sublime編輯器是一款跨平台的優秀編輯器作品,但是如果沒有注冊或者版本過低的話就經常會有彈出框,
實在是讓人厭煩~~~
下面我們就用逆向的方法自己把那個垃圾彈窗搞掉~這里指的是windows版的(⊙o⊙)…~~
首先用ollydug打開我們的sublime可執行文件
由於是windows下的軟件,所以彈窗一定要調用windows api
根據經驗彈窗的windows api 應該是MessageBox
或者MessageBoxA MessageBoxW
在反匯編模塊內按下ALT+G
搜索上述三項結果發現應該是MessageBoxW
結果如圖:會自動定位到相關位置
按下F2在該處設置斷點
然后重新載入文件后按F9執行文件到斷點處,然后會彈出那個可惡的對話框,我們按下ALT+F9回到用戶界面並同時關閉對話框后會跳轉回用戶代碼區
然后我們一路F8到執行完該函數處,由於對話框雖然是在本函數執行的但不能單純的把call messageBoxW該為空因為下面可能還會用到本函數的返回值,所以我們回到上層,阻止調用該函數
走出后會發現結果如下
被圈中的call就是我們調用的函數,
所以先把這里改為NOP之后保存試試,
打開新保存文件后發現雖然沒有彈出框但是他會自動打開更新網站,所以我們還需要繼續跟下去,
繼續往下走並結合下斷點發現應該是下面的那句跳轉沒執行成功
調用了call,估計是在該被調用函數中執行的打開網頁操作
所以我們就直接把JE改為無條件跳轉JMP之后保存並運行發現~~~呵呵呵呵~~~彈窗沒了~~~
以上為OD的最初級用法~~~~希望給大家起到拋磚引玉的作用