吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1997|回复: 3
收起左侧

[讨论] The034. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例二

[复制链接]
chuiyan121 发表于 2022-2-11 18:00

The034. 吾爱培训,《02:实战去广告、弹窗及主页锁定》讲师:Kido 实例二
关于吾爱破解论坛官方入门教学培训第一期,我的学习记录,如有疑问欢迎交流指正。^_^
这节课是实战去程序弹出网页、广告、注册表主页锁定等,算是继脱壳学习之后的第一个实战。

被试程序:【吾爱破解培训第二课实例二.exe】
实例一程序需要修改的地方有4处:
1)程序开启时显示指定网页、2)按钮按下弹出网页、3)程序开启时更改主页、4)20秒自动弹出广告窗口
我没有完全按照kido大牛的教程顺序,而是按照程序打开时网页出来的顺序破解的,比较方便记忆,个人习惯而已。


1、查壳,ASPack壳,这种简单壳就不记录脱壳过程了,直接拿已脱壳的程序演示。一定要脱壳,否则查找不到字符串。


2、第一步,去除程序界面显示指定网页。运行程序在网页页面打开属性,可以看到网页地址,OD载入dumped_已脱壳.exe程序,中文搜索,发现了“https://www.52pojie.cn/portal.php”地址。


3、双击进入代码区,复制进栈地址00403630,数据窗口Ctrl+G,粘贴地址,回车,找到对应网址全选中,右键二进制填充,00填充,保存程序为1.exe。


4、由于我的机器打开程序本来就没有显示网页,运行1.exe后通过页面属性可以发现,网址已经被和谐了。至于kido大牛用资源修改工具去掉网页显示控件,后面学习程序美化修改的时候在记录吧。


5、第二步,去掉按钮按下弹出网页。弹出的网页地址为“http://www.52pojie.cn/thread-384195-1-1.html”,这里发现中文搜索里有两个同样地址,我自己测试了一下,第一个修改了没有效果,第二个才是按钮按下弹出网页。修改方法The 033集里有记载。保存文件为2.exe,运行发现按钮按下不弹出网页了。


6、第三步,去掉程序开启时更改主页。通过中文搜索的主页地址“http://www.52pojie.cn”,双击到代码区,这里一大块代码都是在操作注册表更改主页。


7、去掉更改主页有两种方法。1)retn大法,简单实用、2)一个一个NOP掉call,比较麻烦。这里采用第一种办法。将代码段首改为retn,跟代码段为的retn对应,这样程序就不会运行中间修改部分的内容了。


8、处理完毕后保存文件为3.exe,运行后会发现程序没有再更改主页了。


9、第四步,20秒后自动弹出广告窗口。右下角弹出的广告窗口虽然没有边框,依然属于一个窗口类型,窗口相关的API有一下4种:1)CreateWindowExA、2)CreateWindowExW、3)DialogBoxParamA、4)DialogBoxParamW。
由于中文搜索窗口搜索到的内容是Unicode类型,所以我下了CreateWindowExW断点,也不知道这么理解是不是对的。

然后F9运行后程序就断下了,此时程序并没有运行起来。又F9几次后,OD卡死掉了,目前还不知道怎么选择API下断点才是对的。我又尝试了DialogBoxParamW断点,F9程序运行起来了,等待20秒,OD断下来了,应该就是广告窗口触发了,这里有2种方法去广告弹窗如下:
1)retn大法

2)NOP大法


10、至此,一个干干净净的实例二就修改完成了^_^



免费评分

参与人数 3吾爱币 +3 热心值 +2 收起 理由
开心的一逼 + 1 + 1 热心回复!
lhr349 + 1 + 1 我很赞同!
jaffa + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

小懒虫丶 发表于 2022-2-11 19:06
感谢分享,
wuyusen 发表于 2022-2-11 19:02
wqs0987 发表于 2022-2-11 21:20
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 22:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表