可以修改为其他的嘛?
谢谢了 【文章标题】: 去掉NAG+广告
【加壳方式】: 无
【编写语言】: Microsoft Visual Basic 5.0 / 6.0
【使用工具】: peid0.94,OllyDBG1.10
【操作平台】: WindowsXP+SP2
【软件介绍】: 注册QQ号
【作者声明】: 尝试性写作,有失误之处还请海涵!
--------------------------------------------------------------------------------
【详细过程】
PEiD查壳为Microsoft Visual Basic 5.0 / 6.0,没有加壳,是VB的程序。运行一下软件,有提示框,之后访问一网站。
好了,有提示框就好办了,OD载入,忽略所有异常,F9运行,发现有异常,000006BA和000006D9两处,添加到自定义异
常处。由于是VB程序,我们下bp rtcMsgBox这个断点,F9运行,程序被断下来
73472F29 >55 PUSH EBP //程序被断在此处
73472F2A 8BEC MOV EBP,ESP
73472F2C 83EC 4C SUB ESP,4C
73472F2F 8B4D 14 MOV ECX,DWORD PTR SS:
ALT+F9返回,弹出提示框,点确定。
0040C727 .6A 40 PUSH 40
0040C729 .52 PUSH EDX
0040C72A .FF15 8C104000 CALL DWORD PTR DS:[<&MSVBVM60.#595>] ;MSVBVM60.rtcMsgBox
0040C730 .8D45 9C LEA EAX,DWORD PTR SS: //程序来到此处
0040C733 .8D4D AC LEA ECX,DWORD PTR SS:
我们来个懒办法吧,直接把0040C72A这句NOP掉就没有提示框了。接下来去掉访问网络,我们F8单步跟踪。
0040C796 .50 PUSH EAX
0040C797 .52 PUSH EDX
0040C798 .E8 EBACFFFF CALL freeQQ.00407488 //这个函数就是访问网站的!
0040C79D .FF15 60104000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaSetSy>;MSVBVM60.__vbaSetSystemError
0040C7A3 .8D45 E4 LEA EAX,DWORD PTR SS:
当我们跟踪到0040C79D时,自动弹出网站,可见是0040C798这里调用了函数,还是懒办法NOP掉0040C798这行。
最后复制所有修改,保存文件。运行一下,OK,没有弹窗也不访问网络了!
--------------------------------------------------------------------------------
【经验总结】
没什么大不了了,高手看了嘿嘿一笑。
关键:VB程序要用rtcMsgBox这个函数拦截消息窗口,用MessageBoxA是拦不下来的~~其次就是单步跟踪,在出现问题的地方进行修改。
最后要说的就是,我们也可以跳过这些函数来达到目的,有兴趣的自己实践一下吧!
--------------------------------------------------------------------------------
回复 12# 的帖子
如果我想修改这个广告怎么做啊。。改为其他的广告。。 感觉改过后无法使用了。。。 向12楼的同志学习 谢谢大家0.. 进来学习一下, 很好啊,改后可以用
页:
1
[2]