对于老牌解压缩软件WinRAR的广告弹窗CALL的一次追溯

查看 155|回复 11
作者:axigua   
前言:
     一直使用的这款解压软件,习惯了它的压缩包图标,今天对于打开压缩包之后的弹窗忍无可忍了
。(这是我注册吾爱这么多年以来第一次发帖,各位看官多包涵。)
分析过程:
   1.先欣赏一下软件弹窗。为了避免一些不必要的麻烦,我把弹窗藏在主窗口背后了。


sshot-1.png (230.7 KB, 下载次数: 0)
下载附件
2023-4-19 21:25 上传

     2.我是下载的64位版本的,所以打开x64dbg附加。我们观察到广告是以
[color=]窗口
的形式显示的,大胆猜测一下可能是调用了
[color=]ShowWindow
,来到这里之后,在ret上下段,用dbg重新运行。


sshot-3.png (101.47 KB, 下载次数: 0)
下载附件
2023-4-19 21:34 上传

       3.软件启动过程中会多次调用这个函数,我们需要做的是:一直运行到
[color=]广告窗口
载入,大约在
[color=]主窗口
完成载入之后再运行两次就会显示。


sshot-4.png (73.93 KB, 下载次数: 0)
下载附件
2023-4-19 21:40 上传

    4.思路:程序调用载入广告窗口的关键位置一定在这之前,所以我们就直接运行到用户代码。


sshot-5.png (124.23 KB, 下载次数: 0)
下载附件
2023-4-19 21:49 上传

    5.往上观察这段代码,有非常多的跳转,干脆从函数头部下段。重载程序。我们发现在头部断下之后,
[color=]广告窗口
还是已经创建了,那就执行到返回,再分析上一层,以此类推,最后我们在这个头部断下重载以后,发现第一次运行主窗口还没加载,再次运行广告窗口就加载完毕了,所以从这里开始单步往下跟。


sshot-7.png (118.56 KB, 下载次数: 0)
下载附件
2023-4-19 22:10 上传

    6.跟到这里的时候发现执行完这个Call,广告窗口就加载了,我们进入这个Call看一下,看到注释列有大量ad开头的链接,可以复制链接访问一下。


sshot-8.png (93.38 KB, 下载次数: 0)
下载附件
2023-4-19 22:15 上传



sshot-9.png (103.33 KB, 下载次数: 0)
下载附件
2023-4-19 22:15 上传

   7.至此,我们就通过回溯找到了广告弹窗的Call,至于如何修改,就不用我多说了罢!
        
[color=]不知道写的够不够详细,第一次发帖总觉得很多东西没说清楚又不知道该怎么描述,欢迎提问。
   原软件下载(单文件):
   https://axigua.lanzouo.com/izpR50tgei0d 密码:52pj
   也可以去官网下载
   有朋友说想要成品,一并附上吧。
https://axigua.lanzouo.com/iUiVi0thzfbi
密码:52pj

黑体, 下载次数

gchq2005   

不知道WinRAR分国内国外,
https://www.win-rar.com/fileadmi ... inrar-x64-621sc.exe
https://www.win-rar.com/fileadmi ... inrar-x32-621sc.exe
官网的,没广告,那须要那么麻烦
long8586   

对RAR关键是情怀,早期是ZIP啊
广告这事的确烦死了。楼主你就把成品打包分享出来,好事做到底!
axigua
OP
  


FeiChang21 发表于 2023-4-20 11:49
我也想问,怎么修改

倒数第二张图找到的广告call上面有一个jne,改成jmp强制跳转就好啦
WilsonZtw   

弱弱的问一句,该怎么修改
FeiChang21   

我也想问,怎么修改
wyd926   

9494搞个优化的发来,我都被弹出的搞疯了
yyb1813   

看到最后一个图,我认为不想那么麻烦就改host文件将ad的那个直接改127算了
金不坏   

现在一直用的360压缩国际版,感觉很不错
Achillesxxx   

可以用Resource Hacker自己处理一下,网上有教程,搜索一下Resource Hacker winrar去广告就出来了,很稳定,不报毒
您需要登录后才可以回帖 登录 | 立即注册

返回顶部