【2013.5.1日修改】软件去广告绿化教程 By:落叶飘零 LeSr

mao0819

极限度—魔 发表于 2012-6-19 19:06
那个,有QQ群刷皇冠一起牛辅助,要吗?绿化版的

可以，发个没广告的来，多谢了

极限度—魔

mao0819 发表于 2012-6-19 20:53
可以，发个没广告的来，多谢了

我的博客有。
我现在不在家

975499183

如果做成一个卡饭出品的程序就更好了。。小白懒得动手的说

极限度—魔

QQ群刷皇冠一起牛辅助绿化教程

首先打开WinHex,然后把软件载入进去. 然后点击 同步搜索 ,在里面输入

1. www.uu56.com.cn
   
2. www.51pc114.cn

复制代码

然后找到一下广告地址.然后用OO填充

http://www.uu56.com.cn/read-htm-tid-15215.html
http://ad.51pc114.cn/ad/fff3.htm
http://www.2345.com/?12780
http://www.taobao.com/go/chn/tbk ... php?pid=mm_10208411

http://www.51pc114.cn|http://www.51pc114.cn|http://www.51pc114.cn|http://www.51pc114.cn|http://www.51pc114.cn|http://www.51pc114.cn

http://ad.51pc114.cn/1.htm

最后一个可去可不去.因为这个是右下角的广告连接,下面我就教大家去掉下面的弹窗..因为用WinHex是去不了的~

首先打开 E-Debug Events--Open--选入程序--Start


按开始后,软件就会被打开.如下图:


然后我们要注意观察.第一个事件,是软件打开后的入口点.我们再回来那个辅助那里,我建议大家一步一步来.
首先我们右击那个辅助(这个比较容易看懂),E-Debug就出现了第二个事件发生


下面就是关键了.我们一定要细心观察软件的事件发生.

右击登陆后,D-Debug就不会停得出现 事件发生.


细心的人就会发现, 00410E88出现的情况很多,所以这个我们就不用管他.因为这个是软件加载Q群的数据
我们只要看前面的五项就行.

1. 事件发生: 004143F7
   
2. 事件发生: 00416FC2
   
3. 事件发生: 00413E56
   
4. 事件发生: 00419C94
   
5. 事件发生: 0041CAC3

复制代码

但是我们前面都知道了,004143F7和00416FC2 .第一个是软件打开后的事件.一个是右击出现的事件.所以这两个就可以排除了.有的说会找不准.所以我们就一个一个事件的找.然后用OD断点后跟下去.看看走到哪一处就出现了右下角广告.我们就先从00413E56开始吧.

载入OD--Ctrl+G转到表达式--输入 00413E56 --确定--F2断点--F9运行.然后软件就会到了断点处停了下来


然后我们F8单步走.跟下去..当走到00419F14时,软件右下角的广告就弹出了

1. 00419ED9  |.  58            pop eax
   
2. 00419EDA  |.  A3 60975200   mov dword ptr ds:[0x529760],eax
   
3. 00419EDF  |.  C705 64975200>mov dword ptr ds:[0x529764],0x1
   
4. 00419EE9  |.  68 02000080   push 0x80000002
   
5. 00419EEE  |.  6A 00         push 0x0
   
6. 00419EF0  |.  68 00000000   push 0x0
   
7. 00419EF5  |.  6A 00         push 0x0
   
8. 00419EF7  |.  6A 00         push 0x0
   
9. 00419EF9  |.  6A 00         push 0x0
   
10. 00419EFB  |.  68 01000100   push 0x10001
    
11. 00419F00  |.  68 E1260106   push 0x60126E1
    
12. 00419F05  |.  68 E0260152   push 0x520126E0
    
13. 00419F0A  |.  68 03000000   push 0x3
    
14. 00419F0F  |.  BB 40364200   mov ebx,QQ群刷皇.00423640
    
15. 00419F14  |.  E8 56920000   call QQ群刷皇.0042316F
    

复制代码

所以我们就在00419F14那里用NOP填充就可以了~

记得要保存喔~

-----------------------------------------------7月24日更新内容----------------------------------------------
去软件主页设置
本来这个软件的主页设置,只要载入OD,然后搜索字串,找到那个 XX/Internet Explorer/XXX
/XXX,然后在那个下面的Call里NOP就行.但是发现现在没有那个 XX/Internet Explorer/XXX
/XXX,所以就发上来

载入OD--右击--搜索字串--Ctrl+F--输入 Internet Explorer--确定--双击跟随


在HEX下面有一个窗口,显示

1. 00524E28=QQ群刷皇.00524E28 (ASCII "Microsoft Internet Explorer")
   
2. 本地调用来自 00484763
   

复制代码

我们右击本地调用来自 00484763--转到call来自00484763
就会来到这里

1. 00484763      E8 E8000000   call QQ群刷皇.00484850                      ;  关键call MOP
   
2. 00484768   .  8D4C24 00     lea ecx,dword ptr ss:[esp]
   
3. 0048476C   .  E8 BDA20100   call QQ群刷皇.0049EA2E
   
4. 00484771   .  8D4C24 04     lea ecx,dword ptr ss:[esp+0x4]
   
5. 00484775   .  E8 C6000000   call QQ群刷皇.00484840
   
6. 0048477A   .  83C4 10       add esp,0x10
   
7. 0048477D   .  C3            retn
   
8. 0048477E      90            nop
   
9. 0048477F      90            nop
   
10. 00484780   .  E8 0B000000   call QQ群刷皇.00484790
    
11. 00484785   .  E9 16000000   jmp QQ群刷皇.004847A0
    

复制代码

我们只需把 00484763 NOP即可

hmm1274148166

老大，能否把e书的脚本去掉，不然会不停地弹出脚本错误

晓月苑

这个，很好，继续关注

Savoor

仔细学习发现有好多不懂啊......

sobee

谢谢楼主好东西及教程！有时间研究研究。

极限度—魔

Savoor 发表于 2012-6-23 08:56
仔细学习发现有好多不懂啊......

哪里不懂?

Savoor

极限度—魔 发表于 2012-6-23 12:16
哪里不懂?

发现自己的基本功不怎么样,需要恶补啊......对编程语言和这些软件了解不多,但是对游戏破解很感兴趣,不知道游戏破解是否和这类似?如果想深入了解绿化和破解,应该学习那些相关知识呢?