安天系统安全管理软件之便携化

安天管理软件是一个比较好的系统安全工具(不过现在的新版满界面都是广告，哈哈)

他的1.015版还是不错的，首次运行界面如下

但是当你某一天再打开时，会发现右边会出现一个广告条，即使用exescope等去除相应图片资源，广告位置也会显示一个非常碍眼的灰色浮动条

今天我们的任务就是把它变得符合个人喜爱

使用工具：

1. 记事本； 2.winrar；3.total unistall 4. dlgkill

分析：

初次运行无广告，后来有广告

             怀疑，存在触发条件，软件可能在系统中写入一些标志，当判断满足条件时触发广告显示

             软件写入标志无非生成一些文件或写入注册表(一般情况)

             需弄明白生成了那些文件，写入了那些注册表

             弄清楚后在每次执行主程序时还原初始状态，即可让软件始终认为是首次运行，从而绕过广告

开始

            1.使用totalunintall 分析后知道

             程序目录生成snap文件夹，里面放着记录文件

             注册表写入了两个项

             HKLMSOFTWAREAntiy Labs

             HKCUSoftwareLocal AppWizard-Generated Applications

             当然里面还有很多子项，怎么不管，一锅端

            2.编写脚本删除snap文件夹及注册表项目

             ;脚本开始

              @echo off
reg delete “HKLMSOFTWAREAntiy Labs” /f
reg delete “HKCUSoftwareLocal AppWizard-Generated Applications” /f
rmdir /s /q snap

echo on

              ;脚本结束

              以上代码复制到记事本(不包括汉字部分)，保存为 清理.bat

               这样便可以在执行主程序前运行脚本进行初始化

             3.可是这样也太麻烦了，要点两次鼠标，本人比较懒，进一步优化

               修改脚本文件为

                @echo off

   reg delete “HKLMSOFTWAREAntiy Labs” /f
   reg delete “HKCUSoftwareLocal AppWizard-Generated Applications” /f
   rmdir /s /q snap
   start ATool.exe

                echo on

               这样就可以初始化后启动主程序 atool.exe了

                两次鼠标点击变成一步了

              4. 点击试一下，哈哈没广告了，等等。。。。又蹦出来一个首次运行的提示对话框，看来革命尚未成功

                   这次拿主程序开刀，看看能不能用reshacker去掉对话框，载入。。。糟糕，程序加壳，无法查看资源；用peid查一下是什么壳

                  哈哈 是aspack，用Aspack stripperv2.12 去之，成功，reshack去掉相应对话框后保存，试运行一下修改后的程序，程序崩溃，看来此法不通

                 用dlgkill这个小工具载入备份的主程序，去除reshack查到的对话框，保存，再运行，ok

                 大功告成

              5.这样用一个脚本调用主程序就一切正常了，再优化一下，将脚本转为exe文件，名称改为啊tool portable.exe

总结： 本方法只是多个软件的灵活使用，没有多少技术含量，而且此方法有一个缺点，每次运行完程序，系统中还是有snap文件夹及注册表项，最好的办法是用程序驻留的方式监控主程序进程，等主程序进程一结束，就进行清理，这样就可以保证是真正的无残留；不过这种方法会多出一个进程，消耗系统资源

来源：kiuudavidgong