蓝天资源网
当前位置:蓝天资源网 / 汇编逆向 / 正文

一字节过Geek更新弹窗

作者:忆笙发布时间:2021-10-13 01:11浏览数量:396次评论数量:0次

Geek Uninstaller 是一款简单易用的卸载软件,单文件、32/64位一体 。

自新版1.4.8.145开始已不再支持XP,运行如下:

一字节过Geek更新弹窗  第1张

虽说XP已被淘汰,但有些企业内部还在使用,故可将上一版1.4.7.142留存备用

软件有检测新版本功能,旧版每次打开都会弹窗提示,下面对其进行处理:

抓包分析

一字节过Geek更新弹窗  第2张

抓包得到检测更新接口网址为:https://geekuninstaller.com/update.txt

尝试hosts屏蔽geekuninstaller.com,发现打开软件已不再有弹窗,也没有出现某些软件的连接更新服务器失败的提示,软件使用正常

那么问题就简单了,我们只需将软件内的该网址修改一下即可。

得到特征码

软件无壳,直接OD载入,搜索unicode字符串update.txt,找到上方的网址

一字节过Geek更新弹窗  第3张

双击后回到汇编窗口,在选中行右击 > 数据窗口中跟随 > 立即数,在数据窗口中可看到相关的16进制数据

一字节过Geek更新弹窗  第4张

一字节过Geek更新弹窗  第5张

如图选中一段复制到记事本备用,由于软件是32/64位一体,此处特征其实有两处,下面采用WinHex来处理

修改软件

打开WinHex,将Geek拖入,Ctrl+Alt+H打开16进制替换窗口

搜索:63006F006D002F007500700064006100740065002E00740078007400

替换:63006F006E002F007500700064006100740065002E00740078007400

点击确定,提示被替换2次,如果大于2,请扩大上方特征码选择范围

一字节过Geek更新弹窗  第6张

点击WinHex菜单 > 文件 > 另存为,即可得到无弹窗的文件。

常见问题

1、没用啊,怎么还有弹窗?

答:64位系统,Geek会释放geek64.exe到临时目录,同版本的只会释放一次,出现弹窗说明机器上存在相同版本的Geek,此时在资源管理器打开%temp%,找到geek64.exe将其删除,重新运行修改后的Geek

文章附件 密码:52pj

百度网盘  蓝奏网盘  本地下载


忆笙

忆笙 主页 联系他吧

人间山河远阔,只想与你同行。

欢迎 发表评论: