PhantomW |
逆向逻辑
原始软件使用效果:
查看软件窗口类名
查看WinRAR.exe信息
x64dbg逆向破解软件(非附加调试)
处理掉广告注册函数
处理掉广告创建函数
保存修改后的镜像
破解效果
工具及使用软件
- 使用工具
- ExeinfoExeinfo
- spy++
- x64Dbg
- 关于软件
逆向逻辑
原始软件使用效果:
- 打开软件,广告窗口会直接弹出
查看软件窗口类名
- 使用 spy++ 扫描该软件件弹窗,获取类名
查看WinRAR.exe信息
- 由于我的软件是默认安装(x64)
- exe路径为:C:\Program Files\WinRAR
- 注意:不是快捷方式
- 使用Exeinfo查看相关信息
- 有上图可以观察出,该软件使用的是VS2015编写,需要使用x64dbg逆向分析
x64dbg逆向破解软件(非附加调试)
- 使用x64dbg打开WinRAR.exe软件,进行调试,首先会断在oep处
- 右键在当前模块处搜索字符串
- 搜索广告弹窗类名RarReminder,命中两处
- 查看第一处,是广告窗口创建函数
- 查看第二处,为窗口注册类
- 由此可以分析出,该广告窗口是先注册,后创建的
- 所以要先去掉注册函数,在去掉创窗口函数
处理掉广告注册函数
- 我们将call,test,je都nop掉
- 运行过该段代码后,没有崩溃,那就表示修改正常
- Tip:经测试,直接将call处nop掉也可以
处理掉广告创建函数
- 程序运行到创建窗口类,向上查看会看到网址
- 继续网上查看,基本都是网址相关的代码,表名这个函数是广告窗口创建函数
- 那么,我们就不必去nop掉CreateWindowExW,直接在该函数头返回即可
ret
保存修改后的镜像
- 右键选择补丁
- 修补文件
破解效果
- 替换原有的WinRAR.exe
- 注意:对原程序备份,防止失败后无法补救
- 运行效果截图
附件列表
posted on 2018-03-30 09:42 PhantomW 阅读(672) 评论(0) 编辑 收藏 刷新评论刷新页面返回顶部 注册用户登录后才能发表评论,请 登录 或 注册, 访问 网站首页。 【推荐】超50万行VC++源码: 大型组态工控、电力仿真CAD与GIS源码库
【活动】京东云服务器_云主机低于1折,低价高性能产品备战双11
【福利】git pull && cherry-pick 博客园&华为云百万代金券
昵称: PhantomW
园龄: 1年6个月
粉丝: 2
关注: 2 +加关注
|
||||||
日 | 一 | 二 | 三 | 四 | 五 | 六 |
---|---|---|---|---|---|---|
29 | 30 | 1 | 2 | 3 | 4 | 5 |
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
搜索
常用链接
随笔分类
随笔档案
阅读排行榜
- 1. 压缩软件WinRar 5.5 x64去广告方式【窗口类名下断】(672)
- 2. 手工脱壳之AsPack压缩脱壳-随机基址(428)
- 3. 010 Editor 8.0.1 之 逆向分析及注册机编写(301)
- 4. 010 Editor 8.0.1 之 暴力破解(147)
- 5. 010Edit手写PE(92)
Powered by .NET Core 3.0.0 on Linux Powered By博客园 模板提供:沪江博客