官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 优雅的禁用chrome v75版本以上 '请停用以开发者模式运行 ...
12345678910... 17下一页
返回列表 发新帖
查看: 21497|回复: 160
收起左侧

[原创] 优雅的禁用chrome v75版本以上 '请停用以开发者模式运行的扩展程序 提示

    [复制链接]
1364847132
1364847132 发表于 2019-7-24 05:48
本帖最后由 1364847132 于 2019-8-2 01:53 编辑

前言

笔者所读某川大学教务处系统非常不友好,为了在使用教务处时省去某些无意义操作,笔者自写了一个chrome插件。
但是每次启动都有一个烦人的“请停用以开发者模式运行的扩展程序”提示。

咱也不可能为了这个提示框专门去交那傻乎乎的5刀注册开发者。恶心心!
通过某度找到一个搜索字符串的方法,但是该方法仅支持到v74的版本。

分析

如果您不想看这复杂的分析,请直接跳转最后查看怎么修改。
首先来理一理思路,chrome启动的时候,在程序的某个地方判断chrome是否加载了以开发者运行的扩展程序,如果加载了则弹出提示。
那么只要找到了这个判断的地方,并把它强制跳过就可以去掉这个烦人的提示框了。那么如何定位判断的地方呢?
显然可以先对弹出提示框的地方进行定位,在通过堆栈回溯就可以找到判断的地方。

定位弹出提示框代码位置

使用SpyLite,来看看这个提示框到底是个什么玩意儿。

看到窗口类名那一行,这个提示框其实是一个Window。那么直接在系统api CreateWindowExW,上打个断点。
x64dbg,载入chrome.exe,在CreateWindowExW打上断点

F9直接运行,期间会被程序会被断下很多次。提示框是最后一个被创建的,所以当程序最后一次被断下的时候,通过调用堆栈即可定位提示框代码位置。

点击调用堆栈。

调用堆栈的前几层一般来说都是语言自身对创建窗口的封装,所以属于公共代码,分析意义不大。那么如何定位呢?这里使用一个最愚蠢的方法,在调用堆栈调用的每个函数前下断,前面提到,前几层是公共代码,所以咱们从第四层开始下断点。

这里对4-11层的调用堆栈进行了下断。
重新载入,直接F9运行,对于多次命中的断点,直接取消断点,因为它肯定属于公共代码。在chrome运行起来,提示框弹出后,找到命中次数为1的断点。(命中次数为1说明只调用了一次)

有两个命中次数为1的断点,下面的函数是被上面函数进行调用的。所以第一个命中次数为1的断点就是弹出提示框代码的位置。

定位判断代码位置


如图,代码中有3个跳转可以跳过弹出提示框这个call,且第2个跳转为无条件跳转jmp。而在,0x00007FFF33B7DD38有个跳转可以跳过前两个跳转。所以如果0x00007FFF33B7DD38这个跳转不成立时,无论0x00007FFF33B7DD55这个跳转是否成立,最后都会跳过弹出提示框的call。
即,弹出提示框的唯一路径是0x00007FFF33B7DD38跳转成立且0x00007FFF33B7DD72跳转不成立。因为是且,所以破坏一个条件即可,但是0x00007FFF33B7DD38的跳转是对类进行异常(空指针)检查的,一般不对第一个跳转进行修改。那么将第二个跳转改成强制跳转即可。

总结

既刚刚已经找到了修改的位置,那么就可以直接使用特征值进行定位。
x64dbg载入chrome.dll,连续多次单击运行到用户。

直至模块变成chrome.dll。

然后在主面板依次选择 搜索->当前模块->匹配特征

搜索

48 8B 0E 48 8B 01 4C 8D 74 24 28 4C 89 F2 FF 50 48 48


等待搜索完毕,双击搜索到的结果

跳转到反汇编界面,双击第一行将je修改成jmp

修改完成后,Ctrl+P,导出修改后的dll文件(点击修补文件按钮导出dll)

最后再把原始chrome.dll文件备份,再把这个修改过的替换,就可以发现,这个恶心的提示已经没有了。

2019-08-02
偷偷摸摸修改了特征值,匹配兼容v76版本

1.png

免费评分

参与人数 68吾爱币 +61 热心值 +61 收起 理由
szmsys + 1 + 1 热心回复!
lxxda + 1 谢谢@Thanks!
Rambo-N + 1 + 1 我很赞同!
yinghua520 + 1 我很赞同!
dragonsome + 1 + 1 谢谢@Thanks!
岁月神偷 + 1 + 1 我很赞同!
bibibi + 1 + 1 折腾好久;今天搜索到楼主的教程终于搞定
mosagi + 1 + 1 真的厉害,新版通杀
HJAY + 1 + 1 用心讨论,共获提升!
redtrilar + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sam43125 + 1 + 1 谢谢@Thanks!
风之诗 + 1 + 1 谢谢@Thanks!
xxooo10000 + 1 + 1 谢谢@Thanks!
Hmily + 6 + 1 用心讨论,共获提升!
aniudi + 1 老铁,可以禁用更新提示吗?
wind_pisces + 1 + 1 用心讨论,共获提升!
chunlei233 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wuaipjlt + 1 + 1 谢谢@Thanks!
超级大坏蛋 + 1 谢谢@Thanks!
右眸 + 1 我很赞同!
raynekimberly + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Ashdoll + 1 + 1 谢谢@Thanks!
雨沐春风 + 1 谢谢@Thanks!
莪是阿狸控 + 1 我很赞同!
yugi036 + 1 + 1 用心讨论,共获提升!
zhao19980207 + 1 + 1 谢谢@Thanks!
iksjls + 1 谢谢@Thanks!
默生a + 1 我很赞同!
5omggx + 1 + 1 谢谢@Thanks!
samuraiofmaple + 1 + 1 谢谢@Thanks!
MaxMadcc + 1 谢谢@Thanks!
lihuiyuxz + 1 + 1 大神啊,学习了
腊肉白菜 + 1 + 1 老铁是川大的?南门竹篓香可还在?
hdivy_ + 1 我很赞同!
羊村你喜爹 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Gilbert + 1 + 1 谢谢@Thanks!
世贤的疑问 + 1 是个狼灭
明世隐 + 1 这个真好,解决需求
wuxiaojie + 1 + 1 我很赞同!
tcwangx + 1 + 1 热心回复!
稣兰 + 1 + 1 谢谢@Thanks!
DEATHTOUCH + 1 + 1 我很赞同!
Lecoeur + 1 + 1 我很赞同!
wongkoeng + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
风在前,无惧 + 1 谢谢@Thanks!
jeehom + 1 + 1 谢谢@Thanks!
鲸鱼jerry + 1 + 1 热心回复!
mr.gao123 + 1 谢谢@Thanks!
XhyEax + 1 + 1 我很赞同!
zx575645128 + 1 + 1 我很赞同!
yghbly + 1 我很赞同!
ii23456ii + 1 + 1 曾经烦过一阵子,谢谢详细过程!
iamwangz + 1 + 1 谢谢@Thanks!
52pojiemd5 + 1 我很赞同!
moodykeke + 1 + 1 用心讨论,共获提升!
swapj + 1 + 1 膜拜大佬
coolcalf + 1 + 1 一个完整的去弹窗过程,支持~!!
mengsiyiren + 1 + 1 用心讨论,共获提升!
dengta + 1 + 1 感谢分享,,,,
star星 + 1 + 1 我很赞同!
你奶奶的老伴儿 + 1 + 1 大佬就是大佬 强
zhangyx98 + 1 + 1 热心回复!
ygh0309 + 1 + 1 我很赞同!
yj1013 + 2 + 1 谢谢@Thanks!可以升回新版了。
神经病患者 + 1 + 1 谢谢@Thanks!
clf3211147 + 1 + 1 谢谢@Thanks!
Minami + 1 太强了,是大佬,wsl

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

孤独的老大哥
孤独的老大哥 发表于 2019-7-24 07:54
其实用火绒的自定义窗口拦截就可以把这个弹窗拦截啦,不过谢谢楼主分享啦😄
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 3

举报

丨紫陌流年丶
丨紫陌流年丶 发表于 2019-7-28 13:20
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
申杰1 发表于 2019-7-26 11:37
不是补丁能解决的

这是在卡饭论坛找到的,不能用补丁解决吗?


关于“更换电脑后Chrome便携版扩展丢失”的问题似乎有“完美”解决方案了。
查看Chromium的源代码
[Shell] 纯文本查看 复制代码
http://src.chromium.org/viewvc/chrome/trunk/src/rlz/win/lib/machine_id_win.cc

里面有这个函数
[JavaScript] 纯文本查看 复制代码
GetRawMachineId

这货调用了两个判断系统环境的Windows-API
[JavaScript] 纯文本查看 复制代码
GetComputerNameW
GetVolumeInformationW

只要使这两个API返回false,就能干扰浏览器判断系统环境,从而解决扩展丢失问题。
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

木鱼王杰
木鱼王杰 发表于 2019-7-24 06:09
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
👍👍👍👍,感谢分享!
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

月夜丿小白
月夜丿小白 发表于 2019-7-24 06:32
马克一下,正愁75以上怎么解决来着。。。
如何快速判断一个文件是否为病毒!
回复 支持

举报

xouou
xouou 发表于 2019-7-24 07:10
前排刘明,哈哈
回复 支持

举报

ufo2273810
ufo2273810 发表于 2019-7-24 07:12
感谢分享,楼主辛苦
回复 支持

举报

kapan000
kapan000 发表于 2019-7-24 07:23
比较关心lz写了个啥插件,拿出来瞅瞅,哈哈哈~
回复 支持

举报

lwylwy
lwylwy 发表于 2019-7-24 07:26
感谢分享了。
回复 支持

举报

yu13740000
yu13740000 发表于 2019-7-24 07:37
厉害啊,学习了
回复 支持

举报

依佳人时代
依佳人时代 发表于 2019-7-24 07:44
感谢分享
回复 支持

举报

kunge98321
kunge98321 发表于 2019-7-24 07:45
感谢分享,楼主辛苦。。。。。
回复 支持

举报

下一页 »
12345678910... 17下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-26 17:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表