首先用Peid查壳,程序并没有加壳是Delphi编写的。用dede打开程序并分析,分析的过程中我们就要猜测广告是通过什么方式被设置或下载的。
分析完成后,我们首先来看看主窗体中的窗体资源,很快可以发现用来播放广告的组件是TWBS1。
代码如下:
object pnl3: TPanel
Left = 244
Top = 0
Width = 470
Height = 60
Color = clWhite
TabOrder = 0
object TWBS1: TWebBrowser
Left = -11
Top = -17
Width = 580
Height = 193
TabOrder = 0
ControlData = {
4C000000F23B0000F21300000000000000000000000000000000000000000000
000000004C000000000000000000000001000000E0D057007335CF11AE690800
2B2E126208000000000000004C0000000114020000000000C000000000000046
8000000000000000000000000000000000000000000000000000000000000000
00000000000000000100000000000000000000000000000000000000}
end
end |
懂Delphi得朋友可能很快就会想到,这个组件通常是通过Navigate或Navigate2来设置url显示网页的。如
procedure Navigate(const URL: WideString); overload; |
我们猜测Navigate可能是在主窗体的OnCreate或者某个TTimer组件的OnTimer中调用,所以来到dede中选择过程页,接着选择Unit1既主窗体的单元找到FormCreate过程对应与OnCreate事件。
更多内容请看PCdog.com--Sniffer安全技术 路由安全配置 网路安全基础专题
