搬运 分析垃圾的国区adobe flash的弹窗FF新鲜事
原帖地址 https://www.52pojie.cn/thread-897326-1-1.html 作者cdevil有些公司越来越垃圾了,居然捆绑流氓软件,这些天电脑总是弹出FF新鲜事这种垃圾窗口,以为电脑中毒,于是查了一查。 不查不知道,一查吓一跳,居然是Adobe公司的flash 一怒之下,上IDA准备patch掉这个垃圾窗口
最简单的做法可以:开始-运行-services.msc找到flash helper service 双击,属性将原来自动改禁用。 或者直接将C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe删除,360可以强力删除,好评!
#####################################################################
但是垃圾软件会复活,最有效的方法是什么呢?我们借助windows10的权限管理政策即可。先找到FlashHelperService.exe,右键点击属性。在安全选项页里设置所有的用户对它的任何操作都为拒绝,然后点击应用,然后在常规选项页里点击只读选项!只要后台有进程偷偷地去执行这个程序就会弹出程序无法被访问的警告窗口!
#####################################################################
但是我们要分析这个垃圾软件。
先对而言,windows编程比较简单,一般用户开发使用大量的windows API,我们可以根据API 跟踪程序。 我们来分析一下这个程序,这个垃圾程序创建了一个窗口,可能相关API比如:CreateWindow等等。 不着急,先看看程序的资源文件,拖入Resource Tuner 恩,发现了万恶的”FF新鲜事”的图标!
好的,我们google一下加载icon的API,LoadIcon OK了,初步分析应该就可以完成了。
我们把程序拖入ida,选择utf-8等待ida将此程序分析完毕。 我们打开字符串窗口直接搜索”LoadIcon”
OK,找到之后查看xref,仅有一处调用,跟进在此函数翻到如下内容
再翻翻
复制此链接丢入浏览器
就是你了。 观察次函数总是返回1 行,那就帮帮你。 找到调用此函数的地方,一顿patch!
bingo!偷天换日成功,把它放回原来的目录 C:\Windows\SysWOW64\Macromed\Flash
PS
1楼 rockingus!
感谢楼主,我这用的是这个办法:在系统服务中停止flash helper service后,把FlashHelperService.exe删除后,在同目录下新建一个空的txt文件,将原文件名 新建文本文档.txt 改为 FlashHelperService.exe,问题也能得到解决。
好东西支持一下 挺不错的,感谢分享 好东西支持一下 感谢楼主分享 谢谢楼主终于找到了 我来围观支持了 不错有用的存起来先 不错有用的存起来先 谢谢分享太赞了 谢谢楼主分享
页:
[1]
2