1.先不让它访问 0054B544  50bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0A6P5U0c8Q4x3X3g2K6j5h3&6V1j5h3W2Q4x3X3g2F1k6i4c8Q4x3V1k6S2k6q4)9J5c8Y4c8Z5N6h3&6V1k6i4t1#2i4K6u0r3M7$3S2G2N6#2)9J5c8X3q4V1N6r3q4K6K9#2)9J5k6h3c8S2N6l9`.`.

查找这字串
然后向上找到call头把
0054B20C      55 PUSH EBP
         改为 C3 RETN
这样在防火墙就看不到它访问 80 端口的广告地址了

2.要改一下界面
407CAC  |.  E8 49FFFFFF            CALL <JMP.&user32.CreateWindowExA>                            ; \CreateWindowExA
在 CreateWindowExA 处jmp 到一空白的地方

写上代码
00564A22      00                     DB 00
00564A23      50                     PUSH EAX
00564A24      51                     PUSH ECX
00564A25      8B4424 24              MOV EAX, DWORD PTR SS:[ESP+24] //取宽
00564A29      8B4C24 20              MOV ECX, DWORD PTR SS:[ESP+20] //取高
00564A2D      83F8 3F                CMP EAX, 3F                    //比较高是不是63
00564A30      75 12                  JNZ SHORT Thunder.00564A44
00564A32      C74424 20 00000000     MOV DWORD PTR SS:[ESP+20], 0   //是就置0
00564A3A      C74424 24 00000000     MOV DWORD PTR SS:[ESP+24], 0
00564A42      EB 15                  JMP SHORT Thunder.00564A59
00564A44      83F8 05                CMP EAX, 5                     //比较高是不是5   
00564A47      75 10                  JNZ SHORT Thunder.00564A59
00564A49      C74424 20 00000000     MOV DWORD PTR SS:[ESP+20], 0   //是就置0
00564A51      C74424 24 00000000     MOV DWORD PTR SS:[ESP+24], 0
00564A59      59                     POP ECX
00564A5A      58                     POP EAX
00564A5B      E8 FC31EAFF            CALL <JMP.&user32.CreateWindowExA> //创建窗口
00564A60    ^ E9 4C32EAFF            JMP Thunder.00407CB1               //回去继续
00564A65      00                     DB 00

[培训]科锐逆向工程师培训第53期2025年7月8日开班！