好友
阅读权限10
听众
最后登录1970-1-1
|
吾爱培训第二课实例二:去除内置广告和浏览器主页篡改-笔记
来源
Bilibili视频
吾爱破解论坛官方入门教学培训第一期开始啦!【已更新到第十课】 - 吾爱破解 - 52pojie.cn
《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido - 吾爱破解 - 52pojie.cn
课程示例下载
描述
有一个内置的网页框,同时会自动锁定浏览器主页,20秒后右下角会弹出广告
去除篡改主页
- 首先, 使用中文搜索的智能搜索, 简单猜测并分析一下搜索结果
- 双击进入
004019E2, 发现整整一个函数都是对注册表的操作(从004019D0到00401AA9)
- 考虑直接使用
retn大法, 在函数开头处直接返回(注意你的retn要和原来的段尾的retn写得一模一样, 否则会堆栈不平衡)
- 保存程序, 测试程序, 成功完成第一步
去掉内置窗口
- 使用
Restorator工具打开程序, 选择"对话框", "102"
- 点击"ab按钮(
F6)"
- 选中中间隐形的部分, 就是我们的内置广告, 将右边的"可视"取消勾选
- 另存文件
- 运行程序, 发现广告已经不显示了, 但事实上程序还在后台访问网站占用资源
- 拖入OD, 查找字符串, 找到吾爱破解网址
- 进入
00401C4A, 复制push的地址00403630
- 点击左下角内存窗口,
Ctrl+G进入刚才复制的地址
- 右键, 用00填充
- 保存文件, 窗口成功彻底去除
去除弹窗广告
载入到OD, 给CreateWindowExA/W, DialogBoxAPI下断点(本实例使用DialogBoxParamW)
这里只下DialogBoxParamW
运行程序, 观察断下来的堆栈窗口, 回车进入
直接nop掉下列选中的弹窗语句或者头部retn掉
这里直接修改头部, 保存文件, 弹窗成功去除
Q&A
Q: 程序没有使用我们熟知的API怎么办?
A: 使用Procmon程序, 可以监视进程的所有操作, 包括修改注册表等等
|
-
image-20241205194840352.png
(52 KB, 下载次数: 1)
-
image-20241205195145457.png
(37.74 KB, 下载次数: 1)
-
image-20241205195341329.png
(41.9 KB, 下载次数: 1)
-
image-20241205200331492.png
(48.88 KB, 下载次数: 1)
-
image-20241205200526200.png
(73.62 KB, 下载次数: 1)
-
image-20241205200700878.png
(53 KB, 下载次数: 1)
-
image-20241205201426905.png
(255.65 KB, 下载次数: 0)
-
image-20241205203055685.png
(85.44 KB, 下载次数: 1)
-
image-20241205201259245.png
(135.6 KB, 下载次数: 1)
-
image-20241205201107186.png
(83.27 KB, 下载次数: 1)
-
image-20241205200803840.png
(58.25 KB, 下载次数: 1)
-
image-20241205202917159.png
(197.09 KB, 下载次数: 1)
-
image-20241205202744169.png
(34.17 KB, 下载次数: 1)
-
image-20241205202105440.png
(168.02 KB, 下载次数: 1)
-
image-20241205200244382.png
(64.36 KB, 下载次数: 1)
-
image-20241205201909209.png
(173.13 KB, 下载次数: 1)
-
image-20241205195621650.png
(32.18 KB, 下载次数: 1)
-
image-20241205203547666.png
(379.87 KB, 下载次数: 1)
|
发表于 2024-12-6 08:27
|
发表于 2024-12-6 16:07
|楼主
收藏
淘帖
有用
分享到朋友圈
