1 min to read

逆向记录-实战去除弹窗、广告网页

吾爱培训第二课案例一笔记

Featured image
API类型 API名称
对话框API MessageBoxA/W
弹网页API ShellExecuteA/W, WinExec, CreateProcessA/W, CreateThread
弹网页API RegCreateKeyExA/W, RegOpenKeyExA/W, RegDeleteKeyExA/W

来源

Bilibili视频

吾爱破解论坛官方入门教学培训第一期开始啦!【已更新到第十课】 - 吾爱破解 - 52pojie.cn

《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido - 吾爱破解 - 52pojie.cn

描述

打开时弹一次吾爱官网网页, 之后每隔20秒弹一次, 共计三次弹网页

打开时弹一个窗口

去除第一个网页

  1. 拖入C32Asm, 选择十六进制模式 image-20241130141138830
  2. 右击搜索, 选择ANSI 字符串, 搜索52pojie image-20241130141223829
  3. F3搜索下一个, 直到找到网页

image-20241130141316020

  1. 选中整条命令explorer.exe http://www.52pojie.cn/thread-384195-1-1.html
  2. 右键填充

image-20241130141316020

  1. 全部填充为00 image-20241130141445960
  2. 保存并运行, 发现第一个网页仍然存在, 课程介绍按钮的网页没了

  3. 继续搜索未找到其它吾爱破解链接, 改为搜索Unicode 字符串 image-20241130141744323

  4. 找到链接, 填充为00 image-20241130141837365

  5. 保存并运行, 第一个网页没了

去除弹窗

  1. 用OD打开, 搜索字符串, 找到了来试试我的程序啊

    image-20241130142133972

  2. 点开发现是MessageBoxWimage-20241130142222852

  3. F2004014ED下断点并运行程序

    image-20241130142413564

  4. 程序停下, 观察右下角堆栈窗口, 四个窗口的参数依次对应call上面的四个push

    image-20241130142448865

  5. 把四个pushcall全部nop掉(不能仅仅nopcall否则会出现问题)

  6. 保存并运行, 弹窗成功去除

去除第二和第三个网页

  1. Ctrl+G依次跟随ShellExecuteA/W, WinExec, CreateProcessA/W, CreateThread并下断点

    image-20241130143028788

  2. 运行并等待20秒, 断在7C863231WinExec函数

    image-20241130143533733

  3. 在第一条堆栈窗口处回车, 来到0040125F, 并将call和两个参数push一起nop

    image-20241130143729054

  4. 成功去除第二个弹窗

  5. 继续运行, 断在7C80236BCreateProcessA函数处

    image-20241130143939204

  6. 回到调用处0040143B, 往前数10个push, 全部用nop填充

    image-20241130144125614

  7. 保存, 成功去除第二三个网页弹窗