学习脱壳破解去广告疑惑求解
工作忙,断断续续学习破解基础,现有问题请教大家,希望指点一二~~这里也给爱好学习朋友及pyg朋友拜个年了!!
////正题
这几天没事找了个QQ记牌棋可是广告好几个,能力有限只能去掉关闭弹窗~~~
下载软件后,查壳,ASPack 2.12 -> Alexey Solodovnikov,脱壳后正常运行,查壳Borland Delphi 6.0 - 7.0,文件下其他所有dll文件全部加ASPack 2.12 -> Alexey Solodovnikov!
OD载入主程序QQJPQ运行,下断点bp ShellExeCuteA 拦截关闭软件弹窗网页,修改上几行没调整的jn改jmp去掉关闭,其它的打开软件弹窗,及软件正上方广无法去除,苦恼!!
1.打开软件弹窗一个窗口,没办法(无法去掉)
2.打开软件正上方广告也不知道怎去掉,如图~(无法去掉)
http://www.52pojie.cn/attachments/month_1002/100216000059371efb351bdf5d.jpg
3.软件下方链接地址怎么查找(无法去掉)
http://www.52pojie.cn/attachments/month_1002/1002160000001999b6b78eb58a.jpg
4.最后关闭广告算是搞定(解决掉了)
最后,我很迷惑都流行LPK.DLL怎么制作,谢谢大家,等待中。。。
下载地址:
http://www.wdjpq.com/down/QQwdjpq.rar
http://www.onlinedown.net/soft/37530.htm
[ 本帖最后由 sekmart 于 2010-2-16 02:47 编辑 ] 1.打开软件弹窗一个窗口,没办法(无法去掉)
2.打开软件正上方广告也不知道怎去掉,如图~(无法去掉)
==========
我的见解:
1. 载入,运行,等弹窗出来,F12 ,再F9,然后点弹窗的确定,OD断下。剩下的就往上找跳的地方。
2. winhex查找,填0
3. 同上。 等弹出窗口广告窗口再F12就晚了,那是个网络call,要找这个call不能等窗口出来再F12。
我的想法 弹出广告后应该内存中有这个链接,,找到这个内存下硬件访问断点,应该直接找到关键call的!
我没有试,不知道效果如何 对于2楼,打开软件弹窗网页窗口,F12无法拦截,我也不知道怎么断下来~~
3楼兄弟,内存中我也没找到这个东东
既然弹窗网页,shellexecutea,dialogbox,messagebox都拦截不到,使用showwindows拦截到,但是找不到call
OD载入,程序好像运行先加载主程序窗口,暂停住,等待调用弹窗窗口,好像调用好几个弹窗窗口,去掉一个关键call,程序打开即关闭了,弄了2天也没弄明白~~哎,郁闷 这个很难学 感觉 /:013 我菜鸟 ,也想学习. :lol: 我的见解 F8单步走到程序运行 再网上找跳 把它jmp 嘎嘎 解1 and 2:
00494048 C3 retn ;打开软件正上方广告(弹窗广告由此决定)Timer事件 修改为直接返回~
00494049 .8BD8 mov ebx, eax
0049404B .33D2 xor edx, edx
0049404D .8B83 40030000 mov eax, dword ptr
00494053 .E8 64B2F9FF call 0042F2BC
00494058 .BA 70404900 mov edx, 00494070 ;UNICODE "http://wdjpq.com/qqbegin.htm"
0049405D .8B83 FC020000 mov eax, dword ptr
00494063 .E8 C015FDFF call 00465628
00494068 .5B pop ebx
00494069 .C3 retn
解3:
-----------------------------------------------------------------------------------
00493AB8 53 push ebx ;“帮助”按钮事件
00493AB9 8BD8 mov ebx, eax
00493ABB .6A 01 push 1
00493ABD .6A 00 push 0
00493ABF .6A 00 push 0
00493AC1 .68 D83A4900 push 00493AD8 ;ASCII "http://www.wdjpq.com/qqjpq.htm"
00493AC6 .6A 00 push 0
00493AC8 .8BC3 mov eax, ebx
00493ACA .E8 31F5FAFF call 00443000
00493ACF .50 push eax ; |hWnd
00493AD0 .E8 1381F9FF call <jmp.&SHELL32.ShellExecuteA> ; \ShellExecuteA
00493AD5 .5B pop ebx
00493AD6 .C3 retn
004932A0 .53 push ebx ;“论坛”按钮事件,其他以此类推~~看一下资源内容
004932A1 .8BD8 mov ebx, eax
004932A3 .6A 01 push 1
004932A5 .6A 00 push 0
004932A7 .6A 00 push 0
004932A9 .68 C0324900 push 004932C0 ;ASCII "http://bbs.wdjpq.com"
004932AE .6A 00 push 0
004932B0 .8BC3 mov eax, ebx
004932B2 .E8 49FDFAFF call 00443000
004932B7 .50 push eax ; |hWnd
004932B8 .E8 2B89F9FF call <jmp.&SHELL32.ShellExecuteA> ; \ShellExecuteA
004932BD .5B pop ebx
004932BE .C3 retn
-----------------------------------------------------------------------------------
解4:
00490DE5 /EB 24 jmp short 00490E0B ;退出广告
00490DE7|. |6A 07 push 7
00490DE9|. |6A 00 push 0
00490DEB|. |6A 00 push 0
00490DED|. |A1 E07D4900 mov eax, dword ptr
00490DF2|. |E8 5137F7FF call 00404548
00490DF7|. |50 push eax
00490DF8|. |68 380E4900 push 00490E38 ;ASCII "open"
00490DFD|. |8B45 FC mov eax, dword ptr
00490E00|. |E8 FB21FBFF call 00443000
00490E05|. |50 push eax ; |hWnd
00490E06|. |E8 DDADF9FF call <jmp.&SHELL32.ShellExecuteA> ; \ShellExecuteA
00490E0B\> \C3 retn 非常感谢,查找字符串就可以啊
"http://wdjpq.com/qqbegin.htm"
这个关键,00494048 C3 retn ;打开软件正上方广告Timer事件 修改为直接返回~
不过还是不咋懂,修改这个,打开软件弹出窗口怎么不见了,其它的几个好搞定
刚才还发现个问题,直接打开软件没广告,但是打开QQ游戏广告又出现了
[ 本帖最后由 sekmart 于 2010-2-26 01:00 编辑 ]
页:
[1]
2