吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7242|回复: 109
收起左侧

[原创] 某辅助软件的去广告笔记

  [复制链接]
gksj 发表于 2022-12-2 00:43

好久没有发新帖了,一直在研究C#编程开发和逆向,闲来无事玩玩游戏,也开发了两个游戏辅助软件,偶然翻库存找到了一个古董级的辅助软件,每次打开都会弹网页,所以就逆向了一下,经过不懈的努力终于是搞定了,所以将成果分享.

注意,这个软件是某人PJ版,但是加了调料了(懂的都懂),VirusTotal检测其中41个引擎显示有威胁(经测试对系统无威胁)

检测报告地址:https://www.virustotal.com/gui/file/283e77fda6848b42a9ce7e570b6558c34630ccdfaee6648285eed39e4e9a6e6f

由于技术能力有限,没办法清除恶意代码,所以希望各位大神展示自己的一技之长,接力完成净化任务,在此谢过.

使用软件:
1.Detect It Easy v3.06(查壳,PE结构分析)
2.2.IDA PRO 7.6汉化版
3.x64dbg-2022.11.26-zh_Chs
4.PEExplorer_v1.99.6.1400_Chs(PE结构分析,资源修改)

软件下载地址:(base64)
aHR0cHM6Ly93d3cubmV3YXNwLmNvbS9mdXpodS82ODg4Ni5odG1s

1.查壳

查壳

查壳

区段信息

区段信息

区段信息

区段信息

区段信息

区段信息

总结:软件本身显示无壳,但是两个区段显示已加壳()希望大神能解答一下原因,不胜感激!),但是软件入口点明显异常,且包含附加区段(作用不详).

2.IDA PRO修改方法(入门级)

载入
sshot-1.png

直接查找字符串
sshot-2.png

CTRL+F打开搜索框,然后输入弹出网页的关键字
sshot-3.png

先分析第一个连接(经修改测试无效)
点击地址
sshot-4.png

结构图
sshot-5.png

F5转换为伪代码
sshot-6.png

更改汇编代码视图模式
sshot-7.png

汇编代码
sshot-8.png

继续分析第二个链接
sshot-9.png

点击跳转到目标代码
sshot-10.png

定位关键代码
sshot-11.png

标记跳转位置
sshot-12.png

分析代码行为,确定修改内容
sshot-13.png

汇编方式修改代码
sshot-14.png

修改到目标地址
sshot-15.png

第二处也一并修改
sshot-16.png
sshot-17.png

保存修改后的文件
sshot-18.png

根据需要选择是否需要备份文件
sshot-19.png
sshot-20.png
sshot-21.png

退出后可以选择不保存调试数据
sshot-22.png

总结:IDA PRO的伪代码个人比较喜欢,通过汇编方式修改跳转来跳过弹网页代码.

3.x64dbg修改方法(入门级)

查找字符串
sshot-23.png
sshot-24.png

直接定位第二个链接的代码为止
sshot-25.png

选择网页弹窗部分代码,直接NOP掉
sshot-26.png
sshot-27.png

保存修改后的文件
sshot-28.png
sshot-29.png

保存的时候记得加上扩展名哦
sshot-30.png
sshot-31.png

总结:OD的批量NOP功能是真心好用

4.修改界面

这里我就不上图了,大家可以自定义调整大小和按钮布局,删除控件目前由于个人技术有限还不能实现,所以知识隐藏了主界面的帮助按钮.

在此希望各位大神能出一个修改入口点和删除附加区段的教程,让我们这帮小白也学习学习,感谢!



最后总结:
综合技术越强,可以做的事情越多,这个软件的破解原理到现在我也没弄懂,不过经过测试如果在跳转的地方开始一直NOP到跳转的位置软件就显示未注册,具体也搞不清楚原因
个人技术能力有限,对PE结构和汇编结构了解少之又少,望各位前辈推荐一些资料或者教程,补充一下对PE结构原理和修改方法的知识.

免费评分

参与人数 24吾爱币 +28 热心值 +21 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Emma007 + 1 谢谢@Thanks!
3min + 1 + 1 谢谢@Thanks!
笙若 + 1 + 1 谢谢@Thanks!
muchenxi + 1 我很赞同!
leotime + 1 谢谢@Thanks!
SSBB007 + 1 热心回复!
huiker231 + 2 + 1 欢迎继续分享经验
Reswage + 1 我很赞同!
抱薪风雪雾 + 1 + 1 谢谢@Thanks!
安道尔的鱼 + 1 + 1 谢谢@Thanks!
小涛哥 + 1 + 1 用心讨论,共获提升!
shi2iyang + 1 + 1 我很赞同!
darklure + 1 + 1 热心回复!
mafei3709 + 1 + 1 我很赞同!
xyg10300 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wangyftr + 1 我很赞同!
arctan1 + 1 + 1 用心讨论,共获提升!
debug_cat + 1 + 1 谢谢@Thanks!
yp17792351859 + 1 + 1 用心讨论,共获提升!
xuanshixh + 1 + 1 我很赞同!
zfyln + 1 + 1 我很赞同!
Ll001 + 1 + 1 我很赞同!
为之奈何? + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

1553438690 发表于 2022-12-2 11:32
感谢分享!
最近想整一下finalshell升级屏蔽,但这玩意是java写的,一脸懵逼,有大佬有兴趣吗?
Hmily 发表于 2022-12-29 10:34
不知道用了啥玩意的混淆,把OEP几行代码偷了,直接代码段设置执行访问就能到OEP附近,看代码特征就是VC6的,直接补上几行代码,其中两行push的常数从堆栈中很容易获得,补好后修改一下OEP地址就行了,应该外面的区段都可以删除了。

[Asm] 纯文本查看 复制代码
00406DD9    55                 push ebp
00406DDA    8BEC               mov ebp,esp
00406DDC    6A FF              push -0x1
00406DDE    68 F8E14000        push 0040E1F8
00406DE3    68 68934000        push 00409368
00406DE8    64:A1 00000000     mov eax,dword ptr fs:[0]
00406DEE    50                 push eax
00406DEF    64:8925 00000000   mov dword ptr fs:[0],esp
00406DF6    83EC 58            sub esp,0x58
00406DF9    53                 push ebx
00406DFA    56                 push esi
00406DFB    57                 push edi
00406DFC    8965 E8            mov dword ptr ss:[ebp-0x18],esp
yao84 发表于 2022-12-2 05:21
弗由 发表于 2022-12-2 06:52
感谢分享
风火木林 发表于 2022-12-2 06:56
感谢分享
xingxunuo 发表于 2022-12-2 07:33
感谢分享
zhengxinjun 发表于 2022-12-2 07:45
收藏学习,感谢
Cosette982 发表于 2022-12-2 07:50
还没使用,但感觉很实用的样子,谢谢楼主无私分享
jokaka 发表于 2022-12-2 07:55
学习一下 谢谢楼主分享
chizha 发表于 2022-12-2 08:06
膜拜大神
阿昊哥哥 发表于 2022-12-2 08:10
学习一下 谢谢楼主分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 04:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表