|
|
零号防火墙从很早以前就用过了。
昨天在暗组再次找了这个似乎是以前版本的挺进版。
这个防火墙可以检测所有本机与外部的连接,
退一万步说如果你中了木马在这个里面就能看到谁在操控
或反入侵,或拒绝它的连接等。
更重要的是它的小,只有一mb的大小确实是短小精干。
但打开运行之后发现,首先出现的一个图片的NAG,
然后当程序跑起来之后,自动访问了零号的官方网站。
而且,检测注册表发现在注册表启动项里它被添加了进去。
于是开始了本次改软行动。
我首先想到的就是先把注册表的启动项去掉。
直接用locplus导出了里面的字符传,然后找到了
66876:software\\microsoft\\windows\\currentVersion\\run\\
software\\microsoft\\windows\\currentVersion\\run\\
直接把下面那一段用555555代替,然后用locplus替换vb字串,
最后用w32dasm反汇编程序,找到5555555,到达后记下地址,用od载入,
:004BBE8A 683C054100 push 0041053C
在该段的段头下段点,然后跑起,
段下后单步。最后跟到了一个,creatreg函数就让它retn就好了。
对于打开网页的nag 就更简单了。
直接用locplus把那个站的网址替换成空就好了。
对于开始的图片nag我到现在还没完美的解决。
虽然去掉了nag但在右下角的地方却显示不出了图标,这导致不能关闭这个软件了。
因为正常的退出方式是右建选择退出才能退出。
我解决的办法是用 vbexplorer反汇编这个软件,然后替换了按扭的响应事件,
但似乎是堆栈没控制好。
直接导致虽然能退出,会出现没找到入口6的警告,在shell32.dll上。
这算是有点瑕疵的地方。
但有飘云阁logo的是完美运行的。
对于这个问题把我几乎搞麻木了。
在凌晨的时候我选择放弃,
如果其他兄弟有搞出来的别忘了通知我一下。
谢谢。
由于本人菜鸟,文章难免有错误之处,望各位高手指教。
[ 本帖最后由 网际座山雕 于 2007-9-24 23:13 编辑 ] |
|
IP卡
发表于 2007-9-24 21:48:37
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-9-24 23:52:26
发表于 2007-9-25 21:27:36
发表于 2007-9-26 08:50:03
