谈谈如何给软件去广告，不局限在某一软件上面

lkou

在这里，我给大家介绍2个经常会遇到的弹广告去除方法，本文适合去广告初学者观看

使用软件，OD，UltraEdit，HexDecChar，WSE06b1


第一个，QQ餐厅助手
点评：处理起来比较方便，找到网址后，OD里面改retn 或者UE改掉网址都行，推荐前者，节省时间
找到他网址可以使用HTTP://这样的关键字在od里面搜索，或者抓包，我推荐新手使用抓包这个方法
用WSE06b1抓包，等到程序弹出网址后，停止抓包，得到的结果后，往下到最后，看到如下图所示



这个http://ad.qqct999.com/QQCT/code.asp?id=1&v=1.136&u=new 就是广告
OD里面查找所有的http://ad.qqct999.com/QQCT/code.asp，将这些网址所在的区段，全部retn
如下

005BFE90  /.  55            PUSH EBP                   <---------这里retn
005BFE91  |.  8BEC          MOV EBP,ESP
005BFE93  |.  6A 00         PUSH 0
005BFE95  |.  6A 00         PUSH 0
005BFE97  |.  6A 00         PUSH 0
005BFE99  |.  53            PUSH EBX
005BFE9A  |.  56            PUSH ESI
005BFE9B  |.  8BF1          MOV ESI,ECX
005BFE9D  |.  8BDA          MOV EBX,EDX
005BFE9F  |.  33C0          XOR EAX,EAX
005BFEA1  |.  55            PUSH EBP
005BFEA2  |.  68 7BFF5B00   PUSH QQ餐厅助.005BFF7B
005BFEA7  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
005BFEAA  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
005BFEAD  |.  8BC3          MOV EAX,EBX
005BFEAF  |.  48            DEC EAX
005BFEB0  |.  99            CDQ
005BFEB1  |.  F7FE          IDIV ESI
005BFEB3  |.  8BC2          MOV EAX,EDX
005BFEB5  |.  8D55 FC       LEA EDX,DWORD PTR SS:[EBP-4]
005BFEB8  |.  E8 B7A4E4FF   CALL QQ餐厅助.0040A374
005BFEBD  |.  803D A9375D00>CMP BYTE PTR DS:[5D37A9],0
005BFEC4  |.  74 3A         JE SHORT QQ餐厅助.005BFF00
005BFEC6  |.  68 90FF5B00   PUSH QQ餐厅助.005BFF90                      ;  http://bakad.qqct999.com/QQCT/code.asp?id=
005BFECB  |.  FF75 FC       PUSH DWORD PTR SS:[EBP-4]
005BFECE  |.  68 C4FF5B00   PUSH QQ餐厅助.005BFFC4                      ;  &v=
005BFED3  |.  A1 90EF5C00   MOV EAX,DWORD PTR DS:[5CEF90]
005BFED8  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
005BFEDA  |.  8B80 10030000 MOV EAX,DWORD PTR DS:[EAX+310]
005BFEE0  |.  FFB0 88010000 PUSH DWORD PTR DS:[EAX+188]
005BFEE6  |.  68 D0FF5B00   PUSH QQ餐厅助.005BFFD0                      ;  &u=
005BFEEB  |.  FF35 C4375D00 PUSH DWORD PTR DS:[5D37C4]
005BFEF1  |.  8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
005BFEF4  |.  BA 06000000   MOV EDX,6
005BFEF9  |.  E8 6E50E4FF   CALL QQ餐厅助.00404F6C
005BFEFE  |.  EB 38         JMP SHORT QQ餐厅助.005BFF38
005BFF00  |>  68 DCFF5B00   PUSH QQ餐厅助.005BFFDC                      ;  http://ad.qqct999.com/QQCT/code.asp?id=
005BFF05  |.  FF75 FC       PUSH DWORD PTR SS:[EBP-4]
005BFF08  |.  68 C4FF5B00   PUSH QQ餐厅助.005BFFC4                      ;  &v=
005BFF0D  |.  A1 90EF5C00   MOV EAX,DWORD PTR DS:[5CEF90]
005BFF12  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
005BFF14  |.  8B80 10030000 MOV EAX,DWORD PTR DS:[EAX+310]
005BFF1A  |.  FFB0 88010000 PUSH DWORD PTR DS:[EAX+188]
005BFF20  |.  68 D0FF5B00   PUSH QQ餐厅助.005BFFD0                      ;  &u=
005BFF25  |.  FF35 C4375D00 PUSH DWORD PTR DS:[5D37C4]
005BFF2B  |.  8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]

改完后，右键选择保存到文件，就可以了

---------------------------------------------------------------------------------------

上面介绍的是用OD来实现去广告
下面说说使用UltraEdit来实现去广告


QQ农场牧场偷匪
这个程序用OD来去广告，会非常麻烦，不信的可以试试看

还是老规矩，抓包
结果如下




ad.qqceo.net/toufei.asp AD就是广告的意思，那这个就是广告了，
直接使用HexDecChar把ad.qqceo.net转换为unicode格式的HEX（ASCII是找不到的，不信可以试试看）

610064002E0071007100630065006F002E006E0065007400

使用UE查找，将会找到多出，全部改为你期望的网址，注意空格和.的区别，这里我们全部改为本地localhost
例如




保存后，运行，程序弹窗没有了，不过进入主界面后，还有个狗皮膏药在
同样抓包，得到网址http://www.qqceo.net/toufei2.htm
处理方法同上
至此，广告已经处理完毕，是不是很简单呢


如果有无法脱壳的程序怎么办，那就打内存补丁，原始数据和修改后的数据在OD里面都可以看到

-------------------------------

目前这2种方案使用率较高
另外还有一个直接使用ShellExecute来弹广告的，我很少看到了，这种东西的处理方法可以参考方案1，也可以od动态调试下ShellExecute断点来断

半米阳光

yh6201 发表于 2011-1-31 22:20
既然能retn   为什么不把那个call 给nop掉呢   或者直接用个下跳转等等方法呢？    retn还有其他什么特别之 ...

可能是嫌找那个call的出口麻烦，直接给retn，retn和跳转的效果一样，你用跳转还要去找具体地址，如果地址错了，那就悲催了，而retn不需要

半米阳光

我试过去qq家园助手的广告，但没成功。郁闷。里面那个网址可能加密了，我只用od找了，没用winhex。

wspili

谢谢  我去试一下

online

学习中
谢谢楼主，辛苦！

Smoke

膜拜lkou牛·

xacs

谢谢lkou 版主分享去广告经验。

76840041

还是不懂，真的

qq20048888

好东西就要顶啊./,.学习了.

huangshaojian

好实用的方法，学习了。

luiyi61

对精通的人来说简单，对我们新手来说，难了点，要是出个小视频，呵呵，嘿嘿，就爽了

两汉文化

厉害，老大哥就是水平高，答疑的几个问题都是我最近已高的或者准备想搞的。学习到饿了