Yoo趣儿

Yoo趣儿 操作系统 Windows v12.0.1 010editor简单绕过nag窗口

v12.0.1 010editor简单绕过nag窗口

查看 56|回复 7
作者:zhiyuckt   
原帖:https://www.52pojie.cn/thread-1690709-1-1.html
最后的师傅弄完后还有弹窗没解决掉,就想着把这个窗口去掉,如觉得过程繁琐可直接跳到最后的“修补地址”处
拉入IDA&x64dbg中,搜索字符串(Thank you for using 010 Editor, the only text),来到对应地址


image.png (182.04 KB, 下载次数: 0)
下载附件
2025-1-27 00:41 上传



image.png (109.84 KB, 下载次数: 0)
下载附件
2025-1-27 00:41 上传



image.png (252.56 KB, 下载次数: 0)
下载附件
2025-1-27 00:41 上传

来到x64dbg对应地址处


image.png (255.73 KB, 下载次数: 0)
下载附件
2025-1-27 00:42 上传

机器码一致,ida来到函数名处,按X查看谁调用了,来到该处


image.png (107.74 KB, 下载次数: 0)
下载附件
2025-1-27 00:42 上传

继续对函数按x查看调用,来到该处复制对应地址取x64dbg查找,0x7FF66CE8741F


image.png (130.49 KB, 下载次数: 0)
下载附件
2025-1-27 00:42 上传

来到对应地址,修改call的地址到新的地址,直接跳过即可。(记得地址得在text段内,权限问题):将地址从原来的00007FF66CC9A939修改为00007FF66CC9c000,新地址处代码为ret(C3)直接返
回,跳过弹窗。(后续直接将对应机器码改为90即可)


image.png (151.19 KB, 下载次数: 0)
下载附件
2025-1-27 00:42 上传



image.png (17.97 KB, 下载次数: 0)
下载附件
2025-1-27 00:43 上传

保存后打开,发现其他弹窗


image.png (163.03 KB, 下载次数: 0)
下载附件
2025-1-27 00:37 上传



从函数下手
利用Apimonitor监控函数,看了一圈,程序运行后,利用spy++查找窗口信息,得到句柄类名信息,直接在apimonitor里面搜,全程只看到一个CreateWindowExW创建窗口函数,在x64dbg中下断点想着nop掉,但后续在x64dbg追踪后发现此处不是弹窗。


image.png (338.98 KB, 下载次数: 0)
下载附件
2025-1-27 00:38 上传



image.png (311.41 KB, 下载次数: 0)
下载附件
2025-1-27 00:38 上传


由于此窗口是最开始就弹了,那就用笨法子,从一开始的地方一个个跟踪过去(一路F8),最后找到入口点位置。
首先拉入x64dbg后,来到入口点处,直接f8进入,继续运行到jmp位置,来到新地址


image.png (181.7 KB, 下载次数: 0)
下载附件
2025-1-27 00:38 上传




image.png (96.14 KB, 下载次数: 0)
下载附件
2025-1-27 00:39 上传



image.png (138.57 KB, 下载次数: 0)
下载附件
2025-1-27 00:39 上传

直至运行到00007FF6807D0339处,F7进入,继续F7+F8


image.png (100.19 KB, 下载次数: 0)
下载附件
2025-1-27 00:39 上传

来到00007FF6807D13B2 地址处进入


image.png (60.11 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传

来到关键函数内,一步步F8,直到00007FF68069C73B地址处,跟入可以看到是 dialog相关字眼,第一感觉就是此处了,包括F8后来到其他模块(qt5widgets.dll)地址。更加确定了


image.png (366.52 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传



image.png (94.35 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传



image.png (170.78 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传



image.png (249.75 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传

直接将地址nop后保存,打开后的确绕过了弹窗


image.png (141.04 KB, 下载次数: 0)
下载附件
2025-1-27 00:40 上传

修补地址
第一个关键机器码:FF 15 64 97 B4 00 48 8B CF E8 15 35 E1 FF
修改为: FF 15 64 97 B4 00 48 8B CF 90 90 90 90 90
第二个关键机器码:48 8B 0D 00 30 94 00 48 8B 01 FF 90 70 01 00 00  
修改为:48 8B 0D 00 30 94 00 48 8B 01 90 90 90 90 90 90 即可绕过两个弹窗

下载次数, 下载附件

相关帖子

SzhorSe   

这个可以直接抄作业了👍👍👍
云中子   

感谢分享!
jr001   

感谢分享!
wslh   

感谢楼主的详尽晒图与分享!
Tingamm   

感谢大佬分享
iamok   

还不如直接改验证函数呀,修改2个字节就完了。
zhiyuckt
OP
  


iamok 发表于 2025-1-27 11:46
还不如直接改验证函数呀,修改2个字节就完了。
欸 我好像没看到验证的地方呢
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2025-2-6 23:57 , Processed in 0.015162 second(s), 14 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.