能力值:
( LV2,RANK:10 )
|
-
-
2 楼
论坛高手极多,为何无人帮一下?可怜的我。。……跪求中...
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
js调用的 简单方法可以用UE去除广告链接就好 其他方法问大牛
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
感谢楼上的热情回答,大牛对偶这问题瞄都没瞄一下。。。 
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
//此处下断点就可以看见 你想要的URL
004DEBC0 $ 55 push ebp
004DEBC1 . 8BEC mov ebp, esp
004DEBC3 . 6A FF push -1
本地调用来自 0044E675, 00450214, 00450389, 00450577, 00450658, 004506A1, 004849E1, 00485FAD, 004DB47A
通过下断 点登录后 查看
00450214 . E8 A7E90800 call 004DEBC0
这里压入 http://app.1qtech.cn:80/qqnc/code.asp?t=0&id=1
如果想不让他打开这个广告
把上面这个地址NOP掉。
注意他有 自效验的,如果程序变了 直接 调用WINEXEC 运行SHUNTDOWN关机的
同时调用随机函数乱生成1个地址 然后CALL过去 导致程序异常崩溃。
如果不想他弹广告最好 注入DLL HOOK他函数或者修改他内存。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
感谢楼上的指点,学习了。
就是自校验麻烦一点,一下子就关机了,根本无法操作。有没办法绕过自校验NOP掉广告?注入DLL我还真不会。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
我测试了,通过内存修改后读取数据完了一样会自动退出,但不会自动关机。
修改了两个地方都不行,一个是Call被我NOP
一个是PUSH 被我RETN。都无效,读取完了都会自动退出程序。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最上面的CALL不能直接RET返回,因为他也用这个CALL去打开农场等等网站读取数据。
只能给这个CALL装钩子过滤 如果是不想要的地址 直接retn 4返回
至于检测,你下个断点bpx WinExec出现7-8处,有一处的CALL 又有N个CALL调用
好像还有个线程也在调用
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
好人做到底HOOK 代码
procedure jmpcall;assembler; //我们自己的处理函数
begin
asm
push eax
mov eax,dword ptr[esp+$20]
cmp dword ptr[eax+8],$312e7070 //这个值是人肉他的那个广告URL的部分字符
je @lexit //如果是就和谐它
cmp dword ptr[eax+$c],$63657471 //这个值是人肉他的那个广告URL的部分字符
je @lexit
pop eax
jmp [old] //善后,其他不过滤的通通去原函数地址继续执行
@lexit: //直接返回
pop eax
ret
end;
end;
begin
//修改对方处理过程函数
p:=dword(@jmpcall); //我们处理函数的地址
VirtualProtect(pointer($4FA3DC),6,PAGE_EXECUTE_READWRITE,old);
CopyMemory(@old,pointer($4FA3DC),4);//保存原来函数的地址
CopyMemory(pointer($4FA3DC),@p,4);//修改成我们的函数地址
end.
附上DLL文件,直接注入,测试没问题。
cs2.rar
|
能力值:
( LV5,RANK:66 )
|
-
-
10 楼
屏蔽广告,还是用hosts大法吧
|
|
|
|
