P2P终结者去广告（含提权）

lkou · 发表于 2011-2-20 15:39

唔，这程序没中文字符串，不过有些英文字符串可以使用
查找Software\Microsoft\Internet Explorer\Main，因为他要设置为某网址为首页，才可以使用最高权限

可以找到2个

00406B99  |.  6A 02         PUSH 2
00406B9B  |.  51            PUSH ECX
00406B9C  |.  50            PUSH EAX
00406B9D  |.  6A 01         PUSH 1
00406B9F  |.  68 2C745C00   PUSH p2pover.005C742C                    ;  Start Page
00406BA4  |.  68 00745C00   PUSH p2pover.005C7400                    ;  Software\Microsoft\Internet Explorer\Main\
00406BA9  |.  FF15 C0355800 CALL DWORD PTR DS:[<&SHLWAPI.SHRegSetUSV>;  SHLWAPI.SHRegSetUSValueA
00406BAF  |.  834D FC FF    OR DWORD PTR SS:[EBP-4],FFFFFFFF
00406BB3  |.  8D4D 08       LEA ECX,DWORD PTR SS:[EBP+8]
00406BB6  |.  E8 A54E1400   CALL p2pover.0054BA60
00406BBB  |.  8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]

和

00406C41  |.  50            PUSH EAX
00406C42  |.  8D45 EC       LEA EAX,DWORD PTR SS:[EBP-14]
00406C45  |.  50            PUSH EAX
00406C46  |.  68 2C745C00   PUSH p2pover.005C742C                    ;  Start Page
00406C4B  |.  68 00745C00   PUSH p2pover.005C7400                    ;  Software\Microsoft\Internet Explorer\Main\
00406C50  |.  FF15 BC355800 CALL DWORD PTR DS:[<&SHLWAPI.SHRegGetUSV>;  SHLWAPI.SHRegGetUSValueA
00406C56  |.  85C0          TEST EAX,EAX
00406C58  |.  75 0F         JNZ SHORT p2pover.00406C69
00406C5A  |.  8D85 E4FDFFFF LEA EAX,DWORD PTR SS:[EBP-21C]
00406C60  |.  8D4D F0       LEA ECX,DWORD PTR SS:[EBP-10]
00406C63  |.  50            PUSH EAX
00406C64  |.  E8 804F1400   CALL p2pover.0054BBE9
00406C69  |>  8B4D 08       MOV ECX,DWORD PTR SS:[EBP+8]

使用的API分别是SHLWAPI.SHRegSetUSValueA和SHLWAPI.SHRegGetUSValueA

看到红字了么，第一个是设置主页，第2个是获取，那明显第2个才是我们需要改的地方
直接retn掉，运行程序看看？

下面来去掉他的弹广告窗
最简单的方法是抓个包，得到http://www.netsoft2005.com/cfg/40/today.dat这个网址
直接找到

004088F7      B8 C0175700   MOV EAX,p2pover.005717C0
004088FC  |.  E8 8B4D0200   CALL p2pover.0042D68C
00408901  |.  81EC 14010000 SUB ESP,114
00408907  |.  A1 58865C00   MOV EAX,DWORD PTR DS:[5C8658]
0040890C  |.  53            PUSH EBX
0040890D  |.  56            PUSH ESI
0040890E  |.  57            PUSH EDI
0040890F  |.  8BF1          MOV ESI,ECX
00408911  |.  8945 F0       MOV DWORD PTR SS:[EBP-10],EAX
00408914  |.  8365 FC 00    AND DWORD PTR SS:[EBP-4],0
00408918  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]
0040891B  |.  E8 868FFFFF   CALL p2pover.004018A6
00408920  |.  80A5 E0FEFFFF>AND BYTE PTR SS:[EBP-120],0
00408927  |.  6A 3F         PUSH 3F
00408929  |.  59            POP ECX
0040892A  |.  33C0          XOR EAX,EAX
0040892C  |.  8DBD E1FEFFFF LEA EDI,DWORD PTR SS:[EBP-11F]
00408932  |.  68 14705C00   PUSH p2pover.005C7014                    ;  pvt.dat
00408937  |.  F3:AB         REP STOS DWORD PTR ES:[EDI]
00408939  |.  FF35 64835D00 PUSH DWORD PTR DS:[5D8364]
0040893F  |.  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
00408943  |.  66:AB         STOS WORD PTR ES:[EDI]
00408945  |.  AA            STOS BYTE PTR ES:[EDI]
00408946  |.  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
00408949  |.  68 106E5C00   PUSH p2pover.005C6E10                    ;  %s%s
0040894E  |.  50            PUSH EAX
0040894F  |.  E8 FEFF1300   CALL p2pover.00548952
00408954  |.  83C4 10       ADD ESP,10
00408957  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]
0040895A  |.  6A 01         PUSH 1
0040895C  |.  FF75 F0       PUSH DWORD PTR SS:[EBP-10]
0040895F  |.  E8 AB8FFFFF   CALL p2pover.0040190F
00408964  |.  68 30750000   PUSH 7530                                ; /Arg3 = 00007530
00408969  |.  68 BC6F5C00   PUSH p2pover.005C6FBC                    ; |delay
0040896E  |.  68 E0755C00   PUSH p2pover.005C75E0                    ; |today
00408973  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]            ; |
00408976  |.  E8 0193FFFF   CALL p2pover.00401C7C                    ; \p2pover.00401C7C
0040897B  |.  8986 7C050000 MOV DWORD PTR DS:[ESI+57C],EAX
00408981  |.  BB FF000000   MOV EBX,0FF
00408986  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
0040898C  |.  53            PUSH EBX                                 ; /Arg5 => 000000FF
0040898D  |.  50            PUSH EAX                                 ; |Arg4
0040898E  |.  BF 086E5C00   MOV EDI,p2pover.005C6E08                 ; |牵l摁
00408993  |.  68 B4755C00   PUSH p2pover.005C75B4                    ; |http://www.netsoft2005.com/cfg/40/today.dat
00408998  |.  57            PUSH EDI                                 ; |Arg2 => 005C6E08 ASCII "url"
00408999  |.  68 E0755C00   PUSH p2pover.005C75E0                    ; |today
0040899E  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]            ; |
004089A1  |.  E8 8A92FFFF   CALL p2pover.00401C30                    ; \p2pover.00401C30
004089A6  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
004089AC  |.  8D8E 80050000 LEA ECX,DWORD PTR DS:[ESI+580]
004089B2  |.  50            PUSH EAX
004089B3  |.  E8 31321400   CALL p2pover.0054BBE9
004089B8  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
004089BE  |.  53            PUSH EBX                                 ; /Arg5
004089BF  |.  50            PUSH EAX                                 ; |Arg4
004089C0  |.  68 88755C00   PUSH p2pover.005C7588                    ; |http://www.netsoft2005.com/cfg/40/quit.dat
004089C5  |.  57            PUSH EDI                                 ; |Arg2
004089C6  |.  68 80755C00   PUSH p2pover.005C7580                    ; |quit
004089CB  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]            ; |
004089CE  |.  E8 5D92FFFF   CALL p2pover.00401C30                    ; \p2pover.00401C30
004089D3  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
004089D9  |.  8D8E 84050000 LEA ECX,DWORD PTR DS:[ESI+584]
004089DF  |.  50            PUSH EAX
004089E0  |.  E8 04321400   CALL p2pover.0054BBE9
004089E5  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
004089EB  |.  53            PUSH EBX                                 ; /Arg5
004089EC  |.  50            PUSH EAX                                 ; |Arg4
004089ED  |.  68 68755C00   PUSH p2pover.005C7568                    ; |http://www.moxia.net/
004089F2  |.  57            PUSH EDI                                 ; |Arg2
004089F3  |.  68 5C755C00   PUSH p2pover.005C755C                    ; |homepage
004089F8  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]            ; |
004089FB  |.  E8 3092FFFF   CALL p2pover.00401C30                    ; \p2pover.00401C30
00408A00  |.  8D85 E0FEFFFF LEA EAX,DWORD PTR SS:[EBP-120]
00408A06  |.  8D8E 88050000 LEA ECX,DWORD PTR DS:[ESI+588]
00408A0C  |.  50            PUSH EAX
00408A0D  |.  E8 D7311400   CALL p2pover.0054BBE9
00408A12  |.  8065 FC 00    AND BYTE PTR SS:[EBP-4],0
00408A16  |.  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]
00408A19  |.  E8 B88EFFFF   CALL p2pover.004018D6
00408A1E  |.  834D FC FF    OR DWORD PTR SS:[EBP-4],FFFFFFFF
00408A22  |.  8D4D F0       LEA ECX,DWORD PTR SS:[EBP-10]
00408A25  |.  E8 36301400   CALL p2pover.0054BA60
00408A2A  |.  8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]
00408A2D  |.  5F            POP EDI
00408A2E  |.  5E            POP ESI
00408A2F  |.  5B            POP EBX
00408A30  |.  64:890D 00000>MOV DWORD PTR FS:[0],ECX
00408A37  |.  C9            LEAVE
00408A38  \.  C3            RETN

老规矩，段首retn

整个世界清静了！！！！！

Lkou原创与吾爱破解，如需转载，请保存文章完整性

PS，写这玩意纯粹是学到了另一个注册表断点

wspili · 发表于 2011-2-20 15:43

嗯支持一下不容易啊

yjd333 · 发表于 2011-2-20 15:51

本帖最后由 yjd333 于 2011-2-20 15:52 编辑

记得还有个dll专门处理广告。还加在主程序的导入表里。去掉的话会使启动速度快很多。
之前网上的都没处理启动慢了不少

当时想用补丁方式来实现那个导入表失效，可惜太菜，最后只能改主程序囧

lkou · 发表于 2011-2-20 16:07

这样啊，这软件为毛加那么多广告呢，干脆收费算了。。

sujianbei · 发表于 2011-2-20 16:14

谢谢楼主的分享。

q2785031 · 发表于 2011-2-20 16:21

太牛了。。。。。哎

yaheiho · 发表于 2011-2-20 17:03

看得我一头蒙蒙的不懂..

liweisp · 发表于 2011-2-20 17:35

[s:36] 跟别人合用网线这东西挺好的就是防火墙无力啊

wqccj · 发表于 2011-2-20 17:52

谢谢楼主，分享了.......

33549896 · 发表于 2011-2-22 11:41

lkou 我喜欢你的东西，都是在家身边常用的。呵呵。

帐号		自动登录	找回密码
密码			注册[Register]

[原创] P2P终结者去广告（含提权）

免费评分

个人中心

[原创] P2P终结者 去广告（含提权）

免费评分

个人中心

[原创] P2P终结者去广告（含提权）