软件广告地址查找通用教程〖适合部分软件 (适合小部分外{过}{滤}挂)〗 By:拜月教、零

显示全部楼层 · 发表于 2012-6-8 23:52:19

其实我感觉直接用od跳过那个广告页更好，另外这个还差一步，设置2345首页的打钩没去除，可以在od中retn

显示全部楼层 · 发表于 2012-6-9 14:33:32

本帖最后由极限度—魔于 2012-6-9 14:50 编辑

北方星空发表于 2012-6-8 23:52
其实我感觉直接用od跳过那个广告页更好，另外这个还差一步，设置2345首页的打钩没去除，可以在od中retn

广告业改不了跳转,上面是只有有一个无条件跳而已

00401998 55             push ebp
00401999 55             push ebp
0040199A 55             push ebp
0040199B 55             push ebp
0040199C 68 24084400    push Compress.00440824                ; www.manhuaji.cn/up1.html
004019A1 68 90BC4400    push Compress.0044BC90
004019A6 55             push ebp
004019A7 55             push ebp
004019A8 6A 01          push 0x1
004019AA 8D96 58010000 lea edx,dword ptr ds:[esi+0x158]
004019B0 6A 68          push 0x68
004019B2 52             push edx
004019B3 E8 2FD30000    call Compress.0040ECE7

retn要看情况一般是在 push ebp上使用,也可以在Call那里用. 但是我试了,在入口点retn后,程序无法打开.
不过可以跳过或者nop那个call

显示全部楼层 · 发表于 2012-6-9 22:51:03

极限度—魔发表于 2012-6-9 14:33
广告业改不了跳转,上面是只有有一个无条件跳而已

004018FB .  D1F8       sar eax,1
004018FD .  83F8 FF    cmp eax,-1
00401900    75 22       jnz short Compress.00401924
00401902 >  55          push ebp
00401903 .  55          push ebp
00401904 .  68 AC074400 push Compress.004407AC                ;  您所用的版本过旧，已不能使用，请重新下载
00401909 .  E8 50BD0000 call Compress.0040D65E
0040190E .  6A 01       push 1                                  ; /IsShown = 1
00401910 .  55          push ebp                               ; |DefDir
00401911 .  55          push ebp                               ; |Parameters
00401912 .  68 D8074400 push Compress.004407D8                ; |yasuo.rayying.com
00401917 .  55          push ebp                               ; |Operation
00401918 .  55          push ebp                               ; |hWnd
00401919 .  FF15 28A34300 call dword ptr ds:[<&SHELL32.ShellExecut>; \ShellExecuteW
0040191F .  E9 A9000000 jmp Compress.004019CD
00401924 >  8B96 C8000000 mov edx,dword ptr ds:[esi+C8]
0040192A .  6A 21       push 21
0040192C .  55          push ebp

改成00401900    75 22       jnz short Compress.00401924g改成jnz short 0040191F

00402920    83EC 08    sub esp,8
00402923 .  56          push esi
00402924 .  6A 01       push 1
00402926 .  8BF1       mov esi,ecx
00402928 .  E8 AA630000 call Compress.00408CD7
0040292D .  83BE CC010000>cmp dword ptr ds:[esi+1CC],0
00402934 .  74 69       je short Compress.0040299F
00402936 .  68 800A4400 push Compress.00440A80                ;  http://www.2345.com/?1621
0040293B .  8D4C24 08    lea ecx,dword ptr ss:[esp+8]
0040293F .  E8 4C0D0000 call Compress.00403690

改成
0040291F    CC          int3
00402920    C3          retn
00402921    90          nop
00402922    90          nop

显示全部楼层 · 发表于 2012-6-10 02:12:47

支持技术贴。

显示全部楼层 · 发表于 2012-6-10 13:50:57

北方星空发表于 2012-6-9 22:51
004018FB .  D1F8       sar eax,1
004018FD .  83F8 FF    cmp eax,-1
00401900    75 22 ...

谢谢星空受教了~
对OD不太懂

显示全部楼层 · 发表于 2012-6-23 08:38:23

前来学习啊

显示全部楼层 · 发表于 2012-6-23 08:46:08

这个可以有，不过网页广告还是交给浏览器拦截比较好。

显示全部楼层 · 发表于 2012-6-23 15:18:54

极限度—魔发表于 2012-6-8 12:33
有的软件很无耻,打开是把 HOSTS直接清空

hips拦截此动作。

显示全部楼层 · 发表于 2012-6-23 16:44:18

加入拜月教有妹子吻0.0 真的还是假的？

显示全部楼层 · 发表于 2012-6-23 18:04:01

渲染离别发表于 2012-6-23 16:44
加入拜月教有妹子吻0.0 真的还是假的？

是俺吻

[其他] 软件广告地址查找通用教程〖适合部分软件 (适合小部分外{过}{滤}挂)〗 By:拜月教、零