[color=]拒绝盗版,尊重正版。
[color=]拒绝盗版,尊重正版。
WinRAR正版官方网站:https://www.winrar.com.cn/
我的实现思路:
1.老样子观察分析这个
[color=]软件的行为
,以及他涉及
[color=]调用的Windows API入手
。
2.观察得出,每次启动WinRAR.exe时,他需要
[color=]创建Windows窗体+额外的窗体来展示广告弹窗
。
3.x64dbg内附加启动,在
[color=]CreateThread() CreateProcess()
函数下断。
image.png (141.3 KB, 下载次数: 0)
下载附件
2024-6-20 00:50 上传
4.F9进行调试,慢慢来,看看他主窗体第几次触发CreateThread()函数,分析得出第4次
[color=]调用CreateThread()函数
时,主窗体和广告窗体都一起弹出来了。
5.那么我就在第四次触发CreateThread()函数时去追着他的堆栈,前2个是去调用堆栈是Windows API的函数,可以忽略去看第3个调用堆栈及更前面的调用。
image.png (135.24 KB, 下载次数: 0)
下载附件
2024-6-20 00:56 上传
6.点进第3个调用堆栈中,将该函数下断,重新运行程序。
image.png (53.24 KB, 下载次数: 0)
下载附件
2024-6-20 01:14 上传
image.png (397.8 KB, 下载次数: 0)
下载附件
2024-6-20 01:06 上传
7.然后F7单步碰到CALL调用F8过步慢慢走,看看会不会执行到弹出窗体。
image.png (372.48 KB, 下载次数: 0)
下载附件
2024-6-20 01:16 上传
8.继续
[color=]单步+过步
走,看哪里执行的弹窗出广告窗体。
image.png (456.64 KB, 下载次数: 0)
下载附件
2024-6-20 01:19 上传
9.我们成功找到了弹出广告窗体的函数Call,在该函数CALL上面有一个
[color=]JNE判断
,我们可以直接
[color=]汇编改成JMP强制跳转,然后生成补丁直接运行。
image.png (129.7 KB, 下载次数: 0)
下载附件
2024-6-20 01:23 上传
成功并且显示已注册,并且无广告弹窗,清爽~
找到Winrar目录直接替换即可。
WinRAR.rar
(1.58 MB, 下载次数: 60)
2024-6-20 01:25 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
