学习脱壳破解去广告疑惑求解

sekmart

工作忙，断断续续学习破解基础，现有问题请教大家，希望指点一二~~

这里也给爱好学习朋友及pyg朋友拜个年了！！

////正题

这几天没事找了个QQ记牌棋可是广告好几个，能力有限只能去掉关闭弹窗~~~
下载软件后，查壳，ASPack 2.12 -> Alexey Solodovnikov，脱壳后正常运行，查壳Borland Delphi 6.0 - 7.0，文件下其他所有dll文件全部加ASPack 2.12 -> Alexey Solodovnikov!

OD载入主程序QQJPQ运行，下断点bp ShellExeCuteA 拦截关闭软件弹窗网页，修改上几行没调整的jn改jmp去掉关闭，其它的打开软件弹窗，及软件正上方广无法去除，苦恼！！


1.打开软件弹窗一个窗口，没办法(无法去掉)

2.打开软件正上方广告也不知道怎去掉，如图~(无法去掉)


3.软件下方链接地址怎么查找(无法去掉)


4.最后关闭广告算是搞定(解决掉了)

最后，我很迷惑都流行LPK.DLL怎么制作，谢谢大家，等待中。。。


下载地址:

http://www.wdjpq.com/down/QQwdjpq.rar

http://www.onlinedown.net/soft/37530.htm

[ 本帖最后由 sekmart 于 2010-2-16 02:47 编辑 ]

gxwtk

1.打开软件弹窗一个窗口，没办法(无法去掉)

2.打开软件正上方广告也不知道怎去掉，如图~(无法去掉)

==========

我的见解：
1. 载入，运行，等弹窗出来，F12 ,再F9,然后点弹窗的确定，OD断下。剩下的就往上找跳的地方。

2. winhex查找，填0
3. 同上。

yanhuohua999

等弹出窗口广告窗口再F12就晚了，那是个网络call，要找这个call不能等窗口出来再F12。
我的想法 弹出广告后应该内存中有这个链接，，找到这个内存下硬件访问断点，应该直接找到关键call的！
我没有试，不知道效果如何

sekmart

对于2楼，打开软件弹窗网页窗口，F12无法拦截，我也不知道怎么断下来~~

3楼兄弟，内存中我也没找到这个东东

既然弹窗网页，shellexecutea,dialogbox,messagebox都拦截不到，使用showwindows拦截到，但是找不到call

OD载入，程序好像运行先加载主程序窗口，暂停住，等待调用弹窗窗口，好像调用好几个弹窗窗口，去掉一个关键call，程序打开即关闭了，弄了2天也没弄明白~~哎，郁闷

0310942

这个很难学 感觉

吃肉也不胖

/:013 我菜鸟 ,也想学习.

幽雅的心

:lol: 我的见解 F8单步走到程序运行 再网上找跳 把它jmp 嘎嘎

飘云

解1 and 2：
00494048      C3            retn                                     ;  打开软件正上方广告（弹窗广告由此决定）  Timer事件 修改为直接返回~
00494049   .  8BD8          mov     ebx, eax
0049404B   .  33D2          xor     edx, edx
0049404D   .  8B83 40030000 mov     eax, dword ptr [ebx+340]
00494053   .  E8 64B2F9FF   call    0042F2BC
00494058   .  BA 70404900   mov     edx, 00494070                    ;  UNICODE "http://wdjpq.com/qqbegin.htm"
0049405D   .  8B83 FC020000 mov     eax, dword ptr [ebx+2FC]
00494063   .  E8 C015FDFF   call    00465628
00494068   .  5B            pop     ebx
00494069   .  C3            retn

解3：
-----------------------------------------------------------------------------------
00493AB8      53            push    ebx                              ;  “帮助”按钮事件
00493AB9      8BD8          mov     ebx, eax
00493ABB   .  6A 01         push    1
00493ABD   .  6A 00         push    0
00493ABF   .  6A 00         push    0
00493AC1   .  68 D83A4900   push    00493AD8                         ;  ASCII "http://www.wdjpq.com/qqjpq.htm"
00493AC6   .  6A 00         push    0
00493AC8   .  8BC3          mov     eax, ebx
00493ACA   .  E8 31F5FAFF   call    00443000
00493ACF   .  50            push    eax                              ; |hWnd
00493AD0   .  E8 1381F9FF   call    <jmp.&SHELL32.ShellExecuteA>     ; \ShellExecuteA
00493AD5   .  5B            pop     ebx
00493AD6   .  C3            retn

004932A0   .  53            push    ebx                              ;  “论坛”按钮事件，其他以此类推~~  看一下资源内容
004932A1   .  8BD8          mov     ebx, eax
004932A3   .  6A 01         push    1
004932A5   .  6A 00         push    0
004932A7   .  6A 00         push    0
004932A9   .  68 C0324900   push    004932C0                         ;  ASCII "http://bbs.wdjpq.com"
004932AE   .  6A 00         push    0
004932B0   .  8BC3          mov     eax, ebx
004932B2   .  E8 49FDFAFF   call    00443000
004932B7   .  50            push    eax                              ; |hWnd
004932B8   .  E8 2B89F9FF   call    <jmp.&SHELL32.ShellExecuteA>     ; \ShellExecuteA
004932BD   .  5B            pop     ebx
004932BE   .  C3            retn
-----------------------------------------------------------------------------------

解4：
00490DE5     /EB 24         jmp     short 00490E0B                   ;  退出广告
00490DE7  |. |6A 07         push    7
00490DE9  |. |6A 00         push    0
00490DEB  |. |6A 00         push    0
00490DED  |. |A1 E07D4900   mov     eax, dword ptr [497DE0]
00490DF2  |. |E8 5137F7FF   call    00404548
00490DF7  |. |50            push    eax
00490DF8  |. |68 380E4900   push    00490E38                         ;  ASCII "open"
00490DFD  |. |8B45 FC       mov     eax, dword ptr [ebp-4]
00490E00  |. |E8 FB21FBFF   call    00443000
00490E05  |. |50            push    eax                              ; |hWnd
00490E06  |. |E8 DDADF9FF   call    <jmp.&SHELL32.ShellExecuteA>     ; \ShellExecuteA
00490E0B  \> \C3            retn

sekmart

非常感谢，查找字符串就可以啊
"http://wdjpq.com/qqbegin.htm"

这个关键，00494048      C3            retn                                     ;  打开软件正上方广告  Timer事件 修改为直接返回~

不过还是不咋懂，修改这个，打开软件弹出窗口怎么不见了，其它的几个好搞定


刚才还发现个问题，直接打开软件没广告，但是打开QQ游戏广告又出现了

[ 本帖最后由 sekmart 于 2010-2-26 01:00 编辑 ]