Zi 字媒體

學 習 目 標◆ WinRAR5.40(64位)的彈框廣告去除。由於我的系統為x64版本，所以安裝了WinRAR（x64）版本。◆ OD無法調試64位的程序，可以讓我熟悉x64dbg進行調試的界面。◆ 其次是這玩意兒真是太蛋疼了，無休止彈廣告。破 解 思 路1）偷梁換柱修改彙編函數段首為返回值（本次逆向破解採用的方法）2）NOP掉整個函數內容涉 及 知 識x64dbg工具快捷鍵與OD無異F9：運行bp CreateWindowExW：在x64dbg底部輸入這行命令，對使用CreateWindowExW函數的位置斷點。CreateWindowExW：該函數創建一個層疊式窗口、彈出式窗口或子窗口。參數：實現流程【軟體名稱】：WinRar【軟體版本】：5.4【外殼保護】：無【操作系統】：Windows 10既然是彈出窗口，首先要知道彈窗窗口的窗口類名，我使用的是VS2015里自帶的工具Spy++ x64。圖1 調出Spy++ x64圖2 使用Spy++64查看WinRAR彈出的窗口類名為RarReminder通過上訴步驟得到WinRAR的類名為RarReminder后，使用x64dbg工具載入WinRAR.exe。在命令的地方使用斷點命令【bp CreateWindowExW】，在CreateWindowEx函數斷下斷點。F9運行到各個斷點時觀察廣告窗口彈出的狀態變化。圖3 使用斷點命令【bp CreateWindowExW】F9運行到出現RarReminder字樣的地方，x64dbg這款工具還具備查看斷點觸發的次數的功能，通過【斷點】選項卡看到斷點共觸發了30次才到這裡。圖4 斷點觸發的次數在堆棧窗口在call指令的地方按回車鍵返回到用戶層函數。圖5 堆棧窗口信息返回到00007FF6780AD4E8這個地址處，向上看會看到「http://ad.winrar.com.cn/show_40.html?L=7&bl=7&v=540&a=64&src=wrr」這個很明顯的廣告地址。彙編函數的代碼如下：可以看到：函數頭部地址為：00007FF6780AD078 | mov qword ptr ss:[rsp+8],rbx函數尾部地址為：ret修改之後，函數頭部地址為：00007FF6780AD078 | ret圖6 修改函數頭部反彙編指令修改之後，滑鼠右鍵選擇補丁-修補文件。圖7 選擇補丁圖8 修補文件小功告成！再次打開rar彈窗廣告已經消失了。可是評估版本字樣還在，追求完美可以選擇使用資源管理工具去除字樣。圖9 去除彈窗我使用了Restorator這款資源修改軟體，不過使用這款軟體的少俠們可就小心了。因為這款資源軟體會自動修改.exe擴展名的關聯，請切記在虛擬機下運行。圖10 導出資源文件.rc導出資源文件.rc后，用notepad++打開.rc後綴的文件。修改【評估版本】為你想要修改的文字。然後再導入到資源中。操作比較簡單，就不贅述了！圖11 大功告成！本文由看雪論壇 lipss 原創，轉載請註明來自看雪社區熱門閱讀議題徵集 | 2017 安全開發者峰會虛擬機保護技術淺談一個lpk.dll病毒的分析報告從 Android 源碼看 SO 的載入【暴雷漏洞】CVE-2012-1889 個人漏洞分析報告Safengine Shielden 2.3.8.0 脫殼 ∷之∷ 修復IAT