这个弹窗如狗皮膏药一般,让人十分心生不爽,首先,当然是求助百度,所有结果均无效,然后我就开始了小白瞎折腾之路
一开始,我以为这是一个类似“SohuNews.exe“的独立程序,删除就完事,就先用Spy++查了查弹窗的窗体,结果发现弹窗窗体每次还都是不同的程序,看来流氓果然有一套,我这种小白就不知道下一步该干嘛了。
然后继续搜索,看到了知乎有个问题下有个通过逆向解决这个问题的回答,然而那个答主说的对小白很不友好,还要用VS,作为一个只是略懂Java和Python的小白要用VS还不要了我的老命?于是心想干脆认真来论坛看看相关的帖子学习学习吧,以前来论坛都是白嫖大佬的软件,也该学习学习了。
首先分析了下进程,发现对话框是通过注入explorer进程实现的,通过Process Explorer发现有两个可疑的注入文件:
QQ截图20200805163845.png (9.84 KB, 下载次数: 2)
下载附件
2020-8-5 16:38 上传
由于OD似乎不支持64位,所以只能通过其他软件另辟蹊径
用StudyPE+打开这两个文件,发现sogouTSF资源下不含有对话框,所以排除,只剩下sougouPY.ime
继续用StudyPE+分析,发现两个对话框资源
QQ截图20200805164332.png (109.49 KB, 下载次数: 2)
下载附件
2020-8-5 16:43 上传
心想反正第三方软件又不会把系统搞炸,不如直接乱改,用010editor把两个对话框全部换0
QQ截图20200805164503.png (96.19 KB, 下载次数: 1)
下载附件
2020-8-5 16:45 上传
最后替换原文件就成功啦,由于再没复现过都是从网上找的弹窗的图,感觉还是挺美滋滋的
