给无耻的国产流氓软件蜕皮教程
若问流氓何处寻?
http://www.onlinedown.net/soft/45370.htm
华军软件走一遭。
安装结束改主页,
强制流氓全家桶,
其目录中删净后,
运行还有礼物赠,
点完1号点2号,
转换时易发现,
调用一个lame.exe来达到转MP3的目的。
还是VB写的,
其实看到这里聪明的小伙伴们都明白了,
我只要这一个DOS程序就能转换了。
引用
只要两个文件 ,其他 统统滚D
通过OD看里边的字串发现,有N多的网址调用,有N多的礼物附赠,就算大分为破坏程序。
0042919A 90 nop
0042919A 6A FF push -0x1
0042919C 8B85 6CFFFFFF mov eax,dword ptr ss:[ebp-0x94] ; msvbvm60.72A071BE
004291A2 8B08 mov ecx,dword ptr ds:[eax]
004291A4 8B95 6CFFFFFF mov edx,dword ptr ss:[ebp-0x94] ; msvbvm60.72A071BE
004291AA 52 push edx
004291AB FF91 BC010000 call dword ptr ds:[ecx+0x1BC]
这几句 统统NOP掉
004298DE 90 nop
004298DF 90 nop
004298E0 90 nop
004298E1 90 nop
004298E2 90 nop
004298E3 90 nop
004298E4 90 nop
004298E5 90 nop ; 桃+
004298E6 90 nop
004298E7 90 nop
004298E8 90 nop
004298E9 90 nop
004298EA 90 nop
004298EB 90 nop ; /-软件通知
004298EC 90 nop
004298ED 90 nop
004298EE 90 nop
004298EF 90 nop
004298F0 90 nop ; \__vbaStrCat
004298F1 90 nop
004298F2 90 nop
004298F3 90 nop
004298F4 90 nop
004298F5 90 nop
004298F6 90 nop
004298F7 90 nop
004298F8 90 nop
004298F9 90 nop
004298FA 90 nop
004298FB 90 nop
004298FC 90 nop
004298FD 90 nop
004298FE 90 nop
004298FF 90 nop
00429900 90 nop
00429901 90 nop
00429902 90 nop
00429903 90 nop
00429904 90 nop
00429905 90 nop
00429906 90 nop
00429907 90 nop
00429908 90 nop
00429909 90 nop
0042990A 90 nop
0042990B 90 nop
0042990C 90 nop
0042990D 90 nop
0042990E 90 nop
0042990F 90 nop
00429910 90 nop
00429911 90 nop
00429912 90 nop
00429913 90 nop
00429914 90 nop
00429915 90 nop
00429916 90 nop
00429917 90 nop
00429918 90 nop
00429919 90 nop
0042991A 90 nop
0042991B 90 nop
0042991C 90 nop
0042991D 90 nop
0042991E 90 nop
0042991F 90 nop
00429920 90 nop
00429921 90 nop
00429922 90 nop
00429923 90 nop
00429924 90 nop
00429925 90 nop
00429926 90 nop
00429927 90 nop
00429928 90 nop
00429929 90 nop
0042992A 90 nop
0042992B 90 nop
0042992C 90 nop
0042992D 90 nop
0042992E 90 nop
0042992F 90 nop
00429930 90 nop
这几句 统统NOP掉
00429973 90 nop
00429974 90 nop
00429975 90 nop
00429976 90 nop
00429977 90 nop
00429978 90 nop
00429979 90 nop ; 桃+
0042997A 90 nop
0042997B 90 nop
0042997C 90 nop
0042997D 90 nop
0042997E 90 nop
0042997F 90 nop
00429980 90 nop ; /-首页
00429981 90 nop
00429982 90 nop
00429983 90 nop
00429984 90 nop
00429985 90 nop ; \__vbaStrCat
00429986 90 nop
00429987 90 nop
00429988 90 nop
00429989 90 nop
0042998A 90 nop
0042998B 90 nop
0042998C 90 nop
0042998D 90 nop
0042998E 90 nop
0042998F 90 nop
这几句 统统NOP掉
程序竟然 照常能运行,好恐怖啊。
貌似启动还是双线程调用,为了 流氓行为煞费苦心呐。