[Zeraba原创]某个nod32id获取器广告的分析

显示全部楼层 · 发表于 2011-5-18 21:17:47

本帖最后由 zeraba 于 2011-5-18 21:18 编辑

今天无意逛论坛，发现某人发布了一个nod32的id获取器，而且带id验证功能，是他本人原创的，满心欢喜，下下来发现关闭的时候有个广告页面，我是个广告洁癖，所以想动手去了他，原作者见谅啊。@zhanghaibin
不过貌似有人怀疑他的软件有什么不太好的动作，因为这方面我不是专家，所以就不下断论了，不过我看下来还是挺干净的，工具也挺实用，毕竟是原创。还请专业人士分析，并好好安慰zhanghaibin一下。

正题：
首先查壳，发现作者很厚道的没有加壳，直接OD载入

F9跑起来，点支持作者，发现弹出小广告。
查找查找字串符 Microsoft Internet Explorer

双击跟踪进入

发现如下代码，是调用IE的，原本想在这里修改，无奈修改后报错
于是直接一路F8 知道RETN 应该是这里返回的数值问题才使得上面的程序无法修改吧，不清楚，技术不到家
在F8的时候会弹出那个广告页面，无视之

RETN后到了这里拉上去一点找到程序段起始位置，下段，重新运行，点支持作者，程序果然断在这里了

F8下去，发现到这里ESP返回广告地址，分析代码发现是跳转以后进行赋值，于是我直接修改jnz到下一步

再F8 发现果然没有再有广告地址传进EAX
保存后运行，发现再次点击支持作者，广告没有弹出来了
关闭软件也没有弹出来了，此次修改即告成功

笔记完成
Zeraba
欢迎拍砖

显示全部楼层 · 发表于 2011-5-20 11:53:44

附件呢

显示全部楼层 · 发表于 2011-5-20 13:49:53

回复 1楼 zeraba 的帖子

附件？没有附件啊

显示全部楼层 · 发表于 2011-5-21 10:16:13

回复 2楼 yindows 的帖子

这个公开发布原作者会不好受的教程是研究用途...忘见谅啊

显示全部楼层 · 发表于 2011-5-21 10:16:38

回复 3楼极限度—魔的帖子

嗯没有附件这个公开发布原作者会不好受的教程是研究用途...忘见谅啊

显示全部楼层 · 发表于 2011-5-27 10:23:18

附件？没有附件啊

[评测] [Zeraba原创]某个nod32id获取器广告的分析

评分