首页
社区
课程
招聘
[求助][求助]如何修改EXE,以去掉写文件功能
发表于: 2009-2-23 16:40 6647

[求助][求助]如何修改EXE,以去掉写文件功能

2009-2-23 16:40
6647
铭心工作室的串口调试程序,这个程序唯一不好的地方,就是在exe关闭前,会往c:/windows/system32下写入一个filefucker.exe的文件,并在window右键菜单中添加“filefucker.exe打开”选项,其实也算不上什么恶意软件,但是总举得这种偷鸡摸狗的把戏让人不爽。
   OD 下断到writefile,然后,俺就不知道怎么办了.....请各位大牛指点一下,如何直接在此处结束程序,不去写那该死的filefucker.exe文件?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 559
活跃值: (1723)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
2
找到写文件的关键call,然后直接写一个退出的  (ExitProcess)就OK了
2009-2-23 17:58
0
雪    币: 559
活跃值: (1723)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
3
应该下  CreateFileA  这个断点:

====================================
00407A9F   /75 09                   jnz short UartAssi.00407AAA     ;判断是否存在“filefucker.exe”,如果存在就跳,没有就创建。把这里改为jmp就ok了

00407AA1   |FF75 B0                 push dword ptr ss:[ebp-50]
00407AA4   |E8 07F8FFFF             call UartAssi.004072B0         ;创建“filefucker.exe”
00407AA9   |59                      pop ecx
00407AAA   \66:C785 3CFFFFFF D400   mov word ptr ss:[ebp-C4],0D4

====================================

呵呵,
上传的附件:
2009-2-23 18:11
0
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
004073C0 E8 155A417C call ExitProcess

找到这个地址 直接改成这个样子
2009-2-23 18:14
0
雪    币: 214
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
3楼 正解

我的小站 http://www.iptry.cn
2009-2-23 18:26
0
雪    币: 559
活跃值: (1723)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
6
方法很多,但是最终的结果都是一样的。呵呵,大家多多交流。
2009-2-23 18:57
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
非常感谢各位,非常感谢
2009-2-24 09:21
0
雪    币: 603
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
8
把那里全nop,不可以吗?
2009-2-24 10:43
0
游客
登录 | 注册 方可回帖
返回
//