新人发一帖求助．如何去广告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

新人发一帖求助．如何去广告

发表于: 2004-9-9 12:47 7033

新人发一帖求助．如何去广告

heiner

2004-9-9 12:47

7033

玩有一个游戏，每半个小时就出一次广告．

不知道真么去除，有人能简单介绍一下思路么，谢谢

messagebos 是hl.91.com,一共四个网页．．．．．．．．．．
执行文件在下面，请大虾门介绍一下思路．．

http://liulang-cn.02835.com/play.exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・1

支持

最新回复 (19)
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2 楼静态分析，搜索HTTP，然后把这个CALL暴掉就可以了，也可以更改JZ，让随机变成固机。:D 2004-9-9 13:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 3 楼等半天总算有人给我回了.HTTP,4个地址我都找到了,我刚学不久. CALL暴掉........这句话是什么意思,能详细说一下么,谢谢楼上的哥哥了. 跳转我也找了一下,没有指向他的啊...... 2004-9-9 13:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼肯定有了，有跳过这个CALL的跳跃的，你干脆直接NOP掉这个字串所在的CALL，这个应该会吧。实在不会，先看看雪5，学点基本操作好了。 2004-9-9 13:26 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 5 楼直接NOP掉这个会,不知道行不行............. 跳过这个CALL的跳跃真么找,蛋壳哥再多说两句吧:p 2004-9-9 13:29 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 6 楼有定时就等于告诉你了一个条件关系，也就存在一个跳跃，改掉这个跳跃就可以了。 2004-9-9 13:34 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 7 楼真么找这个跳跃? ::004BB9A1:: 68 AC5F5800 PUSH 585FAC \->:http://hl.91.com/hl3.0/passw/pass.htm 我搜索了一下004BB9A1,没有跳转跳到这里的.我用的是C32Asm 是不是搜索错误了呢 2004-9-9 13:40 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼用WINDASM32去看好吧 2004-9-9 13:42 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 9 楼晕了,这个广告不简单啊,都试验了都不行 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm 我把这个直接NOP掉,结果到时间就非法了,好象是半小时一次,广告照样出. 有两个跳转,跳过这个CALL,改了几次都不行..... ::00492BDC:: 75 2F JNZ SHORT 00492C0D ::00492BEB:: 74 20 JE SHORT 00492C0D 还是望蛋客哥指点一下. 文件下载,http://liulang-cn.02835.com/play.exe 2004-9-9 15:08 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 10 楼有没有高手指点一下,用正常的途径去不掉广告的研究一天也没弄明白. 2004-9-10 00:13 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 11 楼你看一下，你的程序是什么语言写的？广告是什么提示？ 2004-9-10 00:17 0
AloneWolf 雪币： 13322 活跃值： (4317) 能力值： ( LV15，RANK：1673 ) 在线值：发帖 36 回帖 354 粉丝 14 关注私信	AloneWolf 3 12 楼搜索 IExplore.exe 试试....此法可能有效... 2004-9-10 00:24 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 13 楼最初由 lordor 发布你看一下，你的程序是什么语言写的？广告是什么提示？是VC++写的广告是 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm http://hl.91.com/notice.htm这个是广告 2004-9-10 01:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 14 楼最初由 AloneWolf 发布搜索 IExplore.exe 试试....此法可能有效... 找过了,没有找到..........从早搞到晚,晕了 2004-9-10 01:12 0
hello! 雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	hello! 15 楼 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 :00492DA7 898320010000 mov dword ptr [ebx+00000120], eax :00492DAD 8B0D8C785800 mov ecx, dword ptr [0058788C] * Possible StringData Ref from Data Obj ->"http://hl.91.com/notice.htm" \| :00492DB3 689C295800 push 0058299C :00492DB8 E883F10300 call 004D1F40 2004-9-10 08:31 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 16 楼试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞 2004-9-10 09:17 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 17 楼最初由 hello! 发布 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 ........ 实验过了不行,前面有两个地方能跳过这个CALL的,都改过了,不可以. 2004-9-10 12:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 18 楼最初由 lordor 发布试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞是一小时出一次,正好正点的时候出,看了几次还是没看明白啊 2004-9-10 12:11 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 19 楼 http://liulang-cn.02835.com/play.exe 我这都无法运行，缺少库，去主页看，让人感到害怕，这东西肯定不是什么好鸟写的。 2004-9-10 12:36 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼最初由 heiner 发布玩有一个游戏，每半个小时就出一次广告．不知道真么去除，有人能简单介绍一下思路么，谢谢 ........ 大概看了一下，由于无法运行，不知道是否可行。把图里的两个跳跃分别一个一次改成EB2F以及EB20,不要全部改，是一次一改，分别试一下。 2004-9-10 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

heiner

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2 楼静态分析，搜索HTTP，然后把这个CALL暴掉就可以了，也可以更改JZ，让随机变成固机。:D 2004-9-9 13:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 3 楼等半天总算有人给我回了.HTTP,4个地址我都找到了,我刚学不久. CALL暴掉........这句话是什么意思,能详细说一下么,谢谢楼上的哥哥了. 跳转我也找了一下,没有指向他的啊...... 2004-9-9 13:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼肯定有了，有跳过这个CALL的跳跃的，你干脆直接NOP掉这个字串所在的CALL，这个应该会吧。实在不会，先看看雪5，学点基本操作好了。 2004-9-9 13:26 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 5 楼直接NOP掉这个会,不知道行不行............. 跳过这个CALL的跳跃真么找,蛋壳哥再多说两句吧:p 2004-9-9 13:29 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 6 楼有定时就等于告诉你了一个条件关系，也就存在一个跳跃，改掉这个跳跃就可以了。 2004-9-9 13:34 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 7 楼真么找这个跳跃? ::004BB9A1:: 68 AC5F5800 PUSH 585FAC \->:http://hl.91.com/hl3.0/passw/pass.htm 我搜索了一下004BB9A1,没有跳转跳到这里的.我用的是C32Asm 是不是搜索错误了呢 2004-9-9 13:40 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼用WINDASM32去看好吧 2004-9-9 13:42 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 9 楼晕了,这个广告不简单啊,都试验了都不行 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm 我把这个直接NOP掉,结果到时间就非法了,好象是半小时一次,广告照样出. 有两个跳转,跳过这个CALL,改了几次都不行..... ::00492BDC:: 75 2F JNZ SHORT 00492C0D ::00492BEB:: 74 20 JE SHORT 00492C0D 还是望蛋客哥指点一下. 文件下载,http://liulang-cn.02835.com/play.exe 2004-9-9 15:08 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 10 楼有没有高手指点一下,用正常的途径去不掉广告的研究一天也没弄明白. 2004-9-10 00:13 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 11 楼你看一下，你的程序是什么语言写的？广告是什么提示？ 2004-9-10 00:17 0
AloneWolf 雪币： 13322 活跃值： (4317) 能力值： ( LV15，RANK：1673 ) 在线值：发帖 36 回帖 354 粉丝 14 关注私信	AloneWolf 3 12 楼搜索 IExplore.exe 试试....此法可能有效... 2004-9-10 00:24 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 13 楼最初由 lordor 发布你看一下，你的程序是什么语言写的？广告是什么提示？是VC++写的广告是 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm http://hl.91.com/notice.htm这个是广告 2004-9-10 01:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 14 楼最初由 AloneWolf 发布搜索 IExplore.exe 试试....此法可能有效... 找过了,没有找到..........从早搞到晚,晕了 2004-9-10 01:12 0
hello! 雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	hello! 15 楼 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 :00492DA7 898320010000 mov dword ptr [ebx+00000120], eax :00492DAD 8B0D8C785800 mov ecx, dword ptr [0058788C] * Possible StringData Ref from Data Obj ->"http://hl.91.com/notice.htm" \| :00492DB3 689C295800 push 0058299C :00492DB8 E883F10300 call 004D1F40 2004-9-10 08:31 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 16 楼试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞 2004-9-10 09:17 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 17 楼最初由 hello! 发布 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 ........ 实验过了不行,前面有两个地方能跳过这个CALL的,都改过了,不可以. 2004-9-10 12:10 0
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 18 楼最初由 lordor 发布试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞是一小时出一次,正好正点的时候出,看了几次还是没看明白啊 2004-9-10 12:11 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 19 楼 http://liulang-cn.02835.com/play.exe 我这都无法运行，缺少库，去主页看，让人感到害怕，这东西肯定不是什么好鸟写的。 2004-9-10 12:36 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼最初由 heiner 发布玩有一个游戏，每半个小时就出一次广告．不知道真么去除，有人能简单介绍一下思路么，谢谢 ........ 大概看了一下，由于无法运行，不知道是否可行。把图里的两个跳跃分别一个一次改成EB2F以及EB20,不要全部改，是一次一改，分别试一下。 2004-9-10 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复