首页
社区
课程
招聘
[旧帖] [求助]去除一个易语言程序退出打开网页 0.00雪花
发表于: 2009-4-27 01:33 12486

[旧帖] [求助]去除一个易语言程序退出打开网页 0.00雪花

2009-4-27 01:33
12486
一易语言程序.目的只为去除关闭程序时候打开网页.
PEID查壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,脱壳机脱之
再用Dump_e奥运版处理过,能看到.ecode

OD载入程序
Alt+m .ecode上下断点,F9
断下后Alt+e 在shell32上右键查看名称,找到ShellExecuteA下断点,关闭程序,没弹出网页成功断下.堆栈显示

0012EF84   011D71A8  /CALL 到 ShellExecuteA 来自 eAPI.011D71A2
0012EF88   00000000  |hWnd = NULL
0012EF8C   01202430  |Operation = "open"
0012EF90   012272E0  |FileName = "http://123.net"
0012EF94   00000000  |Parameters = NULL
0012EF98   00000000  |DefDir = NULL
0012EF9C   00000001  \IsShown = 1

下面该如何操作

附件在9楼

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
NOP掉……
2009-4-27 08:20
0
雪    币: 104
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
别直接NOP这个地方,因为是来自eAPI模块的,会导致其它正常调用此函数的地方出问题。从调用堆栈再向上看看,一直到EXE的模块,就可以NOP了。
2009-4-27 08:26
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
把那个网站改掉或NOP掉  看他打开什么啊
2009-4-27 08:54
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这样还是会打开IE
2009-4-27 15:30
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
初入破解,OD都用的不顺畅,是ALT+F9返回吗?还是Ctrl+F9.两者都试过,按了很久,还是在系统文件模块转.不知道做的对不对
2009-4-27 15:32
0
雪    币: 257
活跃值: (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我想应该用jmp跳过这个!
2009-4-27 17:17
0
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
给个程序上来看看
2009-4-27 18:47
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这是附件.2个附件放一起
上传的附件:
2009-4-27 23:58
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这个试了下,有个地方nop掉网址,程序退出时候出现错误,而且进程一直在
2009-4-28 00:01
0
雪    币: 193
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
nop掉网址貌似只能不开这个网址但是IE还是会启动
2009-4-28 10:02
0
雪    币: 340
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
【去掉弹网页的2种方法-Squn-推荐】

http://www.rayfile.com/zh-cn/files/f...-0019d11a795f/

↑ 这是动画下载链接~

里面有讲如何去除弹网页。

在0012EF84   011D71A8  /CALL 到 ShellExecuteA 来自 eAPI.011D71A2 这一行回车(或右键跟随到反汇编窗口)

跟随到反汇编窗口后。。

具体操作我动画里面有讲。。有兴趣的话可以看一下咯~
2009-4-28 14:02
0
雪    币: 296
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
是否查看代码[Y/N].....y

00D0DB51: 68 C0520A00      PUSH 000A52C0;,cf.exe
00D0DB97: 68 51552300      PUSH 00235551;,cf1.exe
00D0DBBA: 68 14000000      PUSH 00000014;,
00D0DC1E: 68 28500A00      PUSH 000A5028;,C:\Program Files\PrxDrvPE.dll
00D0DCA0: 68 A3520A00      PUSH 000A52A3;,C:\Program Files\Current.prx
00D0DCE1: 68 28500A00      PUSH 000A5028;,C:\Program Files\PrxDrvPE.dll
00D0DD22: 68 37131000      PUSH 00101337;,C:\Program Files\gamecap.bin
00D0DDE5: 68 814B2300      PUSH 00234B81;,C:\Program Files\cf1.exe
00D0DE03: 68 F0000000      PUSH 000000F0;,PE
00D0DE26: 68 5CE31000      PUSH 0010E35C;,C:\Program Files\gamecap.dll
00D0DE44: 68 18010000      PUSH 00000118;,韝
00D0DEA8: 68 3E552300      PUSH 0023553E;,http://myqzone.net
00D0DEDC: 68 3E552300      PUSH 0023553E;,http://myqzone.net
2009-4-28 14:19
0
雪    币: 209
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
00640499    E8 B2000000     CALL 00640550                            ; dump_.00640550
0064049E    83C4 10         ADD ESP, 10
006404A1    68 04000080     PUSH 80000004
006404A6    6A 00           PUSH 0
006404A8    68 7B866300     PUSH 63867B                         ; ASCII "http://myqzone.net"
006404AD    68 01000000     PUSH 1
006404B2    BB E0000000     MOV EBX, 0E0
006404B7    B8 01000000     MOV EAX, 1
006404BC    E8 8F000000     CALL 00640550                  “这里NOP了就行了吧!”      
006404C1    83C4 10         ADD ESP, 10
006404C4    6A 00           PUSH 0
006404C6    E8 6D000000     CALL 00640538                            ; dump_.00640538
006404CB    83C4 04         ADD ESP, 4
006404CE    8BE5            MOV ESP, EBP
006404D0    5D              POP EBP
006404D1    C3              RETN
2009-4-28 14:53
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
[QUOTE=Squn;613239]【去掉弹网页的2种方法-Squn-推荐】

http://www.rayfile.com/zh-cn/files/f...-0019d11a795f/

↑ 这是动画下载链接~

里面有讲如何去除弹网页。

在0012EF84   011D71A8  /CALL 到 ShellEx...[/QUOTE]

链接,文件未找到额

搜索了下,看雪有链接 http://bbs.pediy.com/showthread.php?t=77096

谢谢~~学习中
2009-4-28 17:47
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
最后目的是达到了,修改的是函数库eAPI.fne.难道易语言的就这样吗?改函数库感觉有隐患
2009-4-28 18:32
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
恩恩.这样可以的,thx
2009-4-28 18:44
0
游客
登录 | 注册 方可回帖
返回
//