汇编绿化改弹窗为信息框
好 今天给大家带来的课件是一款DNFFZ,当然我们这次说的不是逆向 {:5_117:} 逆向很简单可可验证eno 可以秒破但是这个FZ还有一个比较恶毒的暗装格盘!!!! 后面我会说下这个怎么解决其实也不难。。来源: 最近刚刚下载DNF 便想回归当年开车的感觉 就去网上找了一款FZ来看见这个购买黄金会员 有个弹网页,就感觉还是有可以学到的知识绿化它一番,我们这次主要目的是将弹网页改成我们自己设定的信息框窗口。好了废话不多说了下面进入正题!原本打算不说PJ了,但是感觉不太完美。还是说说吧
1:逆向
可可验证 我查了没有带壳 其实网络验证都不是很难 主要是怕一些未知的暗装之类的 老方法eno 当然你们也可以FF55FC5F5E 按钮事件 都是行的 我们搜索下字符串----查找字符eno 图中箭头就是 双击进入汇编区域 来到段首 直接将eax赋值为0返回4 (具体返回多少看原本eno段的返回堆栈平衡嘛)
2:暗装
我们来说说这个FZ的暗装 就有2+1个暗装 一个退出 一个蓝屏 一个格盘
蓝屏我们直接用OD插件找其实这个搞不搞都一样 感觉不去除也不会怎么样。。
直接到段首retn 掉就行了
退出直接 查找二进制 FF25 倒数第2个JMP 回车 来段首继续retn 掉
格盘其实这个我PJ完FZ还没有发现 我是去 这个FZ网盘的一个公告看见的 说请勿使用逆向版可能带来蓝屏格盘 当时看到差点吓死 我都是在物理机逆向的 (这也是给大家一个例子 PJ完一个程序最好看完字符串或者找找有没有什么暗装之类的字符串以免你一激动上游戏开启FZ接着发现你电脑开机不了 那就完蛋了。。。) 格盘的暗装一般都是用DOS命令来实现的 所以 DOS格盘命令都是 FORMAT volume 必须要用到这个命令的 我当时是慢慢的往下看的 你们在平时就可以直接查找就行了 以防万一! 大概在字符串尾部哪里 看见这几个单词 其实我英语不好当时我看见他这么多/ 就知道像DOS命令 后面仔细瞅瞅 真是格盘{:5_193:} 我的方法比较暴力 我直接双击字符串来到段首 一直选择到POP这行直接全部给他NOP掉 当然你们也可以去调用行直接给他retn 掉也行 我的想法是 我不清楚他到底哪行是调用的入口 万一我retn错 那就麻烦了 我也不想去用OD去调试这个暗装因为比较危险 我是物理机。。万全之策 全部NOP吧 。 这样格盘搞定!
3:绿化改成信息框!
好 下面来了我们今篇的 主角! 上面第一张截图有一个黄金会员购买链接不是 我们点击就会弹出一个自动发卡网页 我们来将他改成其他编程命令。 我演示的是信息框
我们先来看看弹出信息框的函数messageboxhWnd:消息框的拥有窗此参数口。如果为NULL,则消息框没有拥有窗口。lpText:消息框的内容。如果使用了Unicode库,则把文本变成:lpCaption:消息框的标题。如果使用了Unicode库,则把文本变成:uType:指定一个决定对话框的内容和行为的位标志集。此参数可以为下列标志组中标志的组合。指定下列标志中的一个来显示消息框中的按钮以及图标。4个参数 百度都写的很清楚了我就不解释了
我们先用FF55FC5F5E 来找 他的弹网页事件 我们发现其实就是00401000 下面几行
我先说明下OD里面的汇编代码都是从上到下压人堆栈 但是弹出栈就是从下到上弹出所以我们在压人参数时要注意整个压人参数时反的 也就是说 参数 1 2 3 4变参数 4 3 2 1 这个顺序 我们写的时候也是 要按4 3 2 1顺序来压参
**** Hidden Message *****
感谢匿名大大 他的教程我才学会这个方法的!
记得评分 同学们带上你们的THX!!!
是修改为打开网页的函数吧? 892644330 发表于 2017-1-20 14:54
是修改为打开网页的函数吧?
弹网页改为信息框 感谢分享!!!! 我支持一下啊
这个6666,学习了,恶搞去 谢谢分享,好东西可以知识有限 来学习看看,恶搞必备 看看支持大大