image.png
image.png
image.png
image.png
image.png
image.png
image.png
三
image.png
image.png
四 (说明程序本身被修改(或者加密)过了,而上面能够打开,推测是因为qqllk.exe对其进行了一定的修改)
单独打开会崩掉
image.png
五:流程回顾 :
双击qqllk.exe,这是一个登录器(这个登陆器也是一个广告界面)---->点击登录器中的 开始游戏 按钮----->弹出来一个qqllk单机版,同时有广告出现, 通过任务管理器发现这是qqllk.ocx----->继续单击登录器中的 继续 --->进入游戏界面,此时发现qqllk.ocx已经变成了kyodai.exe
可以发现 :qqllk.exe打开了kyodai.exe,正式进入游戏界面!
去广告:
由上面的分析可以知道,将qqllk.ocx复制一份,将其后缀名改为exe
image.png
用OD打开qqllk.副本.exe,按F9运行(直到这一步停下来)
image.png
然后继续运行几步!!!!直到回到主界面!!!!!!(回到主界面这样做的目的是为了用另外一个OD附加打开Kyodai.exe时候能够找到此进程,让CreateProcess执行完)(不要直接运行,否则会直接走到游戏界面的)
image.png
用另外一个OD时候需要设置:
image.png
[图片上传中...(image.png-af18a3-1515305118907-0)]
image.png
附加打开:
image.png
下面就是寻找OEP了!!!!
OEP比较好找,在内存模块(m)里面直接查找PE结构;
在扩展头里面可以直接找到OEP的rva即可,然后可以锁定到这个位置!
同时在此处下断点!
image.png
下面要注意了,首先要将创建此进程(kyodai.exe)的进程(即qqllk-副本.exe)先跑起来,然后再将此附加程序跑起来(否则会断不下来!!!!)
image.png
下面开始Dump!在kyodai.exe中进行:
image.png
image.png
下面保存:
image.png
image.png
最后,选中kyodai2.exe:
image.png
最后会生成kyodai2_.exe
image.png
