标 题: 【原创】如何去除软件关闭后弹出的网页

作 者: 混世魔王

文章来源:http://26836659.blogcn.com/

高手掠过。

今天下了一个软件，“百度相关关键词多层抓取”的程序，软件关闭以后，会弹出作者的网页。很是烦人。

用PEID 查看了一下。



程序是Microsoft Visual C++ 6.0 编写。

看了一下字符串没有网址。

那就下个断点

输入“bp ShellExecuteA”，回车。



按“F9”运行程序。然后再关闭程序。（因为程序是在退出的时候，才弹出IE的。）

如下图。追踪到那个“可恶”网址了。



按“alt+F9” 返回。



这段就是讨厌的弹窗代码了。

00476AF0  /$  68 7C494D00   push    004D497C                         ; /Title = "Microsoft Internet Explorer"
00476AF5  |.  6A 00         push    0                                ; |Class = 0
00476AF7  |.  6A 00         push    0                                ; |hAfterWnd = NULL
00476AF9  |.  6A 00         push    0                                ; |hParent = NULL
00476AFB  |.  FF15 08D44A00 call    dword ptr [<&USER32.FindWindowEx>; \FindWindowExA
00476B01  |.  8B4C24 04     mov     ecx, dword ptr [esp+4]
00476B05  |.  6A 01         push    1                                ; /IsShown = 1
00476B07  |.  6A 00         push    0                                ; |DefDir = NULL
00476B09  |.  6A 00         push    0                                ; |Parameters = NULL
00476B0B  |.  51            push    ecx                              ; |FileName
00476B0C  |.  68 74494D00   push    004D4974                         ; |open
00476B11  |.  50            push    eax                              ; |hWnd
00476B12  |.  FF15 DCD34A00 call    dword ptr [<&SHELL32.ShellExecut>; \ShellExecuteA
00476B18  \.  C2 0400       retn    4



保留这一句

 00476B18  \.  C2 0400       retn    4

其他的代码全部 NOP 了。

右键“复制到可执行文件”，然后保存。

就会发现软件退出的弹窗已经消失了。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)