1 min to read

吾爱培训第二课实例二:去除内置广告和浏览器主页篡改

新手破解教程!

Featured image

来源

Bilibili视频

吾爱破解论坛官方入门教学培训第一期开始啦!【已更新到第十课】 - 吾爱破解 - 52pojie.cn

《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido - 吾爱破解 - 52pojie.cn

课程示例下载

描述

有一个内置的网页框,同时会自动锁定浏览器主页,20秒后右下角会弹出广告

image-20241205194840352

去除篡改主页

  1. 首先, 使用中文搜索有智能搜索, 简单猜测并分析一下搜索结果

image-20241205195145457

  1. 双击进入004019E2, 发现整整一个函数都是对注册表的操作(从004019D000401AA9)

image-20241205195341329

  1. 考虑直接使用retn大法, 在函数开头处直接返回(注意你的retn要和原来的段尾的retn写得一模一样, 否则会堆栈不平衡)

image-20241205195621650

  1. 保存程序, 测试程序, 成功完成第一步

去掉内置窗口

  1. 使用Restorator工具打开程序, 选择“对话框”, “102”

image-20241205200244382

  1. 点击“ab按钮(F6)”

image-20241205200331492

  1. 选中中间隐形的部分, 就是我们的内置广告, 将右边的“可视”取消勾选

image-20241205200526200

  1. 另存文件

image-20241205200700878

  1. 运行程序, 发现广告已经不显示了, 但事实上程序还在后台访问网站占用资源

image-20241205200803840

  1. 拖入OD, 查找字符串, 找到吾爱破解网址

image-20241205201107186

  1. 进入00401C4A, 复制push的地址00403630

image-20241205201259245

  1. 点击左下角内存窗口, Ctrl+G进入刚才复制的地址

image-20241205201426905

image-20241205201909209

  1. 右键, 用00填充

image-20241205202105440

  1. 保存文件, 窗口成功彻底去除

去除弹窗广告

载入到OD, 给CreateWindowExA/W, DialogBoxAPI下断点(本实例使用DialogBoxParamW)

这里只下DialogBoxParamW

image-20241205202744169

运行程序, 观察断下来的堆栈窗口, 回车进入

image-20241205202917159

直接nop掉下列选中的弹窗语句或者头部retn

image-20241205203055685

这里直接修改头部, 保存文件, 弹窗成功去除

Q&A

Q: 程序没有使用我们熟知的API怎么办?

A: 使用Procmon程序, 可以监视进程的所有操作, 包括修改注册表等等

image-20241205203547666