首页
社区
课程
招聘
求助如何找到超强QQ农牧餐助力广告调用地址
发表于: 2012-5-13 22:29 6282

求助如何找到超强QQ农牧餐助力广告调用地址

2012-5-13 22:29
6282
如题,本人菜鸟,经过一段时间的学习,一直没能找到这个软件的广告调用到底在哪。如进行PUSH修改,每次运行时都会被强制关机。实在不解,这是程序的自我保护吗?连调试都不知道怎么弄了。

软件名称:超强QQ农牧餐助手
版    本:4.08

附上程序文件,求大师指点。谢谢。
超强QQ农牧餐助手.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 6965
活跃值: (3505)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

论坛高手极多,为何无人帮一下?可怜的我。。……跪求中...
2012-5-15 12:37
0
雪    币: 443
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
js调用的 简单方法可以用UE去除广告链接就好 其他方法问大牛
2012-5-15 13:10
0
雪    币: 6965
活跃值: (3505)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢楼上的热情回答,大牛对偶这问题瞄都没瞄一下。。。
2012-5-15 22:42
0
雪    币: 3750
活跃值: (1807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
//此处下断点就可以看见 你想要的URL
004DEBC0   $  55            push    ebp
004DEBC1   .  8BEC          mov     ebp, esp
004DEBC3   .  6A FF         push    -1

本地调用来自 0044E675, 00450214, 00450389, 00450577, 00450658, 004506A1, 004849E1, 00485FAD, 004DB47A

通过下断  点登录后 查看
00450214   .  E8 A7E90800   call    004DEBC0
这里压入 http://app.1qtech.cn:80/qqnc/code.asp?t=0&id=1
如果想不让他打开这个广告
把上面这个地址NOP掉。
注意他有  自效验的,如果程序变了 直接 调用WINEXEC  运行SHUNTDOWN关机的
同时调用随机函数乱生成1个地址 然后CALL过去  导致程序异常崩溃。

如果不想他弹广告最好  注入DLL  HOOK他函数或者修改他内存。
2012-5-16 09:37
0
雪    币: 6965
活跃值: (3505)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢楼上的指点,学习了。
就是自校验麻烦一点,一下子就关机了,根本无法操作。有没办法绕过自校验NOP掉广告?注入DLL我还真不会。
2012-5-16 19:35
0
雪    币: 6965
活跃值: (3505)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我测试了,通过内存修改后读取数据完了一样会自动退出,但不会自动关机。
修改了两个地方都不行,一个是Call被我NOP
一个是PUSH 被我RETN。都无效,读取完了都会自动退出程序。
2012-5-16 20:44
0
雪    币: 3750
活跃值: (1807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
最上面的CALL不能直接RET返回,因为他也用这个CALL去打开农场等等网站读取数据。
只能给这个CALL装钩子过滤 如果是不想要的地址 直接retn    4返回
至于检测,你下个断点bpx WinExec出现7-8处,有一处的CALL 又有N个CALL调用
好像还有个线程也在调用
2012-5-17 10:15
0
雪    币: 3750
活跃值: (1807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
好人做到底HOOK 代码
procedure  jmpcall;assembler; //我们自己的处理函数
begin
asm
push eax
mov eax,dword ptr[esp+$20]
cmp dword ptr[eax+8],$312e7070 //这个值是人肉他的那个广告URL的部分字符
je @lexit   //如果是就和谐它
cmp dword ptr[eax+$c],$63657471 //这个值是人肉他的那个广告URL的部分字符
je @lexit
pop eax
jmp [old]  //善后,其他不过滤的通通去原函数地址继续执行
@lexit:  //直接返回
pop eax
ret
end;
end;

begin
//修改对方处理过程函数
p:=dword(@jmpcall); //我们处理函数的地址
VirtualProtect(pointer($4FA3DC),6,PAGE_EXECUTE_READWRITE,old);
CopyMemory(@old,pointer($4FA3DC),4);//保存原来函数的地址
CopyMemory(pointer($4FA3DC),@p,4);//修改成我们的函数地址
end.
附上DLL文件,直接注入,测试没问题。
cs2.rar
上传的附件:
2012-5-17 11:10
0
雪    币: 1121
活跃值: (722)
能力值: ( LV5,RANK:66 )
在线值:
发帖
回帖
粉丝
10
屏蔽广告,还是用hosts大法吧
2012-5-17 11:10
0
游客
登录 | 注册 方可回帖
返回
//