关于软件关闭后自动打开网页
今天下了个高兴IP段查询(软件见附件,壳已经脱完了),每当关闭该软件后它会自动打开它的主页,烦啊~~~~~~~~(作者免费给大家用软件,帮作者的网站增加人气也是应该的,不过总开网页确实让人受不了)小鸟我决定找出它的关键CALL,爆破关键跳,关掉该死的网页弹出(由于小鸟刚刚接触破解,可能小鸟的想法是错误的)
脱壳,修复,一阵鼓捣之后,壳壳脱之
OD载入,查看ASCII,从上到下找调用网页地址等之类的关键点(小鸟水平有限,或许小鸟已经看到了,只是没发现),没找到/:010,弄的是一头雾水/:010 。
后来仔细想想,当点击完“关闭”按钮后,网页就会自动打开,这里关闭按钮应该有一个关键调用(“按钮事件”也不知叫的对不对,呵呵),可小鸟我水平有限实在参不透了/:002 ,望大家能点化一下小鸟,先谢谢了/:018
[ 本帖最后由 lansemumuyu 于 2008-9-18 16:46 编辑 ] bp ShellExecuteA
很容易断下的,然后修改即可。
0040E2BA FF15 4C104000 call near dword ptr ds:[<&msvbvm60.__vbaHresul>; msvbvm60.__vbaHresultCheckObj
0040E2C0 8B55 E4 mov edx, dword ptr ss:
0040E2C3 6A 01 push 1
0040E2C5 57 push edi ; ntdll.7C930738
0040E2C6 57 push edi ; ntdll.7C930738
0040E2C7 8D45 E0 lea eax, dword ptr ss:
0040E2CA 52 push edx ; ntdll.KiFastSystemCallRet
0040E2CB 50 push eax
0040E2CC FF15 AC114000 call near dword ptr ds:[<&msvbvm60.__vbaStrToA>; msvbvm60.__vbaStrToAnsi
0040E2D2 50 push eax
0040E2D3 57 push edi ; ntdll.7C930738
0040E2D4 57 push edi ; ntdll.7C930738
0040E2D5 E8 E69CFFFF call SoIp.00407FC0
0040E2DA FF15 48104000 call near dword ptr ds:[<&msvbvm60.__vbaSetSys>; msvbvm60.__vbaSetSystemError
从0040E2C0到0040E2D5都是弹网页的代码,所以0040E2C0改jmp 0040E2DA就可以去掉关闭时的网页。
[ 本帖最后由 rxzcums 于 2008-9-18 17:03 编辑 ] 原帖由 rxzcums 于 2008-9-18 16:55 发表 https://www.chinapyg.com/images/common/back.gif
bp ShellExecuteA
很容易断下的,然后修改即可。
谢谢了,又让我知道了一个断点 原帖由 rxzcums 于 2008-9-18 16:55 发表 https://www.chinapyg.com/images/common/back.gif
bp ShellExecuteA
很容易断下的,然后修改即可。
从0040E2C0到0040E2D5都是弹网页的代码,所以0040E2C0改jmp 0040E2DA就可以去掉关闭时的网页。
谢谢,真的很感谢 客气了
弹网页基本都是这个断点,学到新东西就好。 原帖由 rxzcums 于 2008-9-18 16:55 发表 https://www.chinapyg.com/images/common/back.gif
bp ShellExecuteA
很容易断下的,然后修改即可。
我的OD为什么下bp ShellExecuteA是未知标识符呢??(我在百度搜索了,找不到答案,我也没在前面多加bp,我直接把bp ShellExecuteA复制进去的)
谢谢 要先运行程序再下断~
可能是程序运行后才载入那个api的缘故
断下后看堆栈返回或alt+f9返回
[ 本帖最后由 rxzcums 于 2008-9-18 17:15 编辑 ] 原帖由 rxzcums 于 2008-9-18 17:14 发表 https://www.chinapyg.com/images/common/back.gif
要先运行程序再下断~
可能是程序运行后才载入那个api的缘故
断下后看堆栈返回或alt+f9返回
谢谢,今天学到好多东西 有没有直接把下断的各个定义写出来的???? 有些断函数不止用在一种方法上。
页:
[1]
2