首页
社区
课程
招聘
[原创]如何去除软件关闭后弹出的网页(配图)
发表于: 2011-9-1 20:43 20308

[原创]如何去除软件关闭后弹出的网页(配图)

2011-9-1 20:43
20308

标 题: 【原创】如何去除软件关闭后弹出的网页

作 者: 混世魔王

文章来源:http://26836659.blogcn.com/

高手掠过。

今天下了一个软件,“百度相关关键词多层抓取”的程序,软件关闭以后,会弹出作者的网页。很是烦人。

用PEID 查看了一下。



程序是Microsoft Visual C++ 6.0 编写。

看了一下字符串没有网址。

那就下个断点

输入“bp ShellExecuteA”,回车。



按“F9”运行程序。然后再关闭程序。(因为程序是在退出的时候,才弹出IE的。)

如下图。追踪到那个“可恶”网址了。



按“alt+F9” 返回。



这段就是讨厌的弹窗代码了。

00476AF0  /$  68 7C494D00   push    004D497C                         ; /Title = "Microsoft Internet Explorer"
00476AF5  |.  6A 00         push    0                                ; |Class = 0
00476AF7  |.  6A 00         push    0                                ; |hAfterWnd = NULL
00476AF9  |.  6A 00         push    0                                ; |hParent = NULL
00476AFB  |.  FF15 08D44A00 call    dword ptr [<&USER32.FindWindowEx>; \FindWindowExA
00476B01  |.  8B4C24 04     mov     ecx, dword ptr [esp+4]
00476B05  |.  6A 01         push    1                                ; /IsShown = 1
00476B07  |.  6A 00         push    0                                ; |DefDir = NULL
00476B09  |.  6A 00         push    0                                ; |Parameters = NULL
00476B0B  |.  51            push    ecx                              ; |FileName
00476B0C  |.  68 74494D00   push    004D4974                         ; |open
00476B11  |.  50            push    eax                              ; |hWnd
00476B12  |.  FF15 DCD34A00 call    dword ptr [<&SHELL32.ShellExecut>; \ShellExecuteA
00476B18  \.  C2 0400       retn    4



保留这一句

 00476B18  \.  C2 0400       retn    4

其他的代码全部 NOP 了。

右键“复制到可执行文件”,然后保存。

就会发现软件退出的弹窗已经消失了。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 6
支持
分享
最新回复 (20)
雪    币: 6525
活跃值: (3393)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
直接把弹广告的那段代码开头改为 retn    4 不行吗
2011-9-1 21:25
0
雪    币: 245
活跃值: (41)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
3
NOP 习惯了。
2011-9-1 22:06
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
哈哈哈 太可爱了lz
2011-10-7 07:21
0
雪    币: 245
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
又学到了一点知识。感谢楼主分享!!!
2011-11-21 22:15
0
雪    币: 1585
活跃值: (190)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
6
杂志肯定是好几年以前了,不是05就是07,记得有一篇关于破解的文章署名为混世魔王,不知道是不是楼主。不过还是感谢楼主,过程简单明了,最起码我能看得懂了!
2011-11-21 22:35
0
雪    币: 32
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
2011-11-22 03:31
0
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我试了一下,查找字符串可以找到网址,从网址也可以跟到ShellExecuteA函数那里,就是麻烦点了;学习中
2011-11-23 17:40
0
雪    币: 1040
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
顶。。。。。。
2011-11-23 17:49
0
雪    币: 268
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学到了。....
2011-11-24 09:26
0
雪    币: 375
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
黑客防线,估计是05~06年之间的。
2011-11-24 09:52
0
雪    币: 285
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
004034E0  |.  68 D7034B00   push 百度相关.004B03D7                       ;  http://www.nvhaijie.com

查找字符串能查找到。。。。。

call 00406B19   将这个call ,nop掉。。。。。。。。。。
2011-11-27 23:25
0
雪    币: 268
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
来学习一下了。
2011-11-28 07:32
0
雪    币: 248
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
直接hook ShellExecuteW
2011-11-28 09:42
0
雪    币: 248
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
有的加了壳 了,俺不会脱壳! 只能hook!
2011-11-28 09:43
0
雪    币: 262
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
呵呵,看懂了,比较简单。
2011-12-27 17:58
0
雪    币: 2259
活跃值: (1431)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
学习了啊!谢谢楼主!
2012-1-8 19:20
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
真是很羡慕,我正在学编程
2012-1-12 17:31
0
雪    币: 241
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
简单明了,呵呵。
2012-1-13 16:32
0
雪    币: 57
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
在其前改跳转  也是可以的
2012-1-16 00:12
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
学习一下。谢谢楼主。
2012-3-24 20:05
0
游客
登录 | 注册 方可回帖
返回
//