我相信很多朋友都应该知道SDemo这款屏幕录像工具,许多黑客网站都有自己的专用版。
首先我们需要原版的SDemo,使用PEID查壳,显示为Microsoft Visual C++ 6.0。当然也有些作者加了壳然后使用语言头来迷惑我们,我们可以使用PEID来揭穿它,点首字节旁边的箭头就可以静态反汇编了,再点字串较难显示程序中的字符串了(加壳的程序一般是不显示字符串的,即使显示也是一些乱码和系统函数,而且双击也获取不到偏移)。
却没有加过壳后,我们就可以使用Restorator来修改了,S-Recorder.exe是录制文件,S-Player.exe是播放器,S-Player.mex就是录制后转换要调用的文件了。这里我们就改S-Player.mex,使用Restorator打开S-Player.mex,展开对话框中100这个资源,按下F6就可以编辑了,随便选中一个就可以在右边更改了,大小可以不一致,\n是换行的意思。
我们再打开资源136,按下Ctrl+F7,也就是查看器中的R c 模式,把“RTEXT”名称:”,-1,0,0,30,10”复制,然后换一行粘贴,按Ctrl+F5回到默认编辑模式提交修改,然后拖动名称就可以看见两个一样的了,我修改的为“危险漫步 https://www.weixianmanbu.com/”。
接下来就是修改动画的标题了,展开字符串中9这个资源,把Screen Movie Player换成我们需要的标题。展开图标128,右键导入我们喜欢的图标,这样生成的动画图标和关于对话框中图标也就改好了。我们再来增加一个链接,首先展开菜单128资源,然后把帮助菜单中的内容改成主页,到这里我们就可以不使用Restorator了。使用OD载入S-Player.mex,然后搜索ASCII字串,可以看到“00402AEE PUSH S-Player.00415120 s-demo.hlp”这一行,这个就是帮助菜单中内容要调用的文件了。我们要把它改成“http://www.weiixanmanbu.com/”,使用转换工具转换成十六进制。在程序中寻找一段空白地址把转换后的添加进去,比如说我来到004117EB,把687474703A2F2F7777772E6861636B65727866696C65732E6E65742F以二进制的方式粘贴。我们来到00402AEE,双击把此句改成“PUSH 004117EB”,在右边的注释窗口就出现了“http://www.weiixanmanbu.com/”,说明修改成功,复制所有修改保存一下就可以了。本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法破解行为。