首页
社区
课程
招聘
有个exe每次点右上角×关闭都会启动浏览器打开网页, 应该Hook哪个函数
发表于: 2024-5-12 12:54 2699

有个exe每次点右上角×关闭都会启动浏览器打开网页, 应该Hook哪个函数

2024-5-12 12:54
2699

hook哪个api才能阻止它打开浏览器? 修改exe的话, 如何快速定位


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-5-12 12:58 被PEDIY编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 4120
活跃值: (5822)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
注册个回调不就好了
2024-5-12 16:32
0
雪    币: 15
活跃值: (3561)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
WCHAR Operate[] = L"Open";
ShellExecuteW(NULL, Operate, L"www.baidu.com", NULL, NULL, SW_SHOWNORMAL);  一般这样打开网页
2024-5-12 20:02
1
雪    币: 1825
活跃值: (5354)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
badboyl 注册个回调不就好了

想定位到exe文件中, 永久修改

2024-5-13 05:32
0
雪    币: 1825
活跃值: (5354)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
badboyl 注册个回调不就好了

网址字符串是www.sf666.com, ASCII, 存储在基址里, 但用010Editor搜索exe文件,找不到这个字符串, 运行后才有.

2024-5-13 07:51
0
雪    币: 1825
活跃值: (5354)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
麻木的时间 WCHAR Operate[] = L"Open"; ShellExecuteW(NULL, Operate, L"www.baidu.com", NULL, ...

厉害,被您说中了,断下了,调用的是ShellExecuteA, 参数字符串是www.sf666.com, ASCII, 存储在exe基址区域里, 按理说是全局变量, 但用010Editor搜索这个exe文件找不到此字符串, 也不是联网获得的.

2024-5-13 07:59
0
雪    币: 7541
活跃值: (5382)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
PEDIY 厉害,被您说中了,断下了,调用的是ShellExecuteA, 参数字符串是www.sf666.com, ASCII, 存储在exe基址区域里, 按理说是全局变量, ...
1.加了壳=>先脱壳就可以直接找到并修改
2.编译加密=>直接找个空白地方添加你的新网址,修改指令参数为你的网址地址
2024-5-13 08:17
1
游客
登录 | 注册 方可回帖
返回
//