压缩软件WinRar 5.5 x64去广告

521 阅读4分钟
原文链接: www.cnblogs.com
PhantomW
博客园     首页     博问    闪存    新随笔     订阅 订阅     管理 posts - 8,  comments - 0,  trackbacks - 0 压缩软件WinRar 5.5 x64去广告方式【窗口类名下断】 工具及使用软件
逆向逻辑
原始软件使用效果:
查看软件窗口类名
查看WinRAR.exe信息
x64dbg逆向破解软件(非附加调试)
处理掉广告注册函数
处理掉广告创建函数
保存修改后的镜像
破解效果

工具及使用软件

  • 使用工具
    • ExeinfoExeinfo
    • spy++
    • x64Dbg
  • 关于软件

逆向逻辑

原始软件使用效果:

  • 打开软件,广告窗口会直接弹出

查看软件窗口类名

  • 使用 spy++ 扫描该软件件弹窗,获取类名

查看WinRAR.exe信息

  • 由于我的软件是默认安装(x64)
  • exe路径为:C:\Program Files\WinRAR
  • 注意:不是快捷方式
  • 使用Exeinfo查看相关信息
  • 有上图可以观察出,该软件使用的是VS2015编写,需要使用x64dbg逆向分析

x64dbg逆向破解软件(非附加调试)

  • 使用x64dbg打开WinRAR.exe软件,进行调试,首先会断在oep处
  • 右键在当前模块处搜索字符串
  • 搜索广告弹窗类名RarReminder,命中两处
  • 查看第一处,是广告窗口创建函数
  • 查看第二处,为窗口注册类
  • 由此可以分析出,该广告窗口是先注册,后创建的
  • 所以要先去掉注册函数,在去掉创窗口函数

处理掉广告注册函数

  • 我们将call,test,je都nop掉
  • 运行过该段代码后,没有崩溃,那就表示修改正常
  • Tip:经测试,直接将call处nop掉也可以

处理掉广告创建函数

  • 程序运行到创建窗口类,向上查看会看到网址
  • 继续网上查看,基本都是网址相关的代码,表名这个函数是广告窗口创建函数
  • 那么,我们就不必去nop掉CreateWindowExW,直接在该函数头返回即可ret

保存修改后的镜像

  • 右键选择补丁
  • 修补文件

破解效果

  • 替换原有的WinRAR.exe
  • 注意:对原程序备份,防止失败后无法补救
  • 运行效果截图
       



来自为知笔记(Wiz)



附件列表

 

posted on 2018-03-30 09:42 PhantomW 阅读(672) 评论(0) 编辑 收藏 刷新评论刷新页面返回顶部 注册用户登录后才能发表评论,请 登录注册访问 网站首页。 【推荐】超50万行VC++源码: 大型组态工控、电力仿真CAD与GIS源码库
【活动】京东云服务器_云主机低于1折,低价高性能产品备战双11
【福利】git pull && cherry-pick 博客园&华为云百万代金券
昵称: PhantomW
园龄: 1年6个月
粉丝: 2
关注: 2 +加关注
< 2019年10月 >
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2
3 4 5 6 7 8 9

搜索

   

常用链接

随笔分类

随笔档案

阅读排行榜

Copyright © 2019 PhantomW
Powered by .NET Core 3.0.0 on Linux Powered By博客园 模板提供:沪江博客