[color=] 教程地址
《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido,链接:http://www.52pojie.cn/thread-384195-1-1.html
下面开始正文
首先对软件查壳 发现是UPX壳 (是个软柿子)
1.png (97.59 KB, 下载次数: 1)
下载附件
2020-4-22 14:14 上传
用ESP定律脱壳,首先拖入OD 点否,按F8下一步,发现右边只有ESP是高亮的红色
2.png (201.28 KB, 下载次数: 2)
下载附件
2020-4-22 14:14 上传
右键它 点击在数据窗口中跟随
3.png (346.2 KB, 下载次数: 1)
下载附件
2020-4-22 14:14 上传
然后再左下角的窗口 右键,点击硬件访问断点 word 或者Dword 都行
4.png (367.44 KB, 下载次数: 1)
下载附件
2020-4-22 14:14 上传
到达这里,然后F8开始一步步往下
5.png (228.29 KB, 下载次数: 1)
下载附件
2020-4-22 14:14 上传
发现一个向上跳转的 点击他的下一步按F4, 再按F8 发现有一个JMP的大跳 ,F8进入他真正的OEP
51.png (221.35 KB, 下载次数: 1)
下载附件
2020-4-22 14:15 上传
脱壳 ,复制下箭头的那串数字,以免脱壳出来无法运行就要用 impREC 修复
6.png (305.37 KB, 下载次数: 1)
下载附件
2020-4-22 14:14 上传
运行一下脱壳出来的文件,可以运行 并且弹窗如图
1231232.png (69.42 KB, 下载次数: 0)
下载附件
2020-4-22 14:39 上传
把脱壳后的软件拖入OD 右键中文搜索引擎 智能搜索 搜索 “本管理”
8.png (214.73 KB, 下载次数: 2)
下载附件
2020-4-22 14:15 上传
双击进入
9.png (202.98 KB, 下载次数: 1)
下载附件
2020-4-22 14:15 上传
发现有一大段 全部NOP掉
10.png (68.34 KB, 下载次数: 1)
下载附件
2020-4-22 14:15 上传
下面是进入 去除网络弹窗 CTRL+G 输入 CreateProcessA 双击进入 然后F2下断点
11.png (28.85 KB, 下载次数: 1)
下载附件
2020-4-22 14:15 上传
再次CRTL+G 输入CreateProcessW 双击进入 然后F2下断点
12.png (28.4 KB, 下载次数: 0)
下载附件
2020-4-22 14:15 上传
然后 F9 让程序运行起来
发现被断下来了 这时候注意看右下角 刚好出现了弹窗的网址 得知就是这个
13.png (79.5 KB, 下载次数: 0)
下载附件
2020-4-22 14:15 上传
点击这个CALL 回车进入
64.png (302.85 KB, 下载次数: 0)
下载附件
2020-4-22 14:30 上传
数一数右下角的CALL一共有多少行 左边这个从CALL往上选多少行 一并NOP掉
右键把文件保存出去 运行 发现没有弹窗了 成功!
其实他是有两个网站的 一个弹出是 他论坛网址 一个是他淘宝店的网址,但是不知道为何 只NOP掉第一个的网址 两个都没了。。。。
附件再这里 拿去玩吧
https://ww.lanzouj.com/ibs1p9e
