大家是否为一运行某些软件就会弹出广告或是修改你的IE主页等流氓行为而深恶痛绝呢?本文我就带大家来学习一下如何搞定这些软件的流氓行为,让它们变得不再流氓!
那么什么是流氓软件呢?从技术上讲,恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带,它们既不属于正规商业软件,也不属于真正的病毒,既有一定的实用价值,也会给用户带来种种干扰,我们就把这种软件称为流氓软件。
流氓软件的流氓行为主要有以下几个方面的体现:
1、强行侵入用户电脑,无法卸载;
2、强行弹出广告,借以获取商业利益;
3、有侵害用户的虚拟财产安全潜在因素;
4、偷偷收集用户在网上消费时的行为习惯、帐号密码。
在本文中,我主要介绍第2点,也就是如何去除软件强行弹出的广告和修改用户的注册表(主要是增加程序自启动项和修改用户的IE首页)。我们以“人人网人气之星V7.8”为例给进行介绍,这是人人网(以前的校内网)的一个用来刷人气的软件,相信经常玩校内网的人都知道。这个软件在退出时会自动调用IE并打开一个网页,这个页面(当然不只这一处,还有很多地方,大家亲自动手试试就知道了)。另外,点击软件界面上的“开始刷人气”按钮启动刷人气进程时就会强行修改用户的IE主页,是不是让人很不爽呢?
首先来看如何去除广告,我们都知道,要调用IE一般都会用到SheIIExecute这个API函数,我们可以在OD中对这个API下断来找到关键点,然后去除广告。当然也可以利用弹出广告的网址来进行关键点的查找,比如在OD中进行字符串的搜索,在搜索结果中查找广告网页的网址进行关键点的定位,然后去除广告,以上就是两种常用的思路。
在本文中,我们利用查找字符串的方法来寻找关键点,先使用PEID检测一下,看程序有没有加壳,因为对加壳的程序是查找不到字符串的。这个程序被加壳了,好在脱壳很简单,利用单步法就可以轻松脱壳(由于本文主要是介绍去除软件流氓行为,所以脱壳的过程我省略了)。脱壳后再使用PEID检测,发现程序是使用Visual Basic编写的。
之所以要确定是什么语言编写的,是因为在字符串查找中有两种方法:UNICODE和ASCII。对VB编写的程序来说,要使用UNICODE方式来分析字符串,因为VB程序处理字符串是使用UNICODE方式的,而使用其它语言编写的程序则选择ASCII方式。
利用OD的字符串搜索插件来搜索字符串,我们查找,这时会发现有很多结果。原因很简单,因为软件在多处调用了该字符串。那到底哪一个才是我们需要找的呢?我们的方法是在所有的结果上下好断点,软件退出时OD中断在哪儿,那这个地方就是我们要找的地址。按照这个方法,我找到的关键代码如下:
接下来就好办了,把00568ECA处的CALL给NOP掉(在OD的反汇编窗口00568ECA那行的代码上点击右键,选择“Binary”——“Fill with NOPs”),然后鼠标选中修改的代码,点击右键,在弹出的菜单中选择“Copy to executable”——“selection”,保存即可。运行保存后的文件,在退出时就不会弹出烦人的IE了,是不是很easy呀!
下面的任务就是禁止软件肆意修改我们的IE主页了,思路和上面去广告差不多,一个是利用API断点,因为软件要修改IE主页,而IE主页的网址是保存在注册表中的,具体位置是在“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page”,这样我们就可以利用相关的注册表操作函数(比如RegOpenKey)来进行关键代码的定位了。另一种方法就是搜索字符串,和上面方法一样,在此我就不多说了。在字符串的搜索结果中,我们很容易发现如下所示的字符串:
双击该行就进入到了相关代码:
一种解决的办法就是寻找该段的段首,让其直接返回,在OD的反汇编窗口向上滚动,找到段首位置“0058C080 55 PUSH EBP”,在该行代码上按键盘上的空格键进入代码编辑,将该行代码改为ret,然后按照上面的方法保存程序即可。另外,通过动态调试我们也可以发现0058C21F处的call是修改IE主页的元凶,也可以按照上面去广告的方法将其NOP掉,然后保存程序即可。
这个程序的7,8版与以前的版本相比,作者在某些方面进行了一些改进,比如以前可以很明显的直接定位ShellExecute这个API来去除广告,但在7.8版中已经不是那么明显了,作者进行了隐藏,大家可以试着找找看,提升下自己的分析能力。
另外,这个软件的破解也不准(因为软件的注册码可以透过宣传作者的软件来免费获得,但自己动手找出来岂不是更爽),软件注册是明码比较的,大家可以试着crack一下。至此,我们的破解任务就圆满完成,快运行你修改的软件看看吧,无广告也不改IE主页,很爽吧!