关于作业二的一点疑惑

maxwellhouse

下面记述一下我做的过程，请各位大神看看问题出在哪里了
其他广告都能搞定，下图箭头指的那处广告却一直出错，请帮忙分析一下原因
要去除的广告：


我使用PROCMON过滤了这个程序的联网和创建进程
然后打开软件点击了这个广告

在PROCMON下面看到是创建了PROCESS调用了浏览器并给了网址参数

开OD拖进去程序，设置断点API两个，CREATEPROCESSA/W

运行开始跑程序，出现程序界面，点击下部的广告链接

OD断在一个CREATEPROCESSA处，右键这个API在汇编窗口跟随

在汇编窗口中找到这段代码，将整个CALL和前面的PUSH全部NOP掉

然后复制选择，保存文件，这时候出现的是保存DLL，不是EXE的程序


以上是全过程，到最后没有达到目的，请教群里大神说是断在了系统领空
我对这个系统领空，程序领空的概念不是很了解，以上的操作过程也不知道这样做是对不对
麻烦各位大神能指点迷津，多谢

niuniu919

把这两个内容分开干掉，第一个网址用re把框拉掉，后面的用c32填充掉，把弹出的文字和链接的网址都填充掉。当然大神们还有更好的方法。

lxj8378

你看一下od的最上面的标题栏，你贴的第一张、第二张上面是lookcode这就是程序领空，其它的什么kernel32、shell32.dll都是系统领空了。
系统领空中断可能会有其他进程的调用（我这样认为，不知道对不对）。
断到系统领空要按alt-f9回到程序领空再调试。

蚯蚓翔龙

搜索那段字符串，既可以定位到大概位置了，你可以nop掉或者段首看看能不能跳过去

小hihi

遇到同样的问题，有没有大神帮忙解决~~~