查找流氓软件,FF新鲜事

FF新鲜事

Posted by breakingdevil on December 28, 2018

前言

有些公司越来越垃圾了,居然捆绑流氓软件,这些天电脑总是弹出FF新鲜事这种垃圾窗口,以为电脑中毒,于是查了一查。 不查不知道,一查吓一跳,居然是Adobe公司的flash 一怒之下,上ida准备patch掉这个垃圾窗口

普通用户解决办法

开始-运行-services.msc找到flash helper service 双击,属性将原来自动改禁用。 或者直接将C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe删除,360可以强力删除,好评!

patch大法三步走

  • 寻找关键windows API
  • 查看相关函数逻辑
  • 修改相关汇编指令

1.寻找关键windows API

先对而言,windows编程比较简单,一般用户开发使用大量的windows API,我们可以根据API 跟踪程序。 我们来分析一下这个程序,这个垃圾程序创建了一个窗口,可能相关API比如:CreateWindow等等。 不着急,先看看程序的资源文件,拖入Resource Tuner 恩,发现了万恶的”FF新鲜事”的图标! 实到如此险恶! 好的,我们google一下加载icon的API,LoadIcon OK了,初步分析应该就可以完成了。

2.查看相关函数逻辑

我们把程序拖入ida,选择utf-8等待ida将此程序分析完毕。 我们打开字符串窗口直接搜索”LoadIcon”

OK,找到之后查看xref,仅有一处调用,跟进

在此函数翻到如下内容

再翻翻

复制此链接丢入浏览器

就是你了。 观察次函数总是返回1 行,那就帮帮你。 找到调用此函数的地方,一顿patch!

bingo!偷天换日成功,把它放回原来的目录 C:\Windows\SysWOW64\Macromed\Flash

结语

恩,好好的公司居然放垃圾弹窗。难受!