- UID
- 43575
注册时间2007-12-28
阅读权限10
最后登录1970-1-1
周游历练
TA的每日心情 | 开心
2023-1-13 08:36 |
|---|
签到天数: 9 天 [LV.3]偶尔看看II
|
发表于 2008-1-3 20:17:38
|
显示全部楼层
【文章标题】: 去掉NAG+广告
【加壳方式】: 无
【编写语言】: Microsoft Visual Basic 5.0 / 6.0
【使用工具】: peid0.94,OllyDBG1.10
【操作平台】: WindowsXP+SP2
【软件介绍】: 注册QQ号
【作者声明】: 尝试性写作,有失误之处还请海涵!
--------------------------------------------------------------------------------
【详细过程】
PEiD查壳为Microsoft Visual Basic 5.0 / 6.0,没有加壳,是VB的程序。运行一下软件,有提示框,之后访问一网站。
好了,有提示框就好办了,OD载入,忽略所有异常,F9运行,发现有异常,000006BA和000006D9两处,添加到自定义异
常处。由于是VB程序,我们下bp rtcMsgBox这个断点,F9运行,程序被断下来
73472F29 > 55 PUSH EBP //程序被断在此处
73472F2A 8BEC MOV EBP,ESP
73472F2C 83EC 4C SUB ESP,4C
73472F2F 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14]
ALT+F9返回,弹出提示框,点确定。
0040C727 . 6A 40 PUSH 40
0040C729 . 52 PUSH EDX
0040C72A . FF15 8C104000 CALL DWORD PTR DS:[<&MSVBVM60.#595>] ; MSVBVM60.rtcMsgBox
0040C730 . 8D45 9C LEA EAX,DWORD PTR SS:[EBP-64] //程序来到此处
0040C733 . 8D4D AC LEA ECX,DWORD PTR SS:[EBP-54]
我们来个懒办法吧,直接把0040C72A这句NOP掉就没有提示框了。接下来去掉访问网络,我们F8单步跟踪。
0040C796 . 50 PUSH EAX
0040C797 . 52 PUSH EDX
0040C798 . E8 EBACFFFF CALL freeQQ.00407488 //这个函数就是访问网站的!
0040C79D . FF15 60104000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaSetSy>; MSVBVM60.__vbaSetSystemError
0040C7A3 . 8D45 E4 LEA EAX,DWORD PTR SS:[EBP-1C]
当我们跟踪到0040C79D时,自动弹出网站,可见是0040C798这里调用了函数,还是懒办法NOP掉0040C798这行。
最后复制所有修改,保存文件。运行一下,OK,没有弹窗也不访问网络了!
--------------------------------------------------------------------------------
【经验总结】
没什么大不了了,高手看了嘿嘿一笑。
关键:VB程序要用rtcMsgBox这个函数拦截消息窗口,用MessageBoxA是拦不下来的~~其次就是单步跟踪,在出现问题的地方进行修改。
最后要说的就是,我们也可以跳过这些函数来达到目的,有兴趣的自己实践一下吧!
-------------------------------------------------------------------------------- |
-
-
freeQQ.rar
43.13 KB, 下载次数: 10, 下载积分: 飘云币 -2 枚
无nag+广告
|
楼主: hoopking
[复制链接]
IP卡
楼主
显身卡
发表于 2008-1-3 22:37:35
发表于 2008-1-4 23:31:19