汇编绿化改弹窗为信息框

好 今天给大家带来的课件是一款DNFFZ，当然我们这次说的不是逆向     逆向很简单   可可验证  eno 可以秒破但是这个FZ还有一个比较恶毒的暗装  格盘！！！！   后面我会说下这个怎么解决其实也不难。。  来源： 最近刚刚下载DNF 便想回归当年开车的感觉 就去网上找了一款FZ来  看见这个购买黄金会员 有个弹网页，就感觉还是有可以学到的知识绿化它一番，我们这次主要目的是将弹网页改成我们自己设定的信息框窗口。好了废话不多说了  下面进入正题！





原本打算不说PJ了，但是感觉不太完美。还是说说吧
1：逆向


可可验证   我查了没有带壳    其实网络验证都不是很难 主要是怕一些未知的暗装之类的       老方法eno       当然你们也可以FF55FC5F5E 按钮事件   都是行的      我们搜索下字符串----查找字符eno   图中箭头就是   双击进入汇编区域       来到段首 直接将eax赋值为0  返回4 （具体返回多少看原本eno段的返回  堆栈平衡嘛）       
2：暗装

我们来说说这个FZ的暗装    就有2+1个暗装   一个退出    一个蓝屏      一个格盘        
蓝屏我们直接用OD插件找  其实这个搞不搞都一样     感觉不去除也不会怎么样。。

直接到段首retn 掉就行了   

退出  直接 查找二进制 FF25        倒数第2个JMP 回车 来段首继续retn 掉     

格盘其实这个我PJ完FZ还没有发现 我是去 这个FZ网盘的一个公告看见的 说  请勿使用逆向版  可能带来蓝屏格盘      当时看到差点吓死    我都是在物理机逆向的   （这也是给大家一个例子 PJ完一个程序最好看完字符串或者找找有没有什么暗装之类的字符串  以免你一激动  上游戏开启FZ接着发现你电脑开机不了 那就完蛋了。。。）      格盘的暗装一般都是用DOS命令来实现的   所以 DOS格盘命令都是 FORMAT volume    必须要用到这个命令的   我当时是慢慢的往下看的   你们在平时就可以直接查找就行了     以防万一！          大概在字符串尾部哪里 看见这几个单词   其实我英语不好  当时我看见他这么多/ 就知道像DOS命令   后面仔细瞅瞅 真是格盘      我的方法比较暴力   我直接双击字符串来到段首 一直选择到  POP这行  直接全部给他NOP掉           当然你们也可以去调用行直接给他retn 掉也行          我的想法是   我不清楚他到底哪行是调用的入口    万一我retn错    那就麻烦了     我也不想去用OD去调试这个暗装因为比较危险 我是物理机。。  万全之策 全部NOP吧 。   这样格盘搞定！



3：绿化改成信息框！

好 下面来了我们今篇的 主角！   上面第一张截图有一个黄金会员购买链接不是 我们点击就会弹出一个自动发卡网页   我们来将他改成其他编程命令。 我演示的是信息框  

我们先来看看弹出信息框的函数  messagebox

hWnd:

消息框的拥有窗此参数口。如果为NULL，则消息框没有拥有窗口。

lpText:

消息框的内容。如果使用了Unicode库，则把文本变成:

lpCaption:

消息框的标题。如果使用了Unicode库，则把文本变成:

uType:

指定一个决定对话框的内容和行为的位标志集。此参数可以为下列标志组中标志的组合。指定下列标志中的一个来显示消息框中的按钮以及图标。

4个参数   百度都写的很清楚了  我就不解释了      

我们先用FF55FC5F5E 来找 他的弹网页事件     我们发现其实就是00401000     下面几行   

我先说明下  OD里面的汇编代码都是从上到下压人堆栈 但是弹出栈就是从下到上弹出  所以我们在压人参数时要注意整个压人参数时反的   也就是说 参数 1 2 3 4变参数 4 3 2 1   这个顺序 我们写的时候也是 要按4 3 2 1顺序来压参   

游客，如果您要查看本帖隐藏内容请回复

感谢匿名大大    他的教程我才学会这个方法的！
记得评分 同学们  带上你们的THX！！！

是修改为打开网页的函数吧？

892644330 发表于 2017-1-20 14:54
是修改为打开网页的函数吧？

弹网页改为  信息框

感谢分享！！！！

我支持一下啊

这个6666，学习了，恶搞去

谢谢分享，好东西可以知识有限

来学习看看，恶搞必备

看看支持大大