关于软件关闭后自动打开网页

lansemumuyu

今天下了个高兴IP段查询（软件见附件，壳已经脱完了），每当关闭该软件后它会自动打开它的主页，烦啊~~~~~~~~（作者免费给大家用软件，帮作者的网站增加人气也是应该的，不过总开网页确实让人受不了）
小鸟我决定找出它的关键CALL，爆破关键跳，关掉该死的网页弹出（由于小鸟刚刚接触破解，可能小鸟的想法是错误的）
脱壳，修复，一阵鼓捣之后，壳壳脱之
OD载入，查看ASCII，从上到下找调用网页地址等之类的关键点（小鸟水平有限，或许小鸟已经看到了，只是没发现），没找到/:010，弄的是一头雾水/:010 。
后来仔细想想，当点击完“关闭”按钮后，网页就会自动打开，这里关闭按钮应该有一个关键调用（“按钮事件”也不知叫的对不对，呵呵），可小鸟我水平有限实在参不透了/:002 ，望大家能点化一下小鸟，先谢谢了/:018

[ 本帖最后由 lansemumuyu 于 2008-9-18 16:46 编辑 ]

rxzcums

bp ShellExecuteA
很容易断下的，然后修改即可。

0040E2BA    FF15 4C104000             call    near dword ptr ds:[<&msvbvm60.__vbaHresul>; msvbvm60.__vbaHresultCheckObj
0040E2C0    8B55 E4                   mov     edx, dword ptr ss:[ebp-1C]
0040E2C3    6A 01                     push    1
0040E2C5    57                        push    edi                                       ; ntdll.7C930738
0040E2C6    57                        push    edi                                       ; ntdll.7C930738
0040E2C7    8D45 E0                   lea     eax, dword ptr ss:[ebp-20]
0040E2CA    52                        push    edx                                       ; ntdll.KiFastSystemCallRet
0040E2CB    50                        push    eax
0040E2CC    FF15 AC114000             call    near dword ptr ds:[<&msvbvm60.__vbaStrToA>; msvbvm60.__vbaStrToAnsi
0040E2D2    50                        push    eax
0040E2D3    57                        push    edi                                       ; ntdll.7C930738
0040E2D4    57                        push    edi                                       ; ntdll.7C930738
0040E2D5    E8 E69CFFFF               call    SoIp.00407FC0
0040E2DA    FF15 48104000             call    near dword ptr ds:[<&msvbvm60.__vbaSetSys>; msvbvm60.__vbaSetSystemError

从0040E2C0到0040E2D5都是弹网页的代码，所以0040E2C0改jmp 0040E2DA就可以去掉关闭时的网页。

[ 本帖最后由 rxzcums 于 2008-9-18 17:03 编辑 ]

lansemumuyu

原帖由 rxzcums 于 2008-9-18 16:55 发表
bp ShellExecuteA
很容易断下的，然后修改即可。

谢谢了，又让我知道了一个断点

lansemumuyu

原帖由 rxzcums 于 2008-9-18 16:55 发表
bp ShellExecuteA
很容易断下的，然后修改即可。


从0040E2C0到0040E2D5都是弹网页的代码，所以0040E2C0改jmp 0040E2DA就可以去掉关闭时的网页。

谢谢，真的很感谢

rxzcums

客气了
弹网页基本都是这个断点，学到新东西就好。

lansemumuyu

原帖由 rxzcums 于 2008-9-18 16:55 发表
bp ShellExecuteA
很容易断下的，然后修改即可。

我的OD为什么下bp ShellExecuteA是未知标识符呢？？（我在百度搜索了，找不到答案，我也没在前面多加bp，我直接把bp ShellExecuteA复制进去的）
谢谢

rxzcums

要先运行程序再下断~
可能是程序运行后才载入那个api的缘故

断下后看堆栈返回或alt+f9返回

[ 本帖最后由 rxzcums 于 2008-9-18 17:15 编辑 ]

lansemumuyu

原帖由 rxzcums 于 2008-9-18 17:14 发表
要先运行程序再下断~
可能是程序运行后才载入那个api的缘故

断下后看堆栈返回或alt+f9返回

谢谢，今天学到好多东西

秋风四起

有没有直接把下断的各个定义写出来的？？？？

老海

有些断函数不止用在一种方法上。