去除Neg窗口(警告窗口)

最新推荐文章于 2022-05-06 18:31:54 发布
最新推荐文章于 2022-05-06 18:31:54 发布
阅读量539 收藏 2
点赞数 1
分类专栏: 加密与解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40351988/article/details/87936581
版权

3种常用的方法 :修改程序的资源,静态分析以及动态分析、使用资源修改工具去除警告窗口。

显示窗口的常用函数有MessageBoxA(W)、MessageBoxExA(W)、DialogBoxParamA(W)、ShowWindow、CreateWindowExA等等。

 可以尝试利用消息设置断点进行拦截。、

看到这个neg窗口是用DialogBox函数来显示的  

0040104D  /$  8B4424 04     mov eax,dword ptr ss:[esp+0x4]
00401051  |.  6A 00         push 0x0                                 ; /lParam = NULL
00401053  |.  68 C4104000   push Nag.004010C4                        ; |DlgProc = Nag.004010C4
00401058  |.  6A 00         push 0x0                                 ; |hOwner = NULL
0040105A  |.  6A 79         push 0x79                                ; |pTemplate = 0x79
0040105C  |.  50            push eax                                 ; |hInst = C3338846
0040105D  |.  A3 9C114000   mov dword ptr ds:[0x40119C],eax          ; |
00401062  |.  FF15 10104000 call dword ptr ds:[<&USER32.DialogBoxPar>; \DialogBoxParamA
00401068  |.  33C0          xor eax,eax
0040106A  \.  C2 1000       retn 0x10

 

neg窗口的反汇编代码

0x79=121

DialogBoxPraram函数一般和EndDialog函数配对使用,前者用于打开对话框,后者关闭对话框。

参数:

hlnstance:标识一个模块的实例,该模块的可执行文件含有对话框模板。

IpTemplateName:标识对话框模板。此参数可以指向一个以NULL结尾的字符串的指针,该字符串指定对话框模扳名,或是指定对话框模板的资源标识符的一个整型值。如果此参数指定了一个资源标识符,则它的高位字一定为零,且低位字一定含有标识符。一定用MAKEINTRESOURCE宏指令创建此值。

hWndParent:指定拥有对话框的窗口。

IpDialogFunc:指向对话框过程的指针。有关更详细的关于对话框过程的信息,请参见DialogProc

dwInitParam:指定传递到对话框过程中的 WM_INITDIALOG 消息 IParam 参数的值。

上面代码的DialogProc为40100C4

004010C4   .  8B4424 08            mov eax,dword ptr ss:[esp+0x8]                        ;  kernel32.BaseThreadInitThunk
004010C8   .  2D 10010000          sub eax,0x110                                         ;  Switch (cases 110..111)
004010CD   .  74 34                je short Nag.00401103
004010CF   .  48                   dec eax
004010D0   .  75 2D                jnz short Nag.004010FF
004010D2   .  8B4424 0C            mov eax,dword ptr ss:[esp+0xC]                        ;  Case 111 of switch 004010C8
004010D6   .  48                   dec eax
004010D7   .  75 26                jnz short Nag.004010FF
004010D9   .  6A 00                push 0x0                                              ; /Result = 0x0
004010DB   .  FF7424 08            push dword ptr ss:[esp+0x8]                           ; |hWnd = 74558460
004010DF   .  FF15 18104000        call dword ptr ds:[<&USER32.EndDialog>]               ; \EndDialog
004010E5   .  6A 00                push 0x0                                              ; /lParam = NULL
004010E7   .  68 09114000          push Nag.00401109                                     ; |DlgProc = Nag.00401109
004010EC   .  6A 00                push 0x0                                              ; |hOwner = NULL
004010EE   .  6A 65                push 0x65                                             ; |pTemplate = 0x65
004010F0   .  6A 00                push 0x0                                              ; |/pModule = NULL
004010F2   .  FF15 00104000        call dword ptr ds:[<&KERNEL32.GetModuleHandleA>]      ; |\GetModuleHandleA
004010F8   .  50                   push eax                                              ; |hInst = C3338846
004010F9   .  FF15 10104000        call dword ptr ds:[<&USER32.DialogBoxParamA>]         ; \DialogBoxParamA

可见4010DF为EndDialog  设法从开头跳转到4010DF可关闭对话框

小总结:DialogBoxPraram函数一般和EndDialog函数配对使用,前者用于打开对话框,后者关闭对话框。

 

 

 

Hu4
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MATLAB最优滤波器设计函数firpm的使用详解
业精于勤,荒于嬉
04-16 1009
雷米兹(Remez)在切比雪夫的基础上完成了FIR滤波器最优设计方法。切比雪夫逼近法:通带及阻带误差函数最大化最小化为原则。幅度衰减1/2,功率衰减1/4,即6dB。老版本:remez函数。
使用Ollydbg去除WinRar的广告
h_dorom的博客
06-22 1254
OllyDbg号称破解界的倚天剑,这里我将演示如何使用OllyDbg去除老牌压缩软件WinRar的广告窗口,实现对Nag窗口的暴力破解
IDM 6.40.11.2 弹窗的解决思路
热门推荐
谢绝留言与私信
05-06 2万+
IDM 6.4.11.2 弹窗的解决思路 前言 在IDM官方下载了IDM的30天试用版。 装好后,找了一个和谐工具。运行和谐工具后,看IDM关于那里,已经是全功能版本。 美中不足的是,IDM运行一段时间,就会弹出neg窗口,说文件被修改,最好是去官网下载原版的提示。 我这的弹框如下: 文本提示信息如下: --------------------------- IDM is corrupt --------------------------- The main IDM executive file is
OllyDbg 使用笔记 (四)
billvsme的专栏
08-01 2212
OllyDbg 使用笔记 (四) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 这个RegisterMe程序,运行前和运行后都会有neg窗口。破解目标,去除这个两个窗口。 用OD直接打开这个程序,我们会发现出错。也可能OD会卡死。 因为这个程序的PE文件被故意修改了。 我们先到 选项---> 调试设置 --> 事件 --> 选择系统断点。 图片1 这样用OD打开就不会卡死。 按 alt + M 来到 memory界面,你可以看到“PE文件头”。注意是地址00开头的,如果是7x
160个Crackme025之巧去Neg
鬼手的博客
04-11 306
文章目录查壳去Neg追踪Serial 查壳 这个Crackme是VB5写的 没有壳 去Neg 第一个任务就是去除这个倒计时五秒的Neg窗口去除的思路就是通过字符串的提示向上找到窗体一的加载事件,然后去除 首先来到字符串的提示的地方,向上滚找到函数开头,下断点 程序断下来时倒计时为1秒,窗体加载完成,所以这里肯定不是,所以我们需要继续往上翻,再找到上一个函数,下断点 断下之后,倒计时为...
n2neg_install_v1.0.exe
11-25
n2neg_install_v1.0.exe
T_neg_float_6.rar_float_float_neg
09-24
`T_neg_float_6` 可能是一个特定的排名函数或算法,其中"T_neg"可能代表“负向”或某种负面权重,而"float"表示该算法涉及到浮点数计算,可能是用于表示得分或概率。这种情况下,"float_neg"标签可能意味着这个算法...
neg_analytics
03-17
neg_analytics
cars_neg.zip
08-14
【标题】"cars_neg.zip" 是一个压缩包文件,它包含的是车辆检测的负样本原始图片。负样本在机器学习和计算机视觉领域中通常指的是不包含目标类别的图像,这里是不包含车辆的图像。这样的数据集对于训练车辆检测模型...
neg_shopify
04-01
客户登录在shopify中编辑客户帐户邀请模板将{{customer.account_activation_url}}设置为[Site URL] / user / activate /?... 设置{{customer.reset_password_url}} [网站URL] / user / password / reset /?...
netgen/ngsolve编译后的文件
02-24
网格划分计算器 有限元网格划分算法
反汇编基础-乘法与除法
IT1995的博客
04-19 6259
首先来看乘法: 两个变量之积 int nOne = 1; int nTwo = 2; int nOther = nOne * nTwo; 其反汇编如下: 从这里可以看到,两个变量之乘积, 把nOne中的值放到ptr指向的地方,把2放到ptr指向的地址;把nOne的值给eax imul就是乘积,最后再把eax乘积的值放到nOther中。 下面是一个变量的值乘一个常量:...
逆向入门--攻防世界进阶Re题解
crispr的博客
08-09 4062
前言 摸鱼选手表示最近鱼儿很多。。。好吧我摊牌了,最近忙着考驾照,真折磨人啊,赶紧补一补入门的逆向,不然白给了要。本次准备写两个Re的题解,都是来自攻防世界的进阶 正言 re1-100 自从上次入门后,现在做题的顺序基本摸清了,并且现在的题还没有出现啥花指令这些恶心内容,先把文件放到exeinfope中查看文件属性: 64位的ELF文件,直接拖到IDApro来看吧: // TAGS: ['file'] int __cdecl __noreturn main(int argc, const char **a
警告窗口去除
z1041259928的博客
02-26 502
常用的三种方法 修改程序资源 静态分析 动态分析 一般方法 可以通过将可执行文件中警告窗口的属性改成透明或者不可见,要完全去除则要找到创建该窗口的代码,并将其跳过,常见的窗口函数有:MessageBoxA(W),MessageBoxExA(W),DialogBoxParamA(W),ShowWindow,CreateWindowExA(W). 例子 1.开始运行图 2.用eXescope...
利用500W条微博语料对评论进行情感分析
weixin_37478507的博客
10-12 8708
本文已在CSDN,CSDN微博 ,CSDN公众号 ,IT技术之家 等平台转发。 最近身边的人都在谈论一件事:10月8日中午的一条微博,引发了一场微博的轩然大波。导致微博瘫痪的原因是全球超人气偶像明星鹿晗发了一条“大家好,给大家介绍一下,这是我女朋友@关晓彤 ‘’。这条微博并@关晓彤。数据分析,可以在这里自取! 截止目前,鹿晗的这条微博已经被转发1024887,回复26...
第五章——演示版保护技术-去除警告窗口实例
weixin_30859423的博客
12-14 111
   去除警告窗口意为将广告弹窗去除去除的思路归根结底是:在不影响主程序的条件下,查找到警告窗口创建的位置将其跳过或者nop掉,显示窗口的函数主要有Messagebox、DialogBoxPara、ShowWindow、CreateWindowEx。还有一种去除的方式是通过消息断点的方式准根溯源到窗口创建的代码。 这里的实例是加密解密书上的实例程序,演示为了熟悉整个操作的思路和流程 源...
JavaScript基础之③alert警告框函数的使用
笔岸柳影
02-13 1161
JavaScript基础之③alert警告框函数的使用 QQ:3020889729 小蔡alert警告框函数本质(字面意思:弹出警告框)alert警告框函数的使用方法alert警告框函数的返回...
数据挖掘面试:不得不学的AUC!
木东居士
01-04 500
数据挖掘面试:不得不学的AUC!关于作者:Milter,一名机器学习爱好者、NLP从业者、终生学习者,欢迎志同道合的朋友多多交流。https://www.yuque.com/liwenj...
NEG是什么
最新发布
06-02
NEG是汇编语言中的一种算术运算指令,用于对操作数进行取反操作,即将其值取负。 NEG指令的语法通常为:`NEG dest`,其中`dest`表示目标操作数。该指令将`dest`的值取负,并将结果存储到`dest`中。 例如,下面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值