去除软件广告找到关键代码请问怎么去除？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 去除软件广告找到关键代码请问怎么去除？ 0.00雪花

发表于: 2012-4-12 17:36 5688

[旧帖] 去除软件广告找到关键代码请问怎么去除？ 0.00雪花

兔兔

2012-4-12 17:36

5688

00433EFC    55          PUSH EBP                               ;  5秒广告开始入口
00433EFD    8BEC       MOV EBP,ESP
00433EFF    51          PUSH ECX
00433F00    53          PUSH EBX
00433F01  |.  8D5D FC    LEA EBX,DWORD PTR SS:[EBP-4]
00433F04  |.  A1 CC6A4800 MOV EAX,DWORD PTR DS:[486ACC]
00433F09  |.  8B55 08    MOV EDX,DWORD PTR SS:[EBP+8]
00433F0C  |.  8990 80010000 MOV DWORD PTR DS:[EAX+180],EDX
00433F12  |.  A1 CC6A4800 MOV EAX,DWORD PTR DS:[486ACC]
00433F17  |.  8B80 8C010000 MOV EAX,DWORD PTR DS:[EAX+18C]
00433F1D  |.  50          PUSH EAX                               ; /NewValue
00433F1E  |.  6A FC       PUSH -4                               ; |Index = GWL_WNDPROC
00433F20  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F23  |.  50          PUSH EAX                               ; |hWnd
00433F24  |.  E8 CF34FDFF CALL <JMP.&user32.SetWindowLongA>       ; \SetWindowLongA
00433F29  |.  6A F0       PUSH -10                               ; /Index = GWL_STYLE
00433F2B  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F2E  |.  50          PUSH EAX                               ; |hWnd
00433F2F  |.  E8 DC32FDFF CALL <JMP.&user32.GetWindowLongA>       ; \GetWindowLongA
00433F34  |.  A9 00000040 TEST EAX,40000000
00433F39  |.  74 1E       JE SHORT 至尊幻想.00433F59
00433F3B  |.  6A F4       PUSH -0C                               ; /Index = GWL_ID
00433F3D  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F40  |.  50          PUSH EAX                               ; |hWnd
00433F41  |.  E8 CA32FDFF CALL <JMP.&user32.GetWindowLongA>       ; \GetWindowLongA
00433F46  |.  85C0       TEST EAX,EAX
00433F48  |.  75 0F       JNZ SHORT 至尊幻想.00433F59
00433F4A  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]
00433F4D  |.  50          PUSH EAX                               ; /NewValue
00433F4E  |.  6A F4       PUSH -0C                               ; |Index = GWL_ID
00433F50  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F53  |.  50          PUSH EAX                               ; |hWnd
00433F54  |.  E8 9F34FDFF CALL <JMP.&user32.SetWindowLongA>       ; \SetWindowLongA
00433F59  |>  A1 CC6A4800 MOV EAX,DWORD PTR DS:[486ACC]
00433F5E  |.  50          PUSH EAX                               ; /hData => NULL
00433F5F  |.  0FB705 269B48>MOVZX EAX,WORD PTR DS:[489B26]          ; |
00433F66  |.  50          PUSH EAX                               ; |Property
00433F67  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F6A  |.  50          PUSH EAX                               ; |hWnd
00433F6B  |.  E8 5834FDFF CALL <JMP.&user32.SetPropA>             ; \SetPropA
00433F70  |.  A1 CC6A4800 MOV EAX,DWORD PTR DS:[486ACC]
00433F75  |.  50          PUSH EAX                               ; /hData => NULL
00433F76  |.  0FB705 249B48>MOVZX EAX,WORD PTR DS:[489B24]          ; |
00433F7D  |.  50          PUSH EAX                               ; |Property
00433F7E  |.  8B45 08    MOV EAX,DWORD PTR SS:[EBP+8]          ; |
00433F81  |.  50          PUSH EAX                               ; |hWnd
00433F82  |.  E8 4134FDFF CALL <JMP.&user32.SetPropA>             ; \SetPropA
00433F87  |.  FF75 14    PUSH DWORD PTR SS:[EBP+14]
00433F8A  |.  FF75 10    PUSH DWORD PTR SS:[EBP+10]
00433F8D  |.  FF75 0C    PUSH DWORD PTR SS:[EBP+C]
00433F90  |.  FF75 08    PUSH DWORD PTR SS:[EBP+8]
00433F93  |.  A1 CC6A4800 MOV EAX,DWORD PTR DS:[486ACC]
00433F98  |.  C705 CC6A4800>MOV DWORD PTR DS:[486ACC],0
00433FA2  |.  FF90 8C010000 CALL DWORD PTR DS:[EAX+18C]
00433FA8  |.  8945 FC    MOV DWORD PTR SS:[EBP-4],EAX
00433FAB  |.  8B03       MOV EAX,DWORD PTR DS:[EBX]
00433FAD  |.  5B          POP EBX
00433FAE  |.  59          POP ECX
00433FAF  |.  5D          POP EBP
00433FB0  \.  C2 1000    RETN 10

去除软件广告找到关键代码请问怎么去除？代码有点头晕没感觉

http://ftp21.qmftp.net/123.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (11)
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 2 楼跳过这个CALL就可以了啊。 2012-4-12 17:42 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 3 楼直接返回不行吗？ 2012-4-12 17:43 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 4 楼可以跳过这个CALL，如果有多处调用，把push ebp直接改成RETN 10（我不知道具体是多少，你看看传了多少参数吧） 2012-4-12 17:45 0
Kisesy 雪币： 6525 活跃值： (3373) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 5 楼把代码头改成RETN 10 2012-4-12 18:55 0
大大薇薇雪币： 1887 活跃值： (2751) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 6 楼上附件行不。 2012-4-12 19:50 0
兔兔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 64 粉丝 0 关注私信	兔兔 7 楼 http://ftp21.qmftp.net/123.rar 2012-4-12 20:18 0
Wdlglb 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	Wdlglb 8 楼高手真多，我连od都用不会，第一个例子就把我给拦住了！楼主是怎么学会使用od的啊？教教经验撒，给个联系方式也可以的。新手中的菜鸟， 2012-4-14 20:34 0
xiyuliuyun 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xiyuliuyun 9 楼用Nop替换call 或者进入function后直接return 2012-4-19 15:45 0
imdong 雪币： 26 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	imdong 10 楼声明一下，我并不会CALL编汇什么的。我只是根据经验，回答。一，替换为空白/无用代码二，跳过该代码。三：在引用处跳转... 2012-4-19 18:43 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 11 楼敢问楼主是否兔兔推车作者？ 2012-4-20 09:56 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 12 楼 BYTE* Advertisement=(BYTE)0x00433EFC; Advertisement=0xC2; (Advertisement+1)=0x10; (Advertisement+2)=0x00; 应该就是这样了，这个CALL是__stdcall 2012-4-20 10:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

兔兔

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 2 楼跳过这个CALL就可以了啊。 2012-4-12 17:42 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 3 楼直接返回不行吗？ 2012-4-12 17:43 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 4 楼可以跳过这个CALL，如果有多处调用，把push ebp直接改成RETN 10（我不知道具体是多少，你看看传了多少参数吧） 2012-4-12 17:45 0
Kisesy 雪币： 6525 活跃值： (3373) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 5 楼把代码头改成RETN 10 2012-4-12 18:55 0
大大薇薇雪币： 1887 活跃值： (2751) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 6 楼上附件行不。 2012-4-12 19:50 0
兔兔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 64 粉丝 0 关注私信	兔兔 7 楼 http://ftp21.qmftp.net/123.rar 2012-4-12 20:18 0
Wdlglb 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	Wdlglb 8 楼高手真多，我连od都用不会，第一个例子就把我给拦住了！楼主是怎么学会使用od的啊？教教经验撒，给个联系方式也可以的。新手中的菜鸟， 2012-4-14 20:34 0
xiyuliuyun 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xiyuliuyun 9 楼用Nop替换call 或者进入function后直接return 2012-4-19 15:45 0
imdong 雪币： 26 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	imdong 10 楼声明一下，我并不会CALL编汇什么的。我只是根据经验，回答。一，替换为空白/无用代码二，跳过该代码。三：在引用处跳转... 2012-4-19 18:43 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 11 楼敢问楼主是否兔兔推车作者？ 2012-4-20 09:56 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 12 楼 BYTE* Advertisement=(BYTE)0x00433EFC; Advertisement=0xC2; (Advertisement+1)=0x10; (Advertisement+2)=0x00; 应该就是这样了，这个CALL是__stdcall 2012-4-20 10:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 去除软件广告 找到关键代码 请问怎么去除？ 0.00雪花

[旧帖] 去除软件广告找到关键代码请问怎么去除？ 0.00雪花