首页
社区
课程
招聘
有个exe每次点右上角×关闭都会启动浏览器打开网页, 应该Hook哪个函数
发表于: 2024-5-12 12:54 2808

有个exe每次点右上角×关闭都会启动浏览器打开网页, 应该Hook哪个函数

2024-5-12 12:54
2808

hook哪个api才能阻止它打开浏览器? 修改exe的话, 如何快速定位


[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!

最后于 2024-5-12 12:58 被PEDIY编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 4134
活跃值: (5847)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
注册个回调不就好了
2024-5-12 16:32
0
雪    币: 5
活跃值: (3981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
WCHAR Operate[] = L"Open";
ShellExecuteW(NULL, Operate, L"dc7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6t1$3M7i4g2G2N6q4)9K6b7W2)9J5b7#2)9J5y4X3&6T1M7%4m8Q4x3@1u0z5g2f1I4x3i4K6u0o6i4K6t1$3L8X3u0K6M7q4)9K6b7V1&6g2e0p5I4Q4x3V1y4Q4x3U0k6F1j5Y4y4H3i4K6y4n7f1#2N6Q4y4h3k6e0d9p5!0i4e0V1!0d9e0f1q4x3i4K6t1&6i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0S2Q4z5o6S2Q4b7f1y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8e0k6Q4z5o6W2Q4z5e0y4Q4c8e0g2Q4b7V1y4Q4z5o6m8Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0W2Q4b7e0q4Q4b7U0f1`.
2024-5-12 20:02
1
雪    币: 1832
活跃值: (5387)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
badboyl 注册个回调不就好了

想定位到exe文件中, 永久修改

2024-5-13 05:32
0
雪    币: 1832
活跃值: (5387)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
badboyl 注册个回调不就好了

网址字符串是f25N6%4N6%4i4K6u0W2M7$3j5$3y4U0k6Q4x3X3g2U0L8$3#2Q4x3V1x3`. ASCII, 存储在基址里, 但用010Editor搜索exe文件,找不到这个字符串, 运行后才有.

2024-5-13 07:51
0
雪    币: 1832
活跃值: (5387)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
麻木的时间 WCHAR Operate[] = L"Open"; ShellExecuteW(NULL, Operate, L"0efK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6t1$3M7i4g2G2N6q4)9K6b7W2)9J5b7H3`.`. NULL, ...

厉害,被您说中了,断下了,调用的是ShellExecuteA, 参数字符串是53fN6%4N6%4i4K6u0W2M7$3j5$3y4U0k6Q4x3X3g2U0L8$3#2Q4x3V1x3`. ASCII, 存储在exe基址区域里, 按理说是全局变量, 但用010Editor搜索这个exe文件找不到此字符串, 也不是联网获得的.

2024-5-13 07:59
0
雪    币: 7922
活跃值: (5727)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
PEDIY 厉害,被您说中了,断下了,调用的是ShellExecuteA, 参数字符串是df8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4X3y4U0j5$3i4K6u0W2j5$3!0E0i4K6u0o6i4K6t1$3j5h3#2H3i4K6y4n7L8X3u0K6M7q4)9K6b7V1q4e0b7@1W2u0i4K6u0o6 存储在exe基址区域里, 按理说是全局变量, ...
1.加了壳=>先脱壳就可以直接找到并修改
2.编译加密=>直接找个空白地方添加你的新网址,修改指令参数为你的网址地址
2024-5-13 08:17
1
游客
登录 | 注册 方可回帖
返回