目录
- WindowsAPI
- 实例1
- 实例2
- 修改主页
- 内置广告1
- 用到的工具
- Restorator
- Fix Resource
- Procexp
- Procmon
WindowsAPI
API函数提供应用程序所需要的窗口管理、图形设备接口、内存管理等服务功能。这些功能以函数库的形式组织在一起,形成了Windows应用程序编程接口。
A代表ANSI,W代表宽字节(即Unicode)
1.MessageBoxA/W //显示对话框
2.ShellExecuteA/W //运行一个外部程序(或者是打开一个已注册的文件、打开一个目录、打印一个文件等等)
3.WinExec //创建进程
4.CreateProcessA/W //创建进程
5.CreateThread //创建线程
6.RegCreateKeyExA/W //创建或打开注册表项
7.RegOpenKeyExA/W //打开指定的注册表项
8.RegDeleteKeyExA/W //删除一个注册表键值
9.CreateWindowExA/W //创建窗口
10.DialogBoxParamA/W //创建窗口
实例1
去除弹网页1:explorer.exe
去除弹网页2
去除弹窗1 - MessageBox ,将message连同上面的push入栈操作全部nop掉
实例2
修改主页
调用修改注册表的api,将IE的主页修改
跟进查看
解决方法1 : retn大法
将段首的push ebp 修改为 retn,这样就不会执行下面的指令,但要保证段首的return要和原本段尾的return要保持一致,否则会导致堆栈不平衡。
内置广告1
取消可视的勾选,然后保存即可,但是这样仅仅是将其不可见,其实还是会访问这个网站
在数据窗口中跟随这个地址,然后在数据窗口中用0将其填充
用到的工具
Restorator
资源查看
Fix Resource
修复PE资源
Procexp
行为监控软件
可以拖动这个图标到窗口上来查看其属于哪个程序
Procmon
行为监测软件
可添加想要分析的软件
