扫一扫
关注微信公众号

网络嗅探类软件去广告分析
2007-02-12   赛迪网安全社区

首先用Peid查壳,程序并没有加壳是Delphi编写的。用dede打开程序并分析,分析的过程中我们就要猜测广告是通过什么方式被设置或下载的。

分析完成后,我们首先来看看主窗体中的窗体资源,很快可以发现用来播放广告的组件是TWBS1。

代码如下:

object pnl3: TPanel
        Left = 244
        Top = 0
        Width = 470
        Height = 60
        Color = clWhite
        TabOrder = 0
        object TWBS1: TWebBrowser
        Left = -11
        Top = -17
        Width = 580
        Height = 193
        TabOrder = 0
        ControlData = {
          4C000000F23B0000F21300000000000000000000000000000000000000000000
          000000004C000000000000000000000001000000E0D057007335CF11AE690800
          2B2E126208000000000000004C0000000114020000000000C000000000000046
          8000000000000000000000000000000000000000000000000000000000000000
          00000000000000000100000000000000000000000000000000000000}
        end
      end

懂Delphi得朋友可能很快就会想到,这个组件通常是通过Navigate或Navigate2来设置url显示网页的。如

procedure Navigate(const URL: WideString); overload;

我们猜测Navigate可能是在主窗体的OnCreate或者某个TTimer组件的OnTimer中调用,所以来到dede中选择过程页,接着选择Unit1既主窗体的单元找到FormCreate过程对应与OnCreate事件。

代码如下:

00505F34   55               push   ebp
00505F35   8BEC             mov   ebp, esp
00505F37   6A00             push   $00
00505F39   6A00             push   $00
00505F3B   6A00             push   $00
00505F3D   53               push   ebx
00505F3E   56               push   esi
00505F3F   8BD8             mov   ebx, eax
00505F41   33C0             xor   eax, eax
00505F43   55               push   ebp

* Possible String Reference to: '閗囡                        
                                                
                                        

                        
                    

热词搜索:

上一篇:Apache服务器配置安全规范及其缺陷
下一篇:保护好我的系统 拒绝WinRar密码破解

分享到: 收藏