本帖最后由 lkou 于 2011-8-12 10:35 编辑
估计用偷匪的很多人都不会逆向,所以我先说个超傻瓜方法吧,使用此法可以完美去除偷匪系列的广告
首先对偷匪抓包,得到广告网址为ad.6k6.com
然后打开IE浏览器,选择 工具-internet选项,在安全选项卡中,选择受限站点,然后点一下默认级别,如果点不了的话,就不用点了
再点击站点按钮,添加http://ad.6k6.com 确定就行了,这样,偷匪就没各种广告了,也不会有啥盗版提示了。
--------------------------我是分割线-------------------------------------------------
前几天得知偷匪有检测去广告版本,也就是提示盗版,那时候我就换成保姆了,偷匪实在功能太弱,不过貌似现在还有很多人用,那我就整个完美的方法出来吧,下面写的会比较繁琐,如果不高兴看的话,直接看这贴就行了http://www.unpack.cn/thread-68429-1-1.html
下面以QQ农牧偷匪 3.0.7.810 为例
我们已经知道了,如果修改http://ad.6k6.com/i1.htm这个网址的话,那么程序就会提示盗版
不知道是谁说是程序比较网址长度,那么请你吧http://ad.6k6.com/i1.htm改为http://ad.6k6.com/i2.htm看看是否提示盗版
修改这个网址后,运行,程序会提示更新后再强制打开一个网址,我们可以直接下MessageBoxW或者ShellExecuteW断下来,
断下后可以发现如下代码004233D4 . E8 C79DFEFF CALL qqnmtf.0040D1A0
004233D9 > 68 307B4C00 PUSH qqnmtf.004C7B30 ; 有狗粮不偷:【%s】土地[%d]上的【%s】
004233DE . 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
004233E2 . E8 19BFFEFF CALL qqnmtf.0040F300
**************省略垃圾代码****************************
0042345D . 68 18934C00 PUSH qqnmtf.004C9318 ; http://ad.6k6.com/i1.htm
00423462 . 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28]
00423466 . E8 95BEFEFF CALL qqnmtf.0040F300
0042346B . C68424 500100>MOV BYTE PTR SS:[ESP+150],5
00423473 . 53 PUSH EBX
00423474 . 6A 0A PUSH 0A
00423476 . 8D4C24 38 LEA ECX,DWORD PTR SS:[ESP+38]
0042347A . 51 PUSH ECX
***************省略垃圾代码**********************
004234C2 . 895C24 2C MOV DWORD PTR SS:[ESP+2C],EBX
004234C6 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
004234C8 . 50 PUSH EAX
004234C9 . E8 76DE0600 CALL qqnmtf.00491344
004234CE . 83C4 04 ADD ESP,4
004234D1 . C64424 1F 01 MOV BYTE PTR SS:[ESP+1F],1
004234D6 . 83F8 01 CMP EAX,1
004234D9 . 74 05 JE SHORT qqnmtf.004234E0 这个可以理解为是否已经访问过该网址了,没访问就不跳,
004234DB > C64424 1F 00 MOV BYTE PTR SS:[ESP+1F],0 赐值0之后,下面的00423525就会跳到处理盗版的地方了,所以上面的需要JMP,比较好的方法是处理这个地方,可以NOP,也可以赐值为1
004234E0 > C78424 500100>MOV DWORD PTR SS:[ESP+150],6
004234EB . F6C3 02 TEST BL,2
004234EE . 74 10 JE SHORT qqnmtf.00423500
004234F0 . 83E3 FD AND EBX,FFFFFFFD
004234F3 . 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28]
004234F7 . 895C24 2C MOV DWORD PTR SS:[ESP+2C],EBX
004234FB . E8 303EFEFF CALL qqnmtf.00407330
00423500 > C78424 500100>MOV DWORD PTR SS:[ESP+150],5
0042350B . F6C3 01 TEST BL,1
0042350E . 74 10 JE SHORT qqnmtf.00423520
00423510 . 83E3 FE AND EBX,FFFFFFFE
00423513 . 8D4C24 30 LEA ECX,DWORD PTR SS:[ESP+30]
00423517 . 895C24 2C MOV DWORD PTR SS:[ESP+2C],EBX
0042351B . E8 103EFEFF CALL qqnmtf.00407330
00423520 > 807C24 1F 00 CMP BYTE PTR SS:[ESP+1F],0
00423525 . 0F84 A2000000 JE qqnmtf.004235CD
0042352B . C68424 500100>MOV BYTE PTR SS:[ESP+150],3
00423533 . 8D4C24 24 LEA ECX,DWORD PTR SS:[ESP+24]
00423537 . E8 F43DFEFF CALL qqnmtf.00407330
***************省略垃圾代码**********************
004235C5 . 5F POP EDI
004235C6 . 5E POP ESI
004235C7 . 5D POP EBP
004235C8 . 5B POP EBX
004235C9 . 8BE5 MOV ESP,EBP
004235CB . 5D POP EBP
004235CC . C3 RETN 注意这个retn,代表执行完毕
004235CD > C68424 500100>MOV BYTE PTR SS:[ESP+150],3
004235D5 . 8D4C24 24 LEA ECX,DWORD PTR SS:[ESP+24]
004235D9 . E8 523DFEFF CALL qqnmtf.00407330
004235DE > C68424 500100>MOV BYTE PTR SS:[ESP+150],2
***************省略垃圾代码**********************
0042361F . 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28]
00423623 . E8 789BFEFF CALL qqnmtf.0040D1A0
00423628 > 68 50934C00 PUSH qqnmtf.004C9350 ; 当前账号已经掉线,是否尝试重新登陆?\r\n\r\n选择【否】退出程序\r\n\r\n提示:如遇掉线,请适当调高牧场延时;若频繁掉线,可能因为TX更新,请暂停使用,等待软件更新
0042362D . 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28]
00423631 . E8 CABCFEFF CALL qqnmtf.0040F300
***************省略垃圾代码**********************
00423673 . 8B4C24 20 MOV ECX,DWORD PTR SS:[ESP+20]
00423677 . 8B5424 24 MOV EDX,DWORD PTR SS:[ESP+24]
0042367B . 6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
0042367D . 51 PUSH ECX ; |Title
0042367E . 52 PUSH EDX ; |Text
0042367F . 55 PUSH EBP ; |hOwner
00423680 . FF15 F4A54B00 CALL DWORD PTR DS:[<&USER32.MessageBoxW>>; \MessageBoxW 弹信息框了哦
00423686 . 68 F8934C00 PUSH qqnmtf.004C93F8 ; http://appbase.qzone.qq.com/cgi-bin/index/appbase_run_unity.cgi?appid=353&max=0&uin=%s&keyname=353¶ms=&qz_style=1&canvastype
0042368B . 8D4C24 34 LEA ECX,DWORD PTR SS:[ESP+34]
0042368F . E8 6CBCFEFF CALL qqnmtf.0040F300
00423694 . C68424 500100>MOV BYTE PTR SS:[ESP+150],0B
0042369C . 68 98394C00 PUSH qqnmtf.004C3998 ; http://farm.qzone.qq.com/cgi-bin/cgi_farm_reward_beast
004236A1 . 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
***************省略垃圾代码**********************
00423E33 . E8 F834FEFF CALL qqnmtf.00407330
00423E38 . 6A 01 PUSH 1 ; /IsShown = 1
00423E3A . 6A 00 PUSH 0 ; |DefDir = NULL
00423E3C . 8B4C24 30 MOV ECX,DWORD PTR SS:[ESP+30] ; |
00423E40 . 6A 00 PUSH 0 ; |Parameters = NULL
00423E42 . 51 PUSH ECX ; |FileName
00423E43 . 68 707B4C00 PUSH qqnmtf.004C7B70 ; |open
00423E48 . 6A 00 PUSH 0 ; |hWnd = NULL
00423E4A . FF15 B8A34B00 CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; \ShellExecuteW 弹网页了哦~
00423E50 . 68 58B34D00 PUSH qqnmtf.004DB358
00423E55 . 8D5424 50 LEA EDX,DWORD PTR SS:[ESP+50]
00423E59 . 52 PUSH EDX
00423E5A . C74424 54 FFF>MOV DWORD PTR SS:[ESP+54],0FFFFFF
00423E62 . E8 F5F00600 CALL qqnmtf.00492F5C
随后,以前咋改的,现在还是咋改,程序永远不会提示盗版了
另外还有个修改方法,来到如下位置
00425350 . 56 PUSH ESI
00425351 . 8BF1 MOV ESI,ECX
00425353 . E8 DFB40500 CALL qqnmtf.00480837
00425358 . 6A 00 PUSH 0
0042535A . 6A 00 PUSH 0
0042535C . 6A 00 PUSH 0
0042535E . 6A 00 PUSH 0
00425360 . 6A 00 PUSH 0
00425362 . 68 18934C00 PUSH qqnmtf.004C9318 ; http://ad.6k6.com/i1.htm
00425367 . 8BCE MOV ECX,ESI
00425369 . E8 DEA40500 CALL qqnmtf.0047F84C 这个call里面是处理字符串的长度
0042536E . B8 01000000 MOV EAX,1
00425373 . 5E POP ESI
00425374 . C3 RETN
最后我还是建议大家使用我一开始提到的傻瓜方法,一劳永逸,永远无需担心程序内置或者外置的各种验证
全文完 By Lkou[LCG] 2011.08.11
| 
发表于 2011-8-11 10:22
发表于 2011-8-11 10:46
发表于 2011-8-12 08:29
学习了哈,不用外挂狠久了