吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4432|回复: 42
上一主题 下一主题

[原创] 分析垃圾的国区adobe flash的弹窗FF新鲜事

[复制链接]
跳转到指定楼层
楼主
cdevil 发表于 2019-3-14 14:04 回帖奖励
有些公司越来越垃圾了,居然捆绑流氓软件,这些天电脑总是弹出FF新鲜事这种垃圾窗口,以为电脑中毒,于是查了一查。 不查不知道,一查吓一跳,居然是Adobe公司的flash 一怒之下,上IDA准备patch掉这个垃圾窗口
最简单的做法可以:开始-运行-services.msc找到flash helper service 双击,属性将原来自动改禁用。 或者直接将C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe删除,360可以强力删除,好评!
#####################################################################
但是垃圾软件会复活,最有效的方法是什么呢?我们借助windows10的权限管理政策即可。先找到FlashHelperService.exe,右键点击属性。在安全选项页里设置所有的用户对它的任何操作都为拒绝,然后点击应用,然后在常规选项页里点击只读选项!只要后台有进程偷偷地去执行这个程序就会弹出程序无法被访问的警告窗口!

#####################################################################

但是我们要分析这个垃圾软件。
先对而言,windows编程比较简单,一般用户开发使用大量的windows API,我们可以根据API 跟踪程序。 我们来分析一下这个程序,这个垃圾程序创建了一个窗口,可能相关API比如:CreateWindow等等。 不着急,先看看程序的资源文件,拖入Resource Tuner 恩,发现了万恶的”FF新鲜事”的图标!

好的,我们google一下加载icon的API,LoadIcon OK了,初步分析应该就可以完成了。
我们把程序拖入ida,选择utf-8等待ida将此程序分析完毕。 我们打开字符串窗口直接搜索”LoadIcon”

OK,找到之后查看xref,仅有一处调用,跟进在此函数翻到如下内容再翻翻复制此链接丢入浏览器就是你了。 观察次函数总是返回1 行,那就帮帮你。 找到调用此函数的地方,一顿patch!
bingo!偷天换日成功,把它放回原来的目录 C:\Windows\SysWOW64\Macromed\Flash

免费评分

参与人数 10威望 +1 吾爱币 +16 热心值 +7 收起 理由
jizhihaoSAMA + 1 + 1 谢谢@Thanks!
kyd0094 + 1 + 1 直接把flash卸载了就完事了(暴躁)
anheesung + 1 + 1 我很赞同!
solly + 1 + 1 我很赞同!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zcxter + 1 热心回复!
Deadromance + 1 我很赞同!
zenghp66 + 1 谢谢@Thanks!
wengmingao + 1 + 1 用心讨论,共获提升!
飞奔蜗牛 + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
rockingus! 发表于 2019-3-15 17:14 来自手机
感谢楼主,我这用的是这个办法:在系统服务中停止flash helper service后,把FlashHelperService.exe删除后,在同目录下新建一个空的txt文件,将原文件名 新建文本文档.txt 改为 FlashHelperService.exe,问题也能得到解决。
推荐
error3 发表于 2019-3-18 10:59
rockingus! 发表于 2019-3-15 17:14
感谢楼主,我这用的是这个办法:在系统服务中停止flash helper service后,把FlashHelperService.exe删除后 ...

我也是用这个办法。不过我加了一层保护,防止FLASH升级时再写入新的flashhelperservice.exe  我把这个文件加了只读属性。
4#
飞奔蜗牛 发表于 2019-3-15 15:39
5#
okwebdell 发表于 2019-3-15 15:55
看不懂,但我觉得以后应该能看懂
6#
whyida 发表于 2019-3-15 16:12
有个dll 是负责弹广告的。公司是一家重庆的网络公司,在注册表中设置开机自动启动。我用PCHunter_free 把它连根拔除了,结果就是一用flash 就报错,才知道是adobe。
7#
e23135645631 发表于 2019-3-15 16:52 来自手机
卡在了flash键盘允许的全屏模式
8#
szs6008 发表于 2019-3-15 17:11
感谢分享,正愁怎么处理呢
9#
guoxiujing 发表于 2019-3-15 18:06
这个FLASH垃圾东西确实恶心,现在知道没有市场了 用这种手段赚一笔,人人得而诛之
10#
jeffsoning 发表于 2019-3-16 12:24
这个软件现在太垃圾了 我都不用了 因为现在用flash的网站也少了
11#
shaosilly 发表于 2019-3-16 15:23
想不到最后这两年留下这些卑劣行迹~早早消失吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-5-24 03:02

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表