怎么样自己去除QQ伴侣和QQ偷鸡小分队的弹窗广告
QQ偷鸡小分队应该和QQ收割小分队原理一样,反正都是一起牛论坛的软件,其实这软件很容易去广告,下面教大家方法,我不说多详细,做个大概的记录吧看区段就知道是VMProtect所加的壳,大家别看到VMProtect就害怕,其实他只用了VMProtect的压缩功能,IAT没有加密,连入口点都没有被虚拟变形,所以难度相当于UPX,脱起来也很简单,首先你要先学会怎么调试它
第一部分:脱壳载入OD,脱壳思路就是解码dump修复iat,直接在VirtualProtect断尾F2断点吧,然后就一直F9,从数据窗口观察数据是否被解码了,也就是401000这的代码是否被恢复了,等到发现代码恢复就可以取消断点,然后再程序的代码段.text下段,再F9下就停在程序的OEP了0045647C E8 68F10000 call 收割小分.004655E9 ; VC++ 2008 OEP00456481 ^ E9 78FEFFFF jmp 收割小分.004562FE00456486 8BFF mov edi,edi00456488 55 push ebp00456489 8BEC mov ebp,esp0045648B 6A 00 push 0
IAT也很清晰:00477000 77DCC110 ADVAPI32.LookupPrivilegeValueA00477004 77DA796B ADVAPI32.OpenProcessToken00477008 77DA6C07 ADVAPI32.RegCloseKey0047700C 77DB42F0 ADVAPI32.RegQueryValueA00477010 77DA7832 ADVAPI32.RegOpenKeyExA00477014 77DAEE4C ADVAPI32.AdjustTokenPrivileges00477018 77DA7A9B ADVAPI32.RegQueryValueExA0047701C 77DAE834 ADVAPI32.RegCreateKeyExA00477020 77DAE927 ADVAPI32.RegSetValueExA00477024 77DCB6BE ADVAPI32.RegDeleteKeyA00477028 77DC86A3 ADVAPI32.RegEnumKeyA
我习惯用UIF修复下IAT,很多人不会使用,做个简单的截图吧,先看程序进程的PID,填入UIF就可以了
看代码就清楚的知道,这里就是那个属性框的广告,我们直接在断首返回就行了,这样改:00406F40 C3 retn ; 广告
00433010 C3 retn ; 广告
这样弹出广告和登陆界面右边的广告都没了
会了没?
标签:QQ,偷鸡,弹窗
