image.png

image.png

image.png

image.png

image.png

image.png

image.png

三

image.png

image.png

四 (说明程序本身被修改(或者加密)过了,而上面能够打开,推测是因为qqllk.exe对其进行了一定的修改)
单独打开会崩掉

image.png

五:流程回顾 ：
双击qqllk.exe,这是一个登录器(这个登陆器也是一个广告界面)---->点击登录器中的 开始游戏 按钮----->弹出来一个qqllk单机版,同时有广告出现, 通过任务管理器发现这是qqllk.ocx----->继续单击登录器中的 继续 --->进入游戏界面，此时发现qqllk.ocx已经变成了kyodai.exe
可以发现 :qqllk.exe打开了kyodai.exe,正式进入游戏界面!

去广告:
由上面的分析可以知道,将qqllk.ocx复制一份,将其后缀名改为exe

image.png

用OD打开qqllk.副本.exe,按F9运行(直到这一步停下来)

image.png

然后继续运行几步!!!!直到回到主界面!!!!!!(回到主界面这样做的目的是为了用另外一个OD附加打开Kyodai.exe时候能够找到此进程,让CreateProcess执行完)(不要直接运行,否则会直接走到游戏界面的)

image.png

用另外一个OD时候需要设置:

image.png

[图片上传中...(image.png-af18a3-1515305118907-0)]

image.png

附加打开:

image.png

下面就是寻找OEP了！！！！

OEP比较好找,在内存模块(m)里面直接查找PE结构;
在扩展头里面可以直接找到OEP的rva即可,然后可以锁定到这个位置!
同时在此处下断点!

image.png

下面要注意了,首先要将创建此进程(kyodai.exe)的进程(即qqllk-副本.exe)先跑起来,然后再将此附加程序跑起来(否则会断不下来!!!!)

image.png

下面开始Dump!在kyodai.exe中进行:

image.png

image.png

下面保存:

image.png

image.png

最后,选中kyodai2.exe:

image.png

最后会生成kyodai2_.exe

image.png