资源描述:
《regetjr去除广告条》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、regetjr去除广告条~教育资源库 目标:regetrj 组织:CCG,FCG :BlueBoy 软件说明:用于下载,FCG的Test,去除它的广告条 工具:soft-ice,,UltraEdit 打开systemcd_clint.dll反汇编,导入函数发现只有一处调用GDI32.CreatepatibleDC*ReferencedbyaCALLatAddress:
2、:10012860:1001235656pushesi:100123578BF1movesi,ecx:10012359FF760Cpush[esi+0C]*Re
3、ferenceTo:USER32.GetDC,Ord:00FDh
4、:1001235CFF15DC820310Calldovdovecx,dovdovdovecx,dpax,0001:100123920F9FC0setgal:1001239588868E010000movbyteptr[esi+0000018E],al:1001239BEB07jmp100123A4*Referencedbya(U)nconditionalor(C)onditionalJumpatAddress:
5、:10012379(C)
6、:1001239D80A68E01
7、000000andbyteptr[esi+0000018E],00*Referencedbya(U)nconditionalor(C)onditionalJumpatAddress:
8、:1001239B(U)
9、:100123A480BE8E01000000cmpbyteptr[esi+0000018E],00:100123AB752Ejne100123DB:100123AD8B0Emovecx,dpatAddress:
10、:10012385(C)
11、:100123C232C0xoral,al:100123C45Epopesi:100123C5
12、C3ret 向上看在程序是由10012860这里调用,所以在此子程序的第一句下断点,并动态改变为ret发现程序的广告条没有了,但是在鼠标点击的时候仍能连接到该程序的站点,从编程的角度来讲该区域为一个窗口所以用Createwindowex下断点,重新运行程序发现共有四处调用在第四处向上找:10011D76FF15A8820310Calldwordptr[100382A8]:10011D7C6685C0testax,ax:10011D7F0F84E6000000je10011E6B:10011D8533C0xoreax,eax:10011D
13、8781CB00000040orebx,40000000:10011D8D50pusheax〈---这写push应该是传递给createwindowex:10011D8E50pusheax参数:10011D8F50pusheax:10011D90FF7604push[esi+04]:10011D93FFB694060000pushdwordptr[esi+00000694]:10011D99FFB690060000pushdwordptr[esi+00000690]:10011D9FFFB68C060000pushdwordptr[esi
14、+0000068C]:10011DA5FFB688060000pushdwordptr[esi+00000688]:10011DAB53pushebx:10011DAC6818540410push10045418:10011DB15712下一页友情提醒:,特别!pushedi:10011DB26A24push00000024*ReferenceTo:USER32.CreateessageA,Ord:012Ah
15、:10011E3B8B35A0820310movesi,dessage 的地址传递给esi;:10011E4157pushedi
16、:10011E4257pushedi:10011E438D45E4leaeax,dwordptr[ebp-1C]:10011E4657pushedi:10011E4750pusheax 所以将:10011DB4FF15B0820310Calldwordptr[100382B0]nop掉就可以了,或者 将:10011D8D50pusheax改为跳转语句跳到:10011E3B这里就行了。 修改之后广告条消息,而且点击之后也没有反应,成功了!!! (不过我没有测试该软件是否好用)上一页12友情提醒:,特别!
