The033. 吾爱培训，《02：实战去广告、弹窗及主页锁定》讲师：Kido 实例一

chuiyan121

The033. 吾爱培训，《02：实战去广告、弹窗及主页锁定》讲师：Kido 实例一
关于吾爱破解论坛官方入门教学培训第一期，我的学习记录，如有疑问欢迎交流指正。^_^
这节课是实战去程序弹出网页、广告、注册表主页锁定等，算是继脱壳学习之后的第一个实战。

被试程序：【吾爱破解培训第二课实例一.exe】
实例一程序需要修改的地方有5处：
1）打开程序弹出网页、2）弹出消息窗口、3）按钮按下弹网页、4）程序开启20秒弹出网页、5）程序开启40秒弹出网页。
我没有完全按照kido大牛的教程顺序，而是按照程序打开时网页出来的顺序破解的，比较方便记忆，个人习惯而已。

1、查壳，UPX壳，这种简单壳就不记录脱壳过程了，直接拿已脱壳的程序演示。一定要脱壳，否则查找不到字符串。


2、第一步，去掉打开程序时弹出的网页。将已脱壳的程序载入Hex Workshop，Ctrl+F搜索框选择Unicode字符串选项，搜索字符“http”，只找到一处内容“h.t.t.p.:././.w.w.w...5.2.p.o.j.i.e...c.n...o.p.e.n”。


3、选中完整内容，右键 -> 填充，确定。另存为1.exe。


4、运行后发现打开程序的同时没有弹出网页了。


5、第二步，继续解决“来试试我的程序啊”消息弹窗。OD载入1.exe，右键 -> 中文搜索引擎 -> 智能搜索，会发现消息框内容：来试试我的程序啊。


6、双击文字所在行跳转到代码区。发现这个窗体是MessageBoxW这个API函数调用的，在call处F2断点，Shift+F9运行到断点，会看到右下角堆栈窗口显示了弹出窗体的参数信息。hOwner：窗体句柄，Text：正文内容，Title：标题内容，Style：按钮类型。有程序基础的应该很熟悉这些参数。


7、知道这个MessageBoxW弹窗有4个参数后，在call调用上面发现了4个push，分别进栈了4个对应参数，如果要取消这个消息弹窗，需要将4个push和call一同NOP掉。注意这里不能用00填充，大牛说可能会出问题。


8、处理完毕后保存文件为2.exe，保存的方法前面的学习记录有，就不赘述了。运行2.exe会发现弹窗没有了，点击课程介绍按钮，会弹出一个网页。


9、第三步，解决课程介绍按钮弹出的网页。将2.exe载入Hex Workshop，ASCII字符串模式搜索“http”，搜索到“explorer.exe http://www.52pojie.cn/thread-384195-1-1.html”，00填充，另存为3.exe，运行后发现课程介绍按钮不会弹出网页了。


10、截止目前，程序还剩两个弹出网页，分别是程序开启后20秒和40秒弹出，通过Hex Workshop搜索字符串是搜索不到的，大牛已经说过，网址加密了。下面通过在API函数下断点的方式寻找网页地址。
弹窗的API常用的有5种：
1）ShellExecuteA，运行方式为：open URL，控制台执行。
2）ShellExecuteW，运行方式为：open URL，控制台执行。
3）WinExec，运行方式为：explorer.exe URL，Windows执行。
4）CreateProcessA，运行方式为：PATH URL，创建进程。
5）CreateProcessW，运行方式为：PATH URL，创建进程。
接下来OD载入3.exe，Ctrl+G将以上5个函数全部下断点。


11、F9运行，第一处断下在shellExecuteW函数，在堆栈窗口call处回车，可以到达用户代码。这里是打开程序的同时弹出网页的地方，堆栈窗口参数没有值，是因为我们前面在Hex Workshop中用00填充了。其实在OD中NOP掉6个参数和call同样能达到效果。


12、Alt+C返回系统领空，继续F9运行几次，此时程序会运行一回，等待20秒后的弹出网页触发断点，发现此弹出网页是WinExec方式运行的。在程序断下后系统会特别的卡，后来发现是我给虚拟机分配的内存太小，分配大点就好了。


13、将上图中2个参数加上call全NOP掉，保存为4.exe文件，运行后发现20秒的弹出网页没有了。最后就剩下40秒弹出的网页了，OD载入4.exe，F9运行几次，程序停在CreateProcessA处，可以看到是用的创建进程的方式，调用IE打开网页，同样适用NOP大法，10个参数加上call，保存为5.exe。


14、至此，一个干干净净的实例一就修改完成了^_^

chuiyan121

伯婆派1 发表于 2022-2-11 13:46
看了，感觉挺厉害的。楼主顺道问下，本人想学编程这类的，文化小学毕业，但是我就是有时间，请楼主可以指条 ...

学编程的话，看是你自己想网哪个方向发展，然后选一门编程语言从基础学起。我自己是delphi用得多点，C++学了一点，不精通，不敢误人子弟

chuiyan121

安伦 发表于 2022-2-13 16:16
您好，被试程序：【吾爱破解培训第二课实例一.exe】  ，上课的素材有吗。

教程和被试程序都有的，爱盘下载地址：https://down.52pojie.cn/%E5%90%B ... 9%94%81%E5%AE%9A.7z

wan456

通过这个，可以自主解决弹窗问题了，收藏

chuiyan121

wan456 发表于 2022-2-11 11:42
通过这个，可以自主解决弹窗问题了，收藏

感谢支持！

sutramusic

多谢分享教程，以后碰到类似的软件可以一试了。

wan456

chuiyan121 发表于 2022-2-11 12:56
感谢支持！

关注你了，以后有好文章第一时间来拜读

chuiyan121

sutramusic 发表于 2022-2-11 13:55
多谢分享教程，以后碰到类似的软件可以一试了。

一起进步

ciker_li

感谢分享教程

安伦

您好，被试程序：【吾爱破解培训第二课实例一.exe】  ，上课的素材有吗。