☆Obaby's H4cking W0rld☆

Hack-Crack==Backdoors - RATs - Trojans // Binders-Packers - Rootkits

破解-黑客-零日漏洞-灰鸽子/上兴/PCShare-木马免杀-网站入侵-信息安全

    听说那个传说中的赛博QQ是现在比较牛X的一个显IP的版本,一直没有用过,今天在黑鹰上又看到这个东西,下载下来研究了一番,但是如果还是按照前面的文章中的去掉广告的方法的话,这个东西在聊天窗口的右边就不会显示IP了,需要原来用原来IMSkin.ini文件替换掉修改后的,如果没有修改的话就没什么问题了。


 程序的设置窗体如下,具体是什么东西自己测试吧。

 可以看到程序并不显示Ip而是只是显示物理位置。另外程序对聊天窗口似乎也有所修改,原来的文字广告的左下角修改成了简繁火星文字体的一些东西。


 我对火星文没什么好感,这里也就不演示了。想知道什么样子自己下载个用就是了。
 但是有一点不爽就是程序每次运行总是提示是不是把那个什么烂东西设为主页!Shit,最讨厌这样的东西了,本着自由的精神,一定要破了他!HOHO。


 历来没有使用主页的习惯,都是空白页面。
 用Peid载入主程序和目录下的dll文件都提示无壳。


 既然无壳,那么直接OD载入吧。
 在跟随中输入MessageBoxA,来到下面的代码处


 F2下断,F9运行下看看。出现下面的提示窗口,继续F8跟进

 点否看看,程序中断在了0105E713 |. 8985 E0FEFFFF mov dword ptr ss:[ebp-120],eax

相关代码如下:


//下面代码从注册表中读取当前主页
0105E6CE |. 51 push ecx ; /pBufSize
0105E6CF |. 8D95 E8FEFFFF lea edx,dword ptr ss:[ebp-118] ; |
0105E6D5 |. 52 push edx ; |Buffer
0105E6D6 |. 6A 00 push 0 ; |pValueType = NULL
0105E6D8 |. 6A 00 push 0 ; |Reserved = NULL
0105E6DA |. 68 48A00D01 push cyboma.010DA048 ; |ValueName = "Start Page"
0105E6DF |. 8B45 F8 mov eax,dword ptr ss:[ebp-8] ; |
0105E6E2 |. 50 push eax ; |hKey
0105E6E3 |. FF15 1C800D01 call dword ptr ds:[<&ADVAPI32.RegQueryValueEx>; \RegQueryValueExA
//将程序要设置的主页压入堆栈
0105E6E9 |. 68 54A00D01 push cyboma.010DA054 ; /Pattern = "www.cyboma.com"
0105E6EE |. 8D8D E8FEFFFF lea ecx,dword ptr ss:[ebp-118] ; |
0105E6F4 |. 51 push ecx ; |String
0105E6F5 |. FF15 D0830D01 call dword ptr ds:[<&SHLWAPI.StrStrIA>] ; \StrStrIA
//比较是否已经将程序的主页设置为默认主页
0105E6FB |. 85C0 test eax,eax
//下面为程序关键跳,将jnz改成jz就可以了
0105E6FD 75 7B jnz short cyboma.0105E77A
0105E6FF |. 6A 03 push 3 ; /Style = MB_YESNOCANCEL|MB_APPLMODAL
0105E701 |. 68 64A00D01 push cyboma.010DA064 ; |Title = "温馨提示"
0105E706 |. 68 70A00D01 push cyboma.010DA070 ; |Text = "您愿意设置赛博码网址导航为首页,享受快捷便利的网上冲浪吗?"
0105E70B |. 6A 00 push 0 ; |hOwner = NULL
0105E70D |. FF15 7C850D01 call dword ptr ds:[<&USER32.MessageBoxA>] ; \MessageBoxA
0105E713 |. 8985 E0FEFFFF mov dword ptr ss:[ebp-120],eax
0105E719 |. 83BD E0FEFFFF 06 cmp dword ptr ss:[ebp-120],6
0105E720 |. 75 45 jnz short cyboma.0105E767
0105E722 |. 68 ACA00D01 push cyboma.010DA0AC ; /String2 = "http://www.cyboma.com"
0105E727 |. 8D95 E8FEFFFF lea edx,dword ptr ss:[ebp-118] ; |
0105E72D |. 52 push edx ; |String1
0105E72E |. FF15 7C810D01 call dword ptr ds:[<&KERNEL32.lstrcpyA>] ; \lstrcpyA
0105E734 |. 8D85 E8FEFFFF lea eax,dword ptr ss:[ebp-118]
0105E73A |. 50 push eax ; /String

0105E73B |. FF15 80810D01 call dword ptr ds:[<&KERNEL32.lstrlenA>] ; \lstrlenA


修改完成后点右键复制到可执行文件》》所有修改,右键保存文件,可以看到程序并不是在主程序中调用判断的,而是通过cyboma.dll判断是否已经设置主页的。将修改后的dll保存为cyboma0.dll。保存后替换原来的cyboma.dll重新运行下程序看看,是不是那个令人讨厌的窗口没有了?


去掉弹窗(From sunsjw@debugman.com)

如下:
1000DCCC E8 8F090000 call 1000E660 ; Cyboma.1000E660
改为:
1000DCCC 33C0 xor eax,eax ; Cyboma.10000000
1000DCCE 40 inc eax ; Cyboma.10000000
1000DCCF 90 nop
1000DCD0 90 nop

然后就是去检验:

1000E51C /75 0A jnz short 1000E528 ; Cyboma.1000E528
改为:
1000E51C 90 nop
1000E51D 90 nop

修改后的程序下载地址:http://cid-16507ea1777422ae.skydrive.live.com/self.aspx/.Public/%e7%a0%b4%e8%a7%a3%e5%88%86%e6%9e%90/CyboQQ.rar

版权声明:
转载请注明原作者:☆obaby☆
网站名称:☆Obaby's H4cking W0rld☆

0 评论:

发表评论