1.先不让它访问 0054B544  http://biz4.sandai.net/ad/thunder5/show/adtask.dat

查找这字串
然后向上找到call头把
0054B20C      55 PUSH EBP
         改为 C3 RETN
这样在防火墙就看不到它访问 80 端口的广告地址了

2.要改一下界面
407CAC  |.  E8 49FFFFFF            CALL <JMP.&user32.CreateWindowExA>                            ; \CreateWindowExA
在 CreateWindowExA 处jmp 到一空白的地方

写上代码
00564A22      00                     DB 00
00564A23      50                     PUSH EAX
00564A24      51                     PUSH ECX
00564A25      8B4424 24              MOV EAX, DWORD PTR SS:[ESP+24] //取宽
00564A29      8B4C24 20              MOV ECX, DWORD PTR SS:[ESP+20] //取高
00564A2D      83F8 3F                CMP EAX, 3F                    //比较高是不是63
00564A30      75 12                  JNZ SHORT Thunder.00564A44
00564A32      C74424 20 00000000     MOV DWORD PTR SS:[ESP+20], 0   //是就置0
00564A3A      C74424 24 00000000     MOV DWORD PTR SS:[ESP+24], 0
00564A42      EB 15                  JMP SHORT Thunder.00564A59
00564A44      83F8 05                CMP EAX, 5                     //比较高是不是5   
00564A47      75 10                  JNZ SHORT Thunder.00564A59
00564A49      C74424 20 00000000     MOV DWORD PTR SS:[ESP+20], 0   //是就置0
00564A51      C74424 24 00000000     MOV DWORD PTR SS:[ESP+24], 0
00564A59      59                     POP ECX
00564A5A      58                     POP EAX
00564A5B      E8 FC31EAFF            CALL <JMP.&user32.CreateWindowExA> //创建窗口
00564A60    ^ E9 4C32EAFF            JMP Thunder.00407CB1               //回去继续
00564A65      00                     DB 00

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课