QQ餐厅助.005BFF7B
005BFEA7|.64:FF30 PUSH DWORD PTR FS:
005BFEAA|.64:8920 MOV DWORD PTR FS:,ESP
005BFEAD|.8BC3 MOV EAX,EBX
005BFEAF|.48 DEC EAX
005BFEB0|.99 CDQ
005BFEB1|.F7FE IDIV ESI
005BFEB3|.8BC2 MOV EAX,EDX
005BFEB5|.8D55 FC LEA EDX,DWORD PTR SS:
005BFEB8|.E8 B7A4E4FF CALL QQ餐厅助.0040A374
005BFEBD|.803D A9375D00>CMP BYTE PTR DS:,0
005BFEC4|.74 3A JE SHORT QQ餐厅助.005BFF00
005BFEC6|.68 90FF5B00 PUSH QQ餐厅助.005BFF90 ;http://bakad.qqct999.com/QQCT/code.asp?id=
005BFECB|.FF75 FC PUSH DWORD PTR SS:
005BFECE|.68 C4FF5B00 PUSH QQ餐厅助.005BFFC4 ;&v=
005BFED3|.A1 90EF5C00 MOV EAX,DWORD PTR DS:
005BFED8|.8B00 MOV EAX,DWORD PTR DS:
005BFEDA|.8B80 10030000 MOV EAX,DWORD PTR DS:
005BFEE0|.FFB0 88010000 PUSH DWORD PTR DS:
005BFEE6|.68 D0FF5B00 PUSH QQ餐厅助.005BFFD0 ;&u=
005BFEEB|.FF35 C4375D00 PUSH DWORD PTR DS:
005BFEF1|.8D45 F8 LEA EAX,DWORD PTR SS:
005BFEF4|.BA 06000000 MOV EDX,6
005BFEF9|.E8 6E50E4FF CALL QQ餐厅助.00404F6C
005BFEFE|.EB 38 JMP SHORT QQ餐厅助.005BFF38
005BFF00|>68 DCFF5B00 PUSH QQ餐厅助.005BFFDC ;http://ad.qqct999.com/QQCT/code.asp?id=
005BFF05|.FF75 FC PUSH DWORD PTR SS:
005BFF08|.68 C4FF5B00 PUSH QQ餐厅助.005BFFC4 ;&v=
005BFF0D|.A1 90EF5C00 MOV EAX,DWORD PTR DS:
005BFF12|.8B00 MOV EAX,DWORD PTR DS:
005BFF14|.8B80 10030000 MOV EAX,DWORD PTR DS:
005BFF1A|.FFB0 88010000 PUSH DWORD PTR DS:
005BFF20|.68 D0FF5B00 PUSH QQ餐厅助.005BFFD0 ;&u=
005BFF25|.FF35 C4375D00 PUSH DWORD PTR DS:
005BFF2B|.8D45 F8 LEA EAX,DWORD PTR SS:
改完后,右键选择保存到文件,就可以了
---------------------------------------------------------------------------------------
上面介绍的是用OD来实现去广告
下面说说使用UltraEdit来实现去广告
QQ农场牧场偷匪
这个程序用OD来去广告,会非常麻烦,不信的可以试试看
还是老规矩,抓包
结果如下
ad.qqceo.net/toufei.asp AD就是广告的意思,那这个就是广告了,
直接使用HexDecChar把ad.qqceo.net转换为unicode格式的HEX(ASCII是找不到的,不信可以试试看)
610064002E0071007100630065006F002E006E0065007400
使用UE查找,将会找到多出,全部改为你期望的网址,注意空格和.的区别,这里我们全部改为本地localhost
例如
保存后,运行,程序弹窗没有了,不过进入主界面后,还有个狗皮膏药在
同样抓包,得到网址http://www.qqceo.net/toufei2.htm
处理方法同上
至此,广告已经处理完毕,是不是很简单呢
如果有无法脱壳的程序怎么办,那就打内存补丁,原始数据和修改后的数据在OD里面都可以看到
-------------------------------
目前这2种方案使用率较高
另外还有一个直接使用ShellExecute来弹广告的,我很少看到了,这种东西的处理方法可以参考方案1,也可以od动态调试下ShellExecute断点来断
yh6201 发表于 2011-1-31 22:20
既然能retn 为什么不把那个call 给nop掉呢 或者直接用个下跳转等等方法呢? retn还有其他什么特别之 ...
可能是嫌找那个call的出口麻烦,直接给retn,retn和跳转的效果一样,你用跳转还要去找具体地址,如果地址错了,那就悲催了,而retn不需要 我试过去qq家园助手的广告,但没成功。郁闷。里面那个网址可能加密了,我只用od找了,没用winhex。 谢谢我去试一下 学习中
谢谢楼主,辛苦! {:1_918:}膜拜lkou牛· 谢谢lkou 版主分享去广告经验。 还是不懂,真的 好东西就要顶啊./,.学习了. 好实用的方法,学习了。 对精通的人来说简单,对我们新手来说,难了点,要是出个小视频,呵呵,嘿嘿,就爽了 厉害,老大哥就是水平高,答疑的几个问题都是我最近已高的或者准备想搞的。学习到饿了