吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5223|回复: 10
收起左侧

[第二课] 吾爱破解培训第二课:实战去弹窗新思路

[复制链接]
骑龟赛跑 发表于 2018-11-1 10:30
本帖最后由 骑龟赛跑 于 2018-11-1 11:23 编辑

定时弹窗的去除
    思路:定时弹窗是会通过新的线程来操作的.可以在OD的日志里查找线程的创建与执行,销毁过程.顺藤摸瓜式的找到线程创建代码,直接nop掉,就行.



运行一次程序让程序完成弹窗.到日志查看线程日志.

1.png

看到"7C4106E9"地址创建的,那么双击该行代码

2.png

,直接来到该地址(此处为系统代码),直接下断点(F2),日志显示的两条线程创建,都是通过这个地址.所以下一个断点就行了.

3.png

然后重新载入程序,让他运行起来,会发现停在"7C8106E9"处了,这时候就单步跟踪下去,再jmp前,看堆栈窗口,里面就是我们要找的地址记录下"0x004010A0",

4.png

运行起来,程序又停在了"7C8106E9"处,这是第二个线程要初始化了,同样单步执行到jmp,看堆栈,记录下我们要的地址"0x00401290".

5.png

好了,这时候有没有人想,我直接nop掉"7C8106E9"的代码不就可以了吗?

其实我也是这么想的,但是这是系统代码,我们nop了,系统其他程序怎么办?系统怎么办?会崩了吧.所以我们还是对程序代码下手好了.


然后我们Ctrl+G,来到这两个地址看一下,学过编程的都知道Sleep是跟线程相关的,那么我们直接nop掉他,以及他的参数.

至于几个参数,你可以查下开发文档,或者清除所有断点,重新给这两个地址下断.重载程序,单步跟踪一下,看下堆栈就知道了.

6.png

我们直接给这两行代码nop掉

7.png

.另一处的创建线程也nop掉,

8.png

右键"复制到可执行文件","所有修改","全部复制",

9.png

右键"保存文件",完成.

10.png
5.png

免费评分

参与人数 2吾爱币 +6 热心值 +2 收起 理由
lxlpsp + 1 + 1 用心讨论,共获提升!
Hmily + 5 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

快乐崇拜 发表于 2018-11-1 11:06
good good study day day up。
感谢楼主分享思路。
weliong 发表于 2018-11-1 11:11
编辑错误:
7C4106E9  应该是  7C8106E9,一开始在日志里找半天
email123 发表于 2018-11-1 11:15
liweiqing 发表于 2018-11-1 11:21
已学习,还是需要多练习
 楼主| 骑龟赛跑 发表于 2018-11-1 11:24
weliong 发表于 2018-11-1 11:11
编辑错误:
7C4106E9  应该是  7C8106E9,一开始在日志里找半天

谢谢指出问题.确实手误打错了.
byh3025 发表于 2018-11-1 13:09
不错的思路,赞一个
Contango 发表于 2018-11-1 13:49
学习到了,感谢LZ分享思路!
莫莫 发表于 2018-11-1 14:24
感谢楼主分享思路。
wisoft 发表于 2018-11-1 15:30
还是要懂系统原理啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 17:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表