逆向学习(二):去除NAG提示窗口

很多时候,软件会在开头和结束弹出广告、未注册提示等烦人窗口。本节介绍4种去除该窗口的方法。

方法1、修改跳转指令

例如,将jz跳转指令改为jmp,实现无条件跳转。

方法2、nop掉弹窗代码

方法3、修改窗口父句柄

将MessageBoxA函数的h0wner参数修改为不存在的句柄数字(例如:1),即实现参数不合法,这样窗口就无法显示出来。0(Null)为没有父句柄。

方法4、修改PE结构

只有文中的节区是程序代码,上面的头区我们暂时先不管。
只需要找到AdressOfEntryPoint(入口地址)即可,然后修改入口地址,避开NAG窗口。

  1. Alt+M或点击窗口上的m,调出内存窗口

  1. 双击00400000文件头处,进入文件头详细数据区。“二进制代码区”是指内存中的存放形式,“人类阅读代码区”是指实际显示的形式。需要注意的是两者的阅读顺序是相反的,如二进制代码区的“90 00”,在实际显示区是“00 90”。往下拉窗口,找到AdressOfEntryPoint

  1. ctrl+c回到主窗口,然后鼠标点击HEX数据窗口,按Ctrl+G搜索4000E8,可以看到原入口地址是1000(从右至左读),我们将它修改为10 24

  1. 选中修改的数据,右击鼠标,复制到可执行文件。完成。

评论

Your email address will not be published. Required fields are marked *

Scroll Up