lkou 发表于 2011-2-20 15:39

P2P终结者 去广告(含提权)

唔,这程序没中文字符串,不过有些英文字符串可以使用
查找Software\Microsoft\Internet Explorer\Main,因为他要设置为某网址为首页,才可以使用最高权限

可以找到2个


00406B99|.6A 02         PUSH 2
00406B9B|.51            PUSH ECX
00406B9C|.50            PUSH EAX
00406B9D|.6A 01         PUSH 1
00406B9F|.68 2C745C00   PUSH p2pover.005C742C                  ;Start Page
00406BA4|.68 00745C00   PUSH p2pover.005C7400                  ;Software\Microsoft\Internet Explorer\Main\
00406BA9|.FF15 C0355800 CALL DWORD PTR DS:[<&SHLWAPI.SHRegSetUSV>;SHLWAPI.SHRegSetUSValueA
00406BAF|.834D FC FF    OR DWORD PTR SS:,FFFFFFFF
00406BB3|.8D4D 08       LEA ECX,DWORD PTR SS:
00406BB6|.E8 A54E1400   CALL p2pover.0054BA60
00406BBB|.8B4D F4       MOV ECX,DWORD PTR SS:



00406C41|.50            PUSH EAX
00406C42|.8D45 EC       LEA EAX,DWORD PTR SS:
00406C45|.50            PUSH EAX
00406C46|.68 2C745C00   PUSH p2pover.005C742C                  ;Start Page
00406C4B|.68 00745C00   PUSH p2pover.005C7400                  ;Software\Microsoft\Internet Explorer\Main\
00406C50|.FF15 BC355800 CALL DWORD PTR DS:[<&SHLWAPI.SHRegGetUSV>;SHLWAPI.SHRegGetUSValueA
00406C56|.85C0          TEST EAX,EAX
00406C58|.75 0F         JNZ SHORT p2pover.00406C69
00406C5A|.8D85 E4FDFFFF LEA EAX,DWORD PTR SS:
00406C60|.8D4D F0       LEA ECX,DWORD PTR SS:
00406C63|.50            PUSH EAX
00406C64|.E8 804F1400   CALL p2pover.0054BBE9
00406C69|>8B4D 08       MOV ECX,DWORD PTR SS:
使用的API分别是SHLWAPI.SHRegSetUSValueA和SHLWAPI.SHRegGetUSValueA

看到红字了么,第一个是设置主页,第2个是获取,那明显第2个才是我们需要改的地方
直接retn掉,运行程序看看?


下面来去掉他的弹广告窗
最简单的方法是抓个包,得到http://www.netsoft2005.com/cfg/40/today.dat这个网址
直接找到


004088F7      B8 C0175700   MOV EAX,p2pover.005717C0
004088FC|.E8 8B4D0200   CALL p2pover.0042D68C
00408901|.81EC 14010000 SUB ESP,114
00408907|.A1 58865C00   MOV EAX,DWORD PTR DS:
0040890C|.53            PUSH EBX
0040890D|.56            PUSH ESI
0040890E|.57            PUSH EDI
0040890F|.8BF1          MOV ESI,ECX
00408911|.8945 F0       MOV DWORD PTR SS:,EAX
00408914|.8365 FC 00    AND DWORD PTR SS:,0
00408918|.8D4D E0       LEA ECX,DWORD PTR SS:
0040891B|.E8 868FFFFF   CALL p2pover.004018A6
00408920|.80A5 E0FEFFFF>AND BYTE PTR SS:,0
00408927|.6A 3F         PUSH 3F
00408929|.59            POP ECX
0040892A|.33C0          XOR EAX,EAX
0040892C|.8DBD E1FEFFFF LEA EDI,DWORD PTR SS:
00408932|.68 14705C00   PUSH p2pover.005C7014                  ;pvt.dat
00408937|.F3:AB         REP STOS DWORD PTR ES:
00408939|.FF35 64835D00 PUSH DWORD PTR DS:
0040893F|.C645 FC 01    MOV BYTE PTR SS:,1
00408943|.66:AB         STOS WORD PTR ES:
00408945|.AA            STOS BYTE PTR ES:
00408946|.8D45 F0       LEA EAX,DWORD PTR SS:
00408949|.68 106E5C00   PUSH p2pover.005C6E10                  ;%s%s
0040894E|.50            PUSH EAX
0040894F|.E8 FEFF1300   CALL p2pover.00548952
00408954|.83C4 10       ADD ESP,10
00408957|.8D4D E0       LEA ECX,DWORD PTR SS:
0040895A|.6A 01         PUSH 1
0040895C|.FF75 F0       PUSH DWORD PTR SS:
0040895F|.E8 AB8FFFFF   CALL p2pover.0040190F
00408964|.68 30750000   PUSH 7530                              ; /Arg3 = 00007530
00408969|.68 BC6F5C00   PUSH p2pover.005C6FBC                  ; |delay
0040896E|.68 E0755C00   PUSH p2pover.005C75E0                  ; |today
00408973|.8D4D E0       LEA ECX,DWORD PTR SS:            ; |
00408976|.E8 0193FFFF   CALL p2pover.00401C7C                  ; \p2pover.00401C7C
0040897B|.8986 7C050000 MOV DWORD PTR DS:,EAX
00408981|.BB FF000000   MOV EBX,0FF
00408986|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
0040898C|.53            PUSH EBX                                 ; /Arg5 => 000000FF
0040898D|.50            PUSH EAX                                 ; |Arg4
0040898E|.BF 086E5C00   MOV EDI,p2pover.005C6E08               ; |牵l摁
00408993|.68 B4755C00   PUSH p2pover.005C75B4                  ; |http://www.netsoft2005.com/cfg/40/today.dat
00408998|.57            PUSH EDI                                 ; |Arg2 => 005C6E08 ASCII "url"
00408999|.68 E0755C00   PUSH p2pover.005C75E0                  ; |today
0040899E|.8D4D E0       LEA ECX,DWORD PTR SS:            ; |
004089A1|.E8 8A92FFFF   CALL p2pover.00401C30                  ; \p2pover.00401C30
004089A6|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
004089AC|.8D8E 80050000 LEA ECX,DWORD PTR DS:
004089B2|.50            PUSH EAX
004089B3|.E8 31321400   CALL p2pover.0054BBE9
004089B8|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
004089BE|.53            PUSH EBX                                 ; /Arg5
004089BF|.50            PUSH EAX                                 ; |Arg4
004089C0|.68 88755C00   PUSH p2pover.005C7588                  ; |http://www.netsoft2005.com/cfg/40/quit.dat
004089C5|.57            PUSH EDI                                 ; |Arg2
004089C6|.68 80755C00   PUSH p2pover.005C7580                  ; |quit
004089CB|.8D4D E0       LEA ECX,DWORD PTR SS:            ; |
004089CE|.E8 5D92FFFF   CALL p2pover.00401C30                  ; \p2pover.00401C30
004089D3|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
004089D9|.8D8E 84050000 LEA ECX,DWORD PTR DS:
004089DF|.50            PUSH EAX
004089E0|.E8 04321400   CALL p2pover.0054BBE9
004089E5|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
004089EB|.53            PUSH EBX                                 ; /Arg5
004089EC|.50            PUSH EAX                                 ; |Arg4
004089ED|.68 68755C00   PUSH p2pover.005C7568                  ; |http://www.moxia.net/
004089F2|.57            PUSH EDI                                 ; |Arg2
004089F3|.68 5C755C00   PUSH p2pover.005C755C                  ; |homepage
004089F8|.8D4D E0       LEA ECX,DWORD PTR SS:            ; |
004089FB|.E8 3092FFFF   CALL p2pover.00401C30                  ; \p2pover.00401C30
00408A00|.8D85 E0FEFFFF LEA EAX,DWORD PTR SS:
00408A06|.8D8E 88050000 LEA ECX,DWORD PTR DS:
00408A0C|.50            PUSH EAX
00408A0D|.E8 D7311400   CALL p2pover.0054BBE9
00408A12|.8065 FC 00    AND BYTE PTR SS:,0
00408A16|.8D4D E0       LEA ECX,DWORD PTR SS:
00408A19|.E8 B88EFFFF   CALL p2pover.004018D6
00408A1E|.834D FC FF    OR DWORD PTR SS:,FFFFFFFF
00408A22|.8D4D F0       LEA ECX,DWORD PTR SS:
00408A25|.E8 36301400   CALL p2pover.0054BA60
00408A2A|.8B4D F4       MOV ECX,DWORD PTR SS:
00408A2D|.5F            POP EDI
00408A2E|.5E            POP ESI
00408A2F|.5B            POP EBX
00408A30|.64:890D 00000>MOV DWORD PTR FS:,ECX
00408A37|.C9            LEAVE
00408A38\.C3            RETN
老规矩,段首retn

整个世界清静了!!!!!

Lkou原创与吾爱破解,如需转载,请保存文章完整性

PS,写这玩意纯粹是学到了另一个注册表断点

wspili 发表于 2011-2-20 15:43

嗯支持一下   不容易 啊

yjd333 发表于 2011-2-20 15:51

本帖最后由 yjd333 于 2011-2-20 15:52 编辑

记得还有个dll专门处理广告。还加在主程序的导入表里。去掉的话会使启动速度快很多。
之前网上的都没处理启动慢了不少

当时想用补丁方式来实现那个导入表失效,可惜太菜,最后只能改主程序囧

lkou 发表于 2011-2-20 16:07

这样啊,这软件为毛加那么多广告呢,干脆收费算了。。

sujianbei 发表于 2011-2-20 16:14

谢谢楼主的分享。

q2785031 发表于 2011-2-20 16:21

太牛了。。。。。哎

yaheiho 发表于 2011-2-20 17:03

看得我一头蒙蒙的 不懂..

liweisp 发表于 2011-2-20 17:35

跟别人合用网线这东西挺好的 就是防火墙无力啊

wqccj 发表于 2011-2-20 17:52

谢谢楼主,分享了.......

33549896 发表于 2011-2-22 11:41

lkou 我喜欢你的东西,都是在家身边常用的。呵呵。
页: [1] 2
查看完整版本: P2P终结者 去广告(含提权)