[讨论] The034. 吾爱培训，《02：实战去广告、弹窗及主页锁定》讲师：Kido 实例二

[复制链接]

The034. 吾爱培训，《02：实战去广告、弹窗及主页锁定》讲师：Kido 实例二
关于吾爱破解论坛官方入门教学培训第一期，我的学习记录，如有疑问欢迎交流指正。^_^
这节课是实战去程序弹出网页、广告、注册表主页锁定等，算是继脱壳学习之后的第一个实战。

被试程序：【吾爱破解培训第二课实例二.exe】
实例一程序需要修改的地方有4处：
1）程序开启时显示指定网页、2）按钮按下弹出网页、3）程序开启时更改主页、4）20秒自动弹出广告窗口
我没有完全按照kido大牛的教程顺序，而是按照程序打开时网页出来的顺序破解的，比较方便记忆，个人习惯而已。


1、查壳，ASPack壳，这种简单壳就不记录脱壳过程了，直接拿已脱壳的程序演示。一定要脱壳，否则查找不到字符串。


2、第一步，去除程序界面显示指定网页。运行程序在网页页面打开属性，可以看到网页地址，OD载入dumped_已脱壳.exe程序，中文搜索，发现了“https://www.52pojie.cn/portal.php”地址。


3、双击进入代码区，复制进栈地址00403630，数据窗口Ctrl+G，粘贴地址，回车，找到对应网址全选中，右键二进制填充，00填充，保存程序为1.exe。


4、由于我的机器打开程序本来就没有显示网页，运行1.exe后通过页面属性可以发现，网址已经被和谐了。至于kido大牛用资源修改工具去掉网页显示控件，后面学习程序美化修改的时候在记录吧。


5、第二步，去掉按钮按下弹出网页。弹出的网页地址为“http://www.52pojie.cn/thread-384195-1-1.html”，这里发现中文搜索里有两个同样地址，我自己测试了一下，第一个修改了没有效果，第二个才是按钮按下弹出网页。修改方法The 033集里有记载。保存文件为2.exe，运行发现按钮按下不弹出网页了。


6、第三步，去掉程序开启时更改主页。通过中文搜索的主页地址“http://www.52pojie.cn”，双击到代码区，这里一大块代码都是在操作注册表更改主页。


7、去掉更改主页有两种方法。1）retn大法，简单实用、2）一个一个NOP掉call，比较麻烦。这里采用第一种办法。将代码段首改为retn，跟代码段为的retn对应，这样程序就不会运行中间修改部分的内容了。


8、处理完毕后保存文件为3.exe，运行后会发现程序没有再更改主页了。


9、第四步，20秒后自动弹出广告窗口。右下角弹出的广告窗口虽然没有边框，依然属于一个窗口类型，窗口相关的API有一下4种：1）CreateWindowExA、2）CreateWindowExW、3）DialogBoxParamA、4）DialogBoxParamW。
由于中文搜索窗口搜索到的内容是Unicode类型，所以我下了CreateWindowExW断点，也不知道这么理解是不是对的。

然后F9运行后程序就断下了，此时程序并没有运行起来。又F9几次后，OD卡死掉了，目前还不知道怎么选择API下断点才是对的。我又尝试了DialogBoxParamW断点，F9程序运行起来了，等待20秒，OD断下来了，应该就是广告窗口触发了，这里有2种方法去广告弹窗如下：
1）retn大法

2）NOP大法


10、至此，一个干干净净的实例二就修改完成了^_^