如何去掉该软件的广告？-经典问答-看雪-安全社区|安全招聘|kanxue.com

如何去掉该软件的广告？

发表于: 2009-11-29 00:20 8947

如何去掉该软件的广告？

卧槽

2009-11-29 00:20

8947

虽然是一个小玩意，不过该软件的作者蛮强呃
完美破解我是没办法了。
不过次数限制我取消了，但是却有一个广告很烦人。
这个广告好像定位在user32.bak里面。
直接NOP掉那个CALL也没办法保存。
不知道各位有没有什么好办法取消掉那个广告```

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

小玩意.rar （236.29kb，68次下载）

收藏・3

免费・0

支持

最新回复 (30) 1 2 ▶
风随雨行雪币： 2513 活跃值： (555) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼 00474E84处改为jmp short 00474EBC 2009-11-29 09:01 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 3 楼 00474EB7 E8 C872FBFF call <jmp.&shell32.ShellExecuteA> 这句nop掉 2009-11-29 20:22 0
msl 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	msl 4 楼路过看看，。。。。。。。 2009-12-13 15:44 0
ScutFoX 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ScutFoX 5 楼其实就是通过访问http://wpa.qq.com/pa?p=1:123456:1 来得到qq状态的，123456是号码而弹出网页的call在00474EB7，可以把他nop（传递参数的push也nop） 2009-12-14 12:39 0
没名字叫雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	没名字叫 6 楼 00474E84 是通过什么方式找到 00474E84这个地址的 2009-12-15 13:48 0
卧槽雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 146 粉丝 0 关注私信	卧槽 7 楼 6楼的问题也是我的问题。你们是怎么找到这个关键的？ 2010-1-2 18:14 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 8 楼我们知道 ShellExecuteA 是常用的打开网址的函数给API ShellExecuteA 打断点（bpx ShellExecuteA），很幸运只有一处，找到这里： 00474EB2 . 50 push eax ; \|FileName 00474EB3 . 6A 00 push 0 ; \|Operation = NULL 00474EB5 . 6A 00 push 0 ; \|hWnd = NULL 00474EB7 . E8 C872FBFF call <jmp.&shell32.ShellExecuteA> ; \ShellExecuteA 00474EBC > 33C0 xor eax, eax 00474EBE . 5A pop edx 然后把3个push 和最后一个call 都nop 掉就 ok啦！ 2010-1-2 18:40 0
robberliu 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	robberliu 9 楼在一个进程中打开浏览器一般用ShellExecute 或者 CreateProcess 在OD中查找参考ShellExecute然后都打算断点就跟到了 2010-1-2 19:43 0
feeger 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	feeger 10 楼 0044D37B 55 push ebp 0044D37C 6A 00 push 0 0044D37E \|. 6A 00 push 0 ; \|Parameters = NULL 0044D380 \|. 51 push ecx ; \|FileName 0044D381 \|. 68 CC8D5400 push 00548DCC ; \|Operation = "open" 0044D386 \|. 6A 00 push 0 ; \|hWnd = NULL 0044D388 \|. FF15 24A44C00 call dword ptr [<&shell32.ShellExecut>; \ShellExecuteA 无论是nop掉还是跳走都不行，还是随机弹出网页。请指教！ 2010-1-5 13:26 0
王攀雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	王攀 11 楼路过，学习。。。。 2010-1-7 12:19 0
泥芭雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 252 粉丝 0 关注私信	泥芭 12 楼我来膜拜LZ的ID的 2010-1-7 12:37 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 13 楼 00474E84 JE SHORT 小玩意.00474E97 nop掉就万事大吉吧？！ 2010-1-7 14:25 0
feeger 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	feeger 14 楼好像不是那么简单哦 2010-1-7 16:21 0
hjkto 雪币： 22 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 123 粉丝 0 关注私信	hjkto 15 楼楼主你的ｑｑ是多少？ 2010-1-7 16:46 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 16 楼围观ING ~~ 2010-1-7 17:03 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 17 楼切，这东西不准的感觉隐身判断就跟在猜一样 2010-1-7 17:04 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 18 楼好像就这么简单 2010-1-7 18:21 0
somnig 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	somnig 19 楼这个貌似把广告那段JMP过去就可以了 2010-1-7 18:49 0
blackskey 雪币： 53 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	blackskey 20 楼路过看看....... 2010-1-7 21:35 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 21 楼我看了一下： 00474EB2 . 50 PUSH EAX ; \|FileName //改为：JMP 00474EBC 00474EB3 . 6A 00 PUSH 0 ; \|Operation = NULL 00474EB5 . 6A 00 PUSH 0 ; \|hWnd = NULL 00474EB7 . E8 C872FBFF CALL <JMP.&shell32.ShellExecuteA> ; \ShellExecuteA 00474EBC > 33C0 XOR EAX,EAX 00474EBE . 5A POP EDX 00474EBF . 59 POP ECX 00474EC0 . 59 POP ECX 00474EC1 . 64:8910 MOV DWORD PTR FS:[EAX],EDX 0042C184 $- FF25 20284800 JMP NEAR DWORD PTR DS:[<&shell32.ShellEx>; shell32.ShellExecuteA //改为： NOP OK，再也不出网页了 2010-1-8 10:54 0
hjkto 雪币： 22 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 123 粉丝 0 关注私信	hjkto 22 楼你的qq是？ 2010-1-8 14:48 0
wfjcckw 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	wfjcckw 23 楼来学习一下了 2010-1-8 14:50 0
lulijun 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	lulijun 24 楼学习一下，NOP 的命令真是好啊！ 2010-1-9 11:44 0
贾宝玉雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 55 回帖 298 粉丝 0 关注私信	贾宝玉 25 楼把call给干掉就可以了为什么要干掉push啊 2010-1-9 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

卧槽

发帖

146

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
风随雨行雪币： 2513 活跃值： (555) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼 00474E84处改为jmp short 00474EBC 2009-11-29 09:01 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 3 楼 00474EB7 E8 C872FBFF call <jmp.&shell32.ShellExecuteA> 这句nop掉 2009-11-29 20:22 0
msl 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	msl 4 楼路过看看，。。。。。。。 2009-12-13 15:44 0
ScutFoX 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ScutFoX 5 楼其实就是通过访问http://wpa.qq.com/pa?p=1:123456:1 来得到qq状态的，123456是号码而弹出网页的call在00474EB7，可以把他nop（传递参数的push也nop） 2009-12-14 12:39 0
没名字叫雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	没名字叫 6 楼 00474E84 是通过什么方式找到 00474E84这个地址的 2009-12-15 13:48 0
卧槽雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 146 粉丝 0 关注私信	卧槽 7 楼 6楼的问题也是我的问题。你们是怎么找到这个关键的？ 2010-1-2 18:14 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 8 楼我们知道 ShellExecuteA 是常用的打开网址的函数给API ShellExecuteA 打断点（bpx ShellExecuteA），很幸运只有一处，找到这里： 00474EB2 . 50 push eax ; \|FileName 00474EB3 . 6A 00 push 0 ; \|Operation = NULL 00474EB5 . 6A 00 push 0 ; \|hWnd = NULL 00474EB7 . E8 C872FBFF call <jmp.&shell32.ShellExecuteA> ; \ShellExecuteA 00474EBC > 33C0 xor eax, eax 00474EBE . 5A pop edx 然后把3个push 和最后一个call 都nop 掉就 ok啦！ 2010-1-2 18:40 0
robberliu 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	robberliu 9 楼在一个进程中打开浏览器一般用ShellExecute 或者 CreateProcess 在OD中查找参考ShellExecute然后都打算断点就跟到了 2010-1-2 19:43 0
feeger 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	feeger 10 楼 0044D37B 55 push ebp 0044D37C 6A 00 push 0 0044D37E \|. 6A 00 push 0 ; \|Parameters = NULL 0044D380 \|. 51 push ecx ; \|FileName 0044D381 \|. 68 CC8D5400 push 00548DCC ; \|Operation = "open" 0044D386 \|. 6A 00 push 0 ; \|hWnd = NULL 0044D388 \|. FF15 24A44C00 call dword ptr [<&shell32.ShellExecut>; \ShellExecuteA 无论是nop掉还是跳走都不行，还是随机弹出网页。请指教！ 2010-1-5 13:26 0
王攀雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	王攀 11 楼路过，学习。。。。 2010-1-7 12:19 0
泥芭雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 252 粉丝 0 关注私信	泥芭 12 楼我来膜拜LZ的ID的 2010-1-7 12:37 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 13 楼 00474E84 JE SHORT 小玩意.00474E97 nop掉就万事大吉吧？！ 2010-1-7 14:25 0
feeger 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	feeger 14 楼好像不是那么简单哦 2010-1-7 16:21 0
hjkto 雪币： 22 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 123 粉丝 0 关注私信	hjkto 15 楼楼主你的ｑｑ是多少？ 2010-1-7 16:46 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 16 楼围观ING ~~ 2010-1-7 17:03 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 17 楼切，这东西不准的感觉隐身判断就跟在猜一样 2010-1-7 17:04 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 18 楼好像就这么简单 2010-1-7 18:21 0
somnig 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	somnig 19 楼这个貌似把广告那段JMP过去就可以了 2010-1-7 18:49 0
blackskey 雪币： 53 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	blackskey 20 楼路过看看....... 2010-1-7 21:35 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 21 楼我看了一下： 00474EB2 . 50 PUSH EAX ; \|FileName //改为：JMP 00474EBC 00474EB3 . 6A 00 PUSH 0 ; \|Operation = NULL 00474EB5 . 6A 00 PUSH 0 ; \|hWnd = NULL 00474EB7 . E8 C872FBFF CALL <JMP.&shell32.ShellExecuteA> ; \ShellExecuteA 00474EBC > 33C0 XOR EAX,EAX 00474EBE . 5A POP EDX 00474EBF . 59 POP ECX 00474EC0 . 59 POP ECX 00474EC1 . 64:8910 MOV DWORD PTR FS:[EAX],EDX 0042C184 $- FF25 20284800 JMP NEAR DWORD PTR DS:[<&shell32.ShellEx>; shell32.ShellExecuteA //改为： NOP OK，再也不出网页了 2010-1-8 10:54 0
hjkto 雪币： 22 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 123 粉丝 0 关注私信	hjkto 22 楼你的qq是？ 2010-1-8 14:48 0
wfjcckw 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	wfjcckw 23 楼来学习一下了 2010-1-8 14:50 0
lulijun 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	lulijun 24 楼学习一下，NOP 的命令真是好啊！ 2010-1-9 11:44 0
贾宝玉雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 55 回帖 298 粉丝 0 关注私信	贾宝玉 25 楼把call给干掉就可以了为什么要干掉push啊 2010-1-9 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复