52pojie第二课
去广告、弹窗及主页锁定
所用到的windows API:
1.消息框
MessageBoxA/W
2.弹网页
ShellExecuteA/W
WinExec
CreateProcessA/W
3.进程
CreateThread
4.注册表
RegCreateKeyExA/W
RegOpenKeyExA/W
RegDeleteKeyExA/W
5.弹窗
CreateWindowExA/w
DialogBoxParamA/W
例子一
1.脱壳
直接用UPX Unpacker(52破解脱壳)
2.C32asm搜索字符串
先搜索ansi字符串
填充00
再搜索unicode字符串
同样填充00
两步过后可去掉课程介绍的弹窗
3.OD
拖进OD先搜索字符串
从“来试试我的程序啊”进去
注意这里不能只将call填充nop,这样会造成堆栈不平衡从而程序崩溃。要将3个push连同call一起填充nop。
保存后重新拖进OD,将三个弹窗api全部下上断点。(ctrl+g搜索api后F2下断点)重新跑起来
停在了winexec断点,选中按enter进去。
同样填充nop
下一个断点继续填充nop即可。
例子2
脱壳
aspack壳,脱壳过程略去。
OD
拖进OD搜索字符串,从start page中进去,整整一个函数都是来改主页的
用retn方法即可,注意要与函数末尾的retn对应。
内部访问网页的需要下Dialogbox断点,跑起来
同样只需将头部retn即可。