飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 3158|回复: 3

[已解决] 电子书去启动信息框 NAG

[复制链接]
  • TA的每日心情

    2016-6-2 20:34
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2009-10-23 01:06:39 | 显示全部楼层 |阅读模式
    如题,请教去除电子书启动时弹出的信息框~~~试了下没解决,上来求助

    此电子书是自己随便当CM玩的~大家有时间也帮忙测试一下~去掉这个NAG
    我分析到的内容:
    0049AA01     8BC6                      mov eax,esi
    0049AA03     E8 C4F9FFFF               call 7.0049A3CC                                      ; 检测启动选项
    0049AA08     8BD3                      mov edx,ebx
    0049AA0A     8BC6                      mov eax,esi
    0049AA0C     E8 2FF5FFFF               call 7.00499F40
    0049AA11     80BE 94030000 00          cmp byte ptr ds:[esi+394],0
    0049AA18     75 09                     jnz short 7.0049AA23
    0049AA1A     8BD3                      mov edx,ebx
    0049AA1C     8BC6                      mov eax,esi
    0049AA1E     E8 E9F9FFFF               call 7.0049A40C
    0049AA23     8BD3                      mov edx,ebx
    0049AA25     8BC6                      mov eax,esi
    0049AA27     E8 D0120000               call 7.0049BCFC

    跟进call 7.0049A3CC                                      ; 检测启动选项
    0049A3CC     55                        push ebp
    0049A3CD     8BEC                      mov ebp,esp
    0049A3CF     83C4 F4                   add esp,-0C
    0049A3D2     53                        push ebx
    0049A3D3     8955 F8                   mov dword ptr ss:[ebp-8],edx
    0049A3D6     8945 FC                   mov dword ptr ss:[ebp-4],eax
    0049A3D9     8D55 F7                   lea edx,dword ptr ss:[ebp-9]
    0049A3DC     B9 01000000               mov ecx,1
    0049A3E1     8B45 F8                   mov eax,dword ptr ss:[ebp-8]
    0049A3E4     8B18                      mov ebx,dword ptr ds:[eax]
    0049A3E6     FF53 0C                   call dword ptr ds:[ebx+C]
    0049A3E9     8A45 F7                   mov al,byte ptr ss:[ebp-9]                           ; 读取启动的选项:0无 1对话框 2闪屏
    0049A3EC     FEC8                      dec al
    0049A3EE     74 0D                     je short 5.0049A3FD
    0049A3F0     FEC8                      dec al
    0049A3F2     75 10                     jnz short 5.0049A404
    0049A3F4     55                        push ebp
    0049A3F5     E8 A2FEFFFF               call 5.0049A29C    //闪屏,这个以后再尝试去除
    0049A3FA     59                        pop ecx
    0049A3FB     EB 07                     jmp short 5.0049A404
    0049A3FD     55                        push ebp
    0049A3FE     E8 5DFFFFFF               call 5.0049A360  //信息框,目标:去掉这个NAG!!!!!
    0049A403     59                        pop ecx
    0049A404     5B                        pop ebx
    0049A405     8BE5                      mov esp,ebp
    0049A407     5D                        pop ebp
    0049A408     C3                        retn

    [ 本帖最后由 wan 于 2009-10-24 13:46 编辑 ]

    求助:电子书去启动NAG.rar

    291.71 KB, 下载次数: 14, 下载积分: 飘云币 -2 枚

    PYG19周年生日快乐!

    该用户从未签到

    发表于 2009-10-23 09:47:54 | 显示全部楼层
    00478104   /EB 24           jmp     short 1.0047812A                 ; 跳过MessageBox   注意要在压参之前跳
    00478106   |90              nop
    00478107   |90              nop
    00478108   |90              nop
    00478109   |90              nop
    0047810A   |64:FF31         push    dword ptr fs:[ecx]
    0047810D   |64:8921         mov     dword ptr fs:[ecx], esp
    00478110   |53              push    ebx
    00478111   |57              push    edi
    00478112   |56              push    esi
    00478113   |8B45 FC         mov     eax, dword ptr [ebp-4]
    00478116   |8B40 30         mov     eax, dword ptr [eax+30]
    00478119   |50              push    eax
    0047811A   |E8 01EFF8FF     call    1.00407020                       ; jmp 到 USER32.MessageBoxA
    0047811F   |8945 F8         mov     dword ptr [ebp-8], eax
    00478122   |33C0            xor     eax, eax
    00478124   |5A              pop     edx
    00478125   |59              pop     ecx
    00478126   |59              pop     ecx
    00478127   |64:8910         mov     dword ptr fs:[eax], edx
    0047812A   \68 90814700     push    1.00478190                       ; 直接跳到这里

    [ 本帖最后由 Luckly 于 2009-10-23 09:52 编辑 ]

    _fix.rar

    291.79 KB, 下载次数: 3, 下载积分: 飘云币 -2 枚

    PYG19周年生日快乐!
  • TA的每日心情

    2016-6-2 20:34
  • 签到天数: 10 天

    [LV.3]偶尔看看II

     楼主| 发表于 2009-10-23 13:54:24 | 显示全部楼层
    非常感谢!问题解决。学习了“跳过MessageBox   注意要在压参之前跳”
    一开始我是想着压参后来比较信息是否为NAG再跳过MessageBox的(担心其它调用),没处理好/:011 ,这里应该是只有这一处调用。
    玩这个来源于想让FTP里某个教程EBOOK启动清爽舒服一点/:001

    另一种想法是:从电子书读取启动的选项:0无 1信息框 2闪屏来去NAG,让电子书读取为0,就变成是无启动选项NAG了,没找到点。硬改为0会出错

    其实我一开始放上来的样本是已经SMC过其中一些内容了,看了超版的修改内容希望指点一下,我是简单代码赋值方式
    004C98DF     C705 04814700 EB249090    mov dword ptr ds:[478104],909024EB
    004C98E9     C605 08814700 90          mov byte ptr ds:[478108],90
    004C98F0     C605 09814700 90          mov byte ptr ds:[478109],90

    等于 Luckly修改的
    004C98DF     B8 04814700               mov eax,2.00478104
    004C98E4     8BF8                      mov edi,eax
    004C98E6     BE 96984C00               mov esi,2.004C9896
    004C98EB     B9 06000000               mov ecx,6
    004C98F0     F3:A4                     rep movs byte ptr es:[edi],byte ptr ds:[esi]
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2016-4-29 07:52
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2009-10-23 15:54:56 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表