危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览19378901

No update & No Ad

操作系统环境:Windows 7

目标程序:目标.exe

目标程序大小:2084KB

工具:Dintal-OD、PEID

前言:很多时候我们会遇到需要不断更新的软件,而且软件的更新速度惊人,一个功能简单的软件每次更新只是修正一些不太紧要的BUG,对于我们这些要求不高的小用户来说没有必要次次都跟着更新,说个最贴切的吧,腾讯的QQ每次的更新大家应该都有跟着更新吧,但是我要问的问题是,你们跟着更新了,那你发现了你每次更新后和更新前有什么不同么,那些不同是不是很有用呢,或者说不更新是不是不行呢?答案当然是否定的,很多时候的更新是没有必要的,而且即使跟着更新大家很多时候注意到的也就是版本号改变了,新的东西往往是不起眼的,但是所花费的下载安装时间就很浪费了。所以危险漫步今天要教教大家如何去除更新。不多说,开始吧。

用PEID载入程序可以得到具体信息,由于今天是说去更新,所以就不带壳了。双击运行软件可以发现软件已经检测到自己的程序需要更新并且要求强制更新,面对这么不人性化的设计,我们当然是不满意的。

点击关闭的时候还会自动弹出网页,这样真令人烦心,等于是每个不更新的机子都要帮他刷流量了,靠这种方法提高点击率很明显是令人反感的。

更为杯具的是,这款软件的自动更新是失败的,这就等于对使用者说,你必须每次启动都打开我的网站,而且不准用我的软件,因为你还没更新!为了可以正常使用这个软件并且去掉网页弹窗,危险漫步的这篇文章才会出现。

用OD载入软件,先看看软件有没有反调试,F9运行软件,可以正常运行起来,那应该没有反调试了,也可能被StrongOD给干掉了,当软件运行到弹出提示框,我们按下暂停(F12)可以把整个程序断下来,这时候我们点一下功能按钮的“K”,就可以查看对堆栈的调用了,或者可以按快捷键Alt+K来调出窗口,这时我们看到了调用的“MessageBoxA”函数,双击那个函数就会来到相应位置。

这时候我们在函数的返回位置下好断点,然后F9使程序继续运行,接着按弹出框的“确定”按钮,程序就会停在我们的断点处了。

这时候我们点一下F8就可以返回到上一层,这里可以看到上方的调用,往上分析没有发现有什么可以越过的跳转,那就再次回到上一层吧。

Ctrl+F9运行到返回,然后点击单步F8,这里也没有可疑跳转,继续重复操作。

Ctrl+F9运行到返回,然后点击单步F8,这里可以发现可疑跳转了,00401416这个位置的跳转应该就是个关键跳,如果JMP掉就会被我们强行跳过更新。

修改为JMP,然后保存一份试试,运行起来了,但是功能貌似没正常。

因此,这样强制过的不是很可行,估计后面还是有判断的,我们看看能不能有其他修改方法。这里通过分析还可以这样改,因为软件的判断是基于eax的值的,如果eax的值为1的话就会要求更新,我们试试把EAX的值修改为O,动态代码修改。

这样修改后保存一份打开试试,功能正常了,目录出现。

好了这就是我们去更新的过程,这里我们再附加地说说软件如果不去更新的话如何去弹窗网页吧,按照理论软件应该是调用了一个打开网址的函数"bp ShellExecuteA”或者"bp SheIIExecuteW”,我们拿原来的程序试试。OD载入原来的程序,在命令窗口下断点“爆bp ShellExecuteA”,然后F9运行软件等到提示更新窗口出来后点击确定,软件被拦截下来了,这时候可以看到OD的堆栈窗口也会出现具体要打开的网址。

这里大家应该怎样改可以自由发挥了这里提供三种思路,第一种是强制修改”open”为“off’这样就不会打开网页了。

第二种思路就是根据堆栈返回的原理找到对应的call,然后把那个call给nop掉就可以,这算是费掉了他的功能,直接给出具体位置。

第三种很简单,就是直接修改那个网址为你喜欢的网址,让他只打开你喜欢的网址,当然这个不是人人都喜欢而且方法和第一种思路一样,所以我就不详细说了。具体大家实践一下就会知道哪种适合自己,我提供的仅仅是思路。这次去更新和弹网址就说到这里吧,希望大家都有收获。

后记:软件之所以不人性化是因为他们喜欢欺负没办法的人,我们要做有办法的人,把生活变得更加人性化。

相关推荐