吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19479|回复: 38
收起左侧

[分享] QQ伴侣 V2.43去弹窗广告教程,,,高手飘过

[复制链接]
81665488 发表于 2009-10-3 22:51
本帖最后由 81665488 于 2009-11-8 12:25 编辑

偶不太清楚给19楼的朋友的回复是否有用词不当的.还希望19楼的朋友和版主理解如果版主觉得偶有用词不当的行为那就麻烦版主帮忙改一下把.嘻嘻,或通知我一声俺自己改
回复22楼的朋友

软件名称:QQ伴侣
准备工具:PEID,OllyDbg,LordPE,ImportREC.

首先使用PEID查壳结果为
ASPack 2.12 -> Alexey Solodovnikov
004FF001    60              pushad                \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000     call QQ伴侣.004FF00A
004FF007  - E9 EB045D45     jmp 45ACF4F7
004FF00C    55              push ebp
004FF00D    C3              retn
004FF00E    E8 01000000     call QQ伴侣.004FF014
004FF013    EB 5D           jmp short QQ伴侣.004FF072
004FF015    BB EDFFFFFF     mov ebx,-13
004FF01A    03DD            add ebx,ebp
004FF01C    81EB 00F00F00   sub ebx,0FF000
004FF022    83BD 22040000 0>cmp dword ptr ss:[ebp+422],0
004FF029    899D 22040000   mov dword ptr ss:[ebp+422],ebx
004FF02F    0F85 65030000   jnz QQ伴侣.004FF39A
004FF035    8D85 2E040000   lea eax,dword ptr ss:[ebp+42E]
004FF03B    50              push eax
004FF03C    FF95 4D0F0000   call dword ptr ss:[ebp+F4D]
004FF042    8985 26040000   mov dword ptr ss:[ebp+426],eax
004FF048    8BF8            mov edi,eax
004FF04A    8D5D 5E         lea ebx,dword ptr ss:[ebp+5E]
004FF04D    53              push ebx
ESP定律......
00401360    68 401A4000     push QQ伴侣.00401A40                       ; ASCII "VB5!6&vb6chs.dll"  \\程序的入口...
00401365    E8 EEFFFFFF     call QQ伴侣.00401358                       ; jmp 到 msvbvm60.ThunRTMain
0040136A    0000            add byte ptr ds:[eax],al
0040136C    40              inc eax
打开LordPE 选中你OD载入的QQ伴侣进程...右键单击,修正镜像大小,右键单击,完整转存,保存.关闭LordPE 打开ImportREC选中你OD载入的QQ伴侣进程 OEP地址 00401360-00400000=1360  我们在OPE添1360就可以了 自动查找IAT,获取输入表,显示无效函数,修复转存文件,选择你刚才保存的程序OK脱壳完成
第二步 去自校验.
OD载入刚才修复好的文件
00401360 > $  68 401A4000   push dumped_.00401A40                           ;  ASCII "VB5!6&vb6chs.dll"
00401365   .  E8 EEFFFFFF   call <jmp.&msvbvm60.ThunRTMain>
0040136A   .  0000          add byte ptr ds:[eax],al
0040136C   .  40            inc eax
我们Ctrl+G  00403A84  下面就是大小验证的地方了,我们先随便找一个空数据的地址汇编成 retn 然后记下你修改的地址,,,
我修改的地址是0046CFFF着个地址...编辑的时候要倒着写,,,我修改的地址就变成了FF CF 46 00
00403A84     \02124000      dd <jmp.&msvbvm60.rtcFileLen>  \\来到这里,Ctrl+E编辑把你修改的地址写上(FF CF 46 00)
之后右键单击,复制可执行文件-所有修改-全部复制,右键单击,保存文件-保存.
第三部去弹窗广告
伴侣在我的电脑没见弹窗出来
如果要去除右上角的广告条
004154B0      68            db      68  
改为
004154B0      00            db      00  
就可以了
llpplplp 发表于 2009-10-25 19:40

大家要是找不到地址可以Ctrl+B输入68 00 00 00 02查找即可
没有技术含量,,,高手飘过....

免费评分

参与人数 1威望 +2 收起 理由
Hmily + 2 欢迎讨论交流,[吾爱破解]有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

262111430 发表于 2009-10-4 02:58
支持个!··
老万 发表于 2009-10-4 08:12
本帖最后由 老万 于 2009-10-4 09:19 编辑

2# 262111430


004FF001    60              pushad \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000     call QQ伴侣.004FF00A
004FF007  - E9 EB045D45     jmp 45ACF4F7
004FF00C    55              push ebp
004FF00D    C3              retn
004FF00E    E8 01000000     call QQ伴侣.004FF014
004FF013    EB 5D           jmp short QQ伴侣.004FF072
高手,我用OD调试到上边,用ESP定律后,OD就死了,请高手指点一下?
但是,我用ESP定律3次,就可搞定,但是不知道楼主是怎么找到自校验的?
xiehuis 发表于 2009-10-4 09:15
llpplplp 发表于 2009-10-4 11:23
其实QQ伴侣只会在第一次运行的时候出现设置首页窗口,因此不会造成什么困扰
如果要去掉首次运行时出现的设置首页窗口,代码在下面

:0045594F  0404FF            FLdRfVar            ;Push LOCAL_00FC
:00455952  FBD9F4FE          FnAbsVar            ;
:00455956  2814FF0500        LitVarI2            ;PushVarInteger 0005
:0045595B  5D                HardType            ;
:0045595C  FB4D              LeVarBool           ;
:0045595E  36040038FF04FF    FFreeVar            ;Free 0004/2 variants
:00455965  1C7C05            BranchF             ;If Pop=0 then ESI=00455980,这个是关键跳,程序前面利用GetSetting()函数取得相关注册表键值,并在这里进行比较,如果键值存在则继续往下走,否则跳到00455980处利用SaveSetting()将相关信息写入注册表,并显示设置首页对话框
:00455968  0015              LargeBos            ;
:0045596A  2714FF            LitVar              ;PushVar LOCAL_00EC
:0045596D  25                PopAdLdVar          ;
:0045596E  2748FF            LitVar              ;PushVar LOCAL_00B8
:00455971  25                PopAdLdVar          ;
:00455972  053700            ImpAdLdRf           ;Push ptr
:00455975  243800            NewIfNullPr         ;[Pop] [SR]
:00455978  0DB0023900        VCallHresult        ;Call ptr_004133D8
:0045597D  1E6406            Branch              ;ESI=00455A68
:00455980  0002              LargeBos            ;
:00455982  0096              LargeBos            ;
:00455984  F501000000        LitI4               ;Push 00000001
:00455989  0438FF            FLdRfVar            ;Push LOCAL_00C8

程序运行会读取注册表HKEY_CURRENT_USER\Software\VB and VBA Program Settings\UU23Soft\soft\QQBanlv_HomePage下的值,该值存放的是程序第一次运行时间,不存在则显示设置首页对话框

P-code编译的程序,有点晕乎乎的~~[s:368]
xujunlin5588 发表于 2009-10-4 11:30
谢谢LZ。我也懂了一点。
用C32真好修改
paulbaby3000 发表于 2009-10-4 11:44
2# 262111430


004FF001    60              pushad \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002    E8 03000000     call QQ伴侣.004FF00A
004FF007  - E9 EB045D45     jmp 45ACF4 ...
老万 发表于 2009-10-4 08:12


隐藏OD
GCCG 发表于 2009-10-4 12:46
楼主是否将http://2523.com/taoke这个去除呢?
 楼主| 81665488 发表于 2009-10-4 13:43
本帖最后由 81665488 于 2009-11-7 22:43 编辑

5# llpplplp
其实QQ伴侣只会在第一次运行的时候出现设置首页窗口,因此不会造成什么困扰
如果要去掉首次运行时出现的设置首页窗口,代码在下面

:0045594F  0404FF            FLdRfVar            ;Push LOCAL_00FC
:004559 ...
llpplplp 发表于 2009-10-4 11:23


多些达人指点一二了,下去44...如果真弄好了那俺也跟大家分享分享
才疏学浅...研究失败...-_-,
speedboy 发表于 2009-10-4 16:02
支持原创。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-1 07:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表