新人发一帖求助．如何去广告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

新人发一帖求助．如何去广告

2004-9-9 12:47 6815

新人发一帖求助．如何去广告

heiner

2004-9-9 12:47

6815

玩有一个游戏，每半个小时就出一次广告．

不知道真么去除，有人能简单介绍一下思路么，谢谢

messagebos 是hl.91.com,一共四个网页．．．．．．．．．．
执行文件在下面，请大虾门介绍一下思路．．

http://liulang-cn.02835.com/play.exe

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・2

免费・1

打赏

最新回复 (19)
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:10 2 楼 0 静态分析，搜索HTTP，然后把这个CALL暴掉就可以了，也可以更改JZ，让随机变成固机。:D
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:22 3 楼 0 等半天总算有人给我回了.HTTP,4个地址我都找到了,我刚学不久. CALL暴掉........这句话是什么意思,能详细说一下么,谢谢楼上的哥哥了. 跳转我也找了一下,没有指向他的啊......
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:26 4 楼 0 肯定有了，有跳过这个CALL的跳跃的，你干脆直接NOP掉这个字串所在的CALL，这个应该会吧。实在不会，先看看雪5，学点基本操作好了。
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:29 5 楼 0 直接NOP掉这个会,不知道行不行............. 跳过这个CALL的跳跃真么找,蛋壳哥再多说两句吧:p
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:34 6 楼 0 有定时就等于告诉你了一个条件关系，也就存在一个跳跃，改掉这个跳跃就可以了。
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:40 7 楼 0 真么找这个跳跃? ::004BB9A1:: 68 AC5F5800 PUSH 585FAC \->:http://hl.91.com/hl3.0/passw/pass.htm 我搜索了一下004BB9A1,没有跳转跳到这里的.我用的是C32Asm 是不是搜索错误了呢
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:42 8 楼 0 用WINDASM32去看好吧
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 15:08 9 楼 0 晕了,这个广告不简单啊,都试验了都不行 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm 我把这个直接NOP掉,结果到时间就非法了,好象是半小时一次,广告照样出. 有两个跳转,跳过这个CALL,改了几次都不行..... ::00492BDC:: 75 2F JNZ SHORT 00492C0D ::00492BEB:: 74 20 JE SHORT 00492C0D 还是望蛋客哥指点一下. 文件下载,http://liulang-cn.02835.com/play.exe
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 00:13 10 楼 0 有没有高手指点一下,用正常的途径去不掉广告的研究一天也没弄明白.
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2004-9-10 00:17 11 楼 0 你看一下，你的程序是什么语言写的？广告是什么提示？
AloneWolf 雪币： 12334 活跃值： (3487) 能力值： ( LV15，RANK：1565 ) 在线值：发帖 34 回帖 351 粉丝 10 关注私信	AloneWolf 3 2004-9-10 00:24 12 楼 0 搜索 IExplore.exe 试试....此法可能有效...
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 01:10 13 楼 0 最初由 lordor 发布你看一下，你的程序是什么语言写的？广告是什么提示？是VC++写的广告是 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm http://hl.91.com/notice.htm这个是广告
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 01:12 14 楼 0 最初由 AloneWolf 发布搜索 IExplore.exe 试试....此法可能有效... 找过了,没有找到..........从早搞到晚,晕了
hello! 雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	hello! 2004-9-10 08:31 15 楼 0 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 :00492DA7 898320010000 mov dword ptr [ebx+00000120], eax :00492DAD 8B0D8C785800 mov ecx, dword ptr [0058788C] * Possible StringData Ref from Data Obj ->"http://hl.91.com/notice.htm" \| :00492DB3 689C295800 push 0058299C :00492DB8 E883F10300 call 004D1F40
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2004-9-10 09:17 16 楼 0 试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 12:10 17 楼 0 最初由 hello! 发布 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 ........ 实验过了不行,前面有两个地方能跳过这个CALL的,都改过了,不可以.
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 12:11 18 楼 0 最初由 lordor 发布试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞是一小时出一次,正好正点的时候出,看了几次还是没看明白啊
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:36 19 楼 0 http://liulang-cn.02835.com/play.exe 我这都无法运行，缺少库，去主页看，让人感到害怕，这东西肯定不是什么好鸟写的。
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:44 20 楼 0 最初由 heiner 发布玩有一个游戏，每半个小时就出一次广告．不知道真么去除，有人能简单介绍一下思路么，谢谢 ........ 大概看了一下，由于无法运行，不知道是否可行。把图里的两个跳跃分别一个一次改成EB2F以及EB20,不要全部改，是一次一改，分别试一下。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

heiner

发帖

回帖

RANK

关注

私信

他的文章

新人发一帖求助．如何去广告

新手求助,请好心人帮忙

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:10 2 楼 0 静态分析，搜索HTTP，然后把这个CALL暴掉就可以了，也可以更改JZ，让随机变成固机。:D
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:22 3 楼 0 等半天总算有人给我回了.HTTP,4个地址我都找到了,我刚学不久. CALL暴掉........这句话是什么意思,能详细说一下么,谢谢楼上的哥哥了. 跳转我也找了一下,没有指向他的啊......
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:26 4 楼 0 肯定有了，有跳过这个CALL的跳跃的，你干脆直接NOP掉这个字串所在的CALL，这个应该会吧。实在不会，先看看雪5，学点基本操作好了。
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:29 5 楼 0 直接NOP掉这个会,不知道行不行............. 跳过这个CALL的跳跃真么找,蛋壳哥再多说两句吧:p
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:34 6 楼 0 有定时就等于告诉你了一个条件关系，也就存在一个跳跃，改掉这个跳跃就可以了。
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 13:40 7 楼 0 真么找这个跳跃? ::004BB9A1:: 68 AC5F5800 PUSH 585FAC \->:http://hl.91.com/hl3.0/passw/pass.htm 我搜索了一下004BB9A1,没有跳转跳到这里的.我用的是C32Asm 是不是搜索错误了呢
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-9 13:42 8 楼 0 用WINDASM32去看好吧
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-9 15:08 9 楼 0 晕了,这个广告不简单啊,都试验了都不行 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm 我把这个直接NOP掉,结果到时间就非法了,好象是半小时一次,广告照样出. 有两个跳转,跳过这个CALL,改了几次都不行..... ::00492BDC:: 75 2F JNZ SHORT 00492C0D ::00492BEB:: 74 20 JE SHORT 00492C0D 还是望蛋客哥指点一下. 文件下载,http://liulang-cn.02835.com/play.exe
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 00:13 10 楼 0 有没有高手指点一下,用正常的途径去不掉广告的研究一天也没弄明白.
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2004-9-10 00:17 11 楼 0 你看一下，你的程序是什么语言写的？广告是什么提示？
AloneWolf 雪币： 12334 活跃值： (3487) 能力值： ( LV15，RANK：1565 ) 在线值：发帖 34 回帖 351 粉丝 10 关注私信	AloneWolf 3 2004-9-10 00:24 12 楼 0 搜索 IExplore.exe 试试....此法可能有效...
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 01:10 13 楼 0 最初由 lordor 发布你看一下，你的程序是什么语言写的？广告是什么提示？是VC++写的广告是 ::00492C03:: 68 9C295800 PUSH 58299C \->: http://hl.91.com/notice.htm http://hl.91.com/notice.htm这个是广告
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 01:12 14 楼 0 最初由 AloneWolf 发布搜索 IExplore.exe 试试....此法可能有效... 找过了,没有找到..........从早搞到晚,晕了
hello! 雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	hello! 2004-9-10 08:31 15 楼 0 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 :00492DA7 898320010000 mov dword ptr [ebx+00000120], eax :00492DAD 8B0D8C785800 mov ecx, dword ptr [0058788C] * Possible StringData Ref from Data Obj ->"http://hl.91.com/notice.htm" \| :00492DB3 689C295800 push 0058299C :00492DB8 E883F10300 call 004D1F40
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2004-9-10 09:17 16 楼 0 试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 12:10 17 楼 0 最初由 hello! 发布 :00492D95 398320010000 cmp dword ptr [ebx+00000120], eax :00492D9B 7420 je 00492DBD 这里74改EB,别的地方也类似这里修改,试过了吗? :00492D9D 6858020000 push 00000258 :00492DA2 6820030000 push 00000320 ........ 实验过了不行,前面有两个地方能跳过这个CALL的,都改过了,不可以.
heiner 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	heiner 2004-9-10 12:11 18 楼 0 最初由 lordor 发布试一下用Messagebox下断点，如果是VC的话，弹出框应该不难搞是一小时出一次,正好正点的时候出,看了几次还是没看明白啊
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:36 19 楼 0 http://liulang-cn.02835.com/play.exe 我这都无法运行，缺少库，去主页看，让人感到害怕，这东西肯定不是什么好鸟写的。
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:44 20 楼 0 最初由 heiner 发布玩有一个游戏，每半个小时就出一次广告．不知道真么去除，有人能简单介绍一下思路么，谢谢 ........ 大概看了一下，由于无法运行，不知道是否可行。把图里的两个跳跃分别一个一次改成EB2F以及EB20,不要全部改，是一次一改，分别试一下。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复