----------------去在C盘生成文件夹行为

载入OD--Ctrl+G--输入 401000--右击--删除模块分析--右击--搜索字符串--Ctrl+F--输入 C:\Program Files\726--确定--然后双击跟随

004F4BA3   .  55            push ebp
004F4BA4   .  68 D64E4F00   push poper.004F4ED6
004F4BA9   .  64:FF30       push dword ptr fs:[eax]
004F4BAC   .  64:8920       mov dword ptr fs:[eax],esp
004F4BAF   .  8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
004F4BB2   .  8B80 74030000 mov eax,dword ptr ds:[eax+0x374]
004F4BB8   .  33D2          xor edx,edx
004F4BBA   .  E8 FD3CF4FF   call poper.004388BC
004F4BBF   .  B8 EC4E4F00   mov eax,poper.004F4EEC                   ;  C:\Program Files\726
004F4BC4   .  E8 834AF1FF   call poper.0040964C                      ;  关键Call  NOP
---------------------------------------------------------------------------------------------
再回到字符串参考--Ctrl+F--输入 C:\Program Files\hao123--确定--右击跟随，然后还是按照上面的方法
004F4BCB   /75 0C           jnz short poper.004F4BD9
004F4BCD   |6A 00           push 0x0
004F4BCF   |68 044F4F00     push poper.004F4F04                      ; c:\Program Files\726
004F4BD4   |E8 F720F1FF     call <jmp.&kernel32.CreateDirectoryA>
004F4BD9   \B8 244F4F00     mov eax,poper.004F4F24                   ; C:\Program Files\hao123
004F4BDE    E8 694AF1FF     call poper.0040964C                      ;   //关键Call NOP
-----------------------------------------------------------------------------------------------

----------------去桌面生成图标行为

先进入字符串参考【右击--寻找字符串】--输入 购物大全 --确定--双击跟随，然后在下面的Call里NOP

004F4E6E   .  8B4D D4       mov ecx,dword ptr ss:[ebp-0x2C]
004F4E71   .  BA BC514F00   mov edx,poper.004F51BC                   ;  华华后台进程拦截器
004F4E76   .  8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
004F4E79   .  E8 2E040000   call poper.004F52AC
004F4E7E   >  8D45 D0       lea eax,dword ptr ss:[ebp-0x30]
004F4E81   .  B9 D8514F00   mov ecx,poper.004F51D8                   ;  \购物大全.lnk
004F4E86   .  8B55 F8       mov edx,dword ptr ss:[ebp-0x8]
004F4E89   .  E8 D6F7F0FF   call poper.00404664                      ;    //关键Call NOP

-------去 华华后天进程拦截器 图标

我们先搜索字符串--输入 华华后台进程拦截器 --确定.发现下面有 无关 的字串  华华后台进程拦截器V1.2，先别理它吧，双击跟随

004F4E30   > \FF75 F8       push dword ptr ss:[ebp-0x8]
004F4E33   .  68 A4504F00   push poper.004F50A4                      ;  \
004F4E38   .  68 B0504F00   push poper.004F50B0                      ;  华华后台进程拦截器.lnk
004F4E3D   .  8D45 D8       lea eax,dword ptr ss:[ebp-0x28]
004F4E40   .  BA 03000000   mov edx,0x3
004F4E45   .  E8 8EF8F0FF   call poper.004046D8

在此F2下断，唉，F8运行后，在桌面生成图标后才断点的。

突然想起那个无关的字符串，我们试试在那里断点

004F4E54   . /75 28         jnz short poper.004F4E7E                 ;  //  在此F2下断
004F4E56   . |6A 00         push 0x0
004F4E58   . |6A 00         push 0x0
004F4E5A   . |68 9C514F00   push poper.004F519C                      ;  华华后台进程拦截器V1.2
004F4E5F   . |8D55 D4       lea edx,dword ptr ss:[ebp-0x2C]
004F4E62   . |A1 909B4F00   mov eax,dword ptr ds:[0x4F9B90]
004F4E67   . |8B00          mov eax,dword ptr ds:[eax]
004F4E69   . |E8 6A3CF8FF   call poper.00478AD8

我们就在 004F4E56 F2断点吧，断点后,F9运行。

嘿，断住了，并且桌面并没有生成图标。我们F8继续跟

004F4E54   . /75 28         jnz short poper.004F4E7E                 ;  //  在此F2断点
004F4E56   . |6A 00         push 0x0                                 ;  // F8单步走.跟下去
004F4E58   . |6A 00         push 0x0
004F4E5A   . |68 9C514F00   push poper.004F519C                      ;  华华后台进程拦截器V1.2
004F4E5F   . |8D55 D4       lea edx,dword ptr ss:[ebp-0x2C]          ;  // 继续F8单步走.跟下去
004F4E62   . |A1 909B4F00   mov eax,dword ptr ds:[0x4F9B90]
004F4E67   . |8B00          mov eax,dword ptr ds:[eax]
004F4E69   . |E8 6A3CF8FF   call poper.00478AD8
004F4E6E   . |8B4D D4       mov ecx,dword ptr ss:[ebp-0x2C]
004F4E71   . |BA BC514F00   mov edx,poper.004F51BC                   ;  华华后台进程拦截器
004F4E76   . |8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
004F4E79   . |E8 2E040000   call poper.004F52AC                      ;  // 走到这里后,发现软件缓冲,并且在桌面生成了图标,所以,在此NOP

当走到 004F4E79 后，发现软件有缓冲，并且生成了图标。所以，这里就是关键Call了,NOP掉后即可~

最后，我们保存。

木有技术含量.我也是菜鸟

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课