不脱壳去偷鸡小分队和收割小分队弹窗！

j4444 · 发表于 2010-10-20 20:04

本帖最后由 j4444 于 2010-10-20 20:07 编辑

一时无聊之作！

直接od加载后运行，之后转到00401000 ，查字符串！！
之后找类似广告的地址自己在IE试试，最终我试到       收割小分队8.18

0041218D    68 D49F4800     push 收割小分.00489FD4                       ; ASCII "http://www.179web.com/farm/notice.html?v=%d"

看在push压入的地址了吧！！这个就是广告地址（弹窗也在里面），因为没脱壳，所以不能直接修改那个地址，那我们怎么办呢？答案就系随便给个内存地址它，等它打开错误的网页！咔咔。。。

我修改了如下：

0041218D    68 D4BF4800     push 收割小分.0048BFD4

之后去做补丁，点知道lpk补丁一加载就错误，天啊！！~~~换回exe内存补丁，得左！！！以后无弹窗了，真舒服，哈哈！！！

偷鸡小分队2.29的去广告同样道理！！！

004094DA    68 E81B4900     push 偷鸡小分.00491BE8                       ; http://www.179web.com/mc/notice_v3.html?src=mc&v=%d_%d

修改为

004094DA    68 E87B4900     push 偷鸡小分.00497BE8

whwh300 · 发表于 2010-10-20 20:24

学习了

落花 · 发表于 2010-10-20 20:28

红茶消失很久了复苏了。。。

j4444 · 发表于 2010-10-20 20:32

回复 3# 落花

最近忙工作，忙拍拖，搞新房，没多少时间上网，生活啊！~

lkou · 发表于 2010-10-20 20:34

一起牛的软件加的是VMP的壳，我这里OD跑起后总是无法显示正确的内存位置，都是DD DE这种，擦
其它VMP的壳倒是正常

532098613 · 发表于 2010-10-20 21:30

提示: 作者被禁止或删除内容自动屏蔽

tiduswill · 发表于 2010-10-21 02:28

新版本能用吗?

532098613 · 发表于 2010-10-21 07:02

提示: 作者被禁止或删除内容自动屏蔽

chen123456 · 发表于 2010-10-21 07:49

这也是一招，不错！！

xie83544109 · 发表于 2010-10-21 08:03

[s:209]
找了好久都没搞定，让楼主给秒杀了

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 不脱壳去偷鸡小分队和收割小分队弹窗！