破解去除Winrar广告弹窗技术分析

1、查壳-没壳,程序是vc写的
 

2、试运行程序,用spy4win(吾爱上有)查看光口窗口的类名,结果是"RarReminder"。
 
3、用OD附加WinRAR.exe,ctrl+g 输入"CreateWindowExW",点OK。
 
4、F9运行,看下图
 
栈中存放着函数CreateWindowExW的各项参数
而此时ESP是0061BD28,参数Class的位置是0061BD30 ,当前的值是0xC03B,
于是我们在此处(0x77550E51)下条件断点  [UNICODE[ESP+0x8]]== "RarReminder"
F9再次运行,出现了下图  其中Style = 0x16CB0000  Style = WS_OVERLAPPED|WS_MINIMIZEBOX|WS_MAXIMIZEBOX|WS_CLIPSIBLINGS|WS_CLIPCHILDREN|WS_VISIBLE|WS_SYSMENU|WS_CAPTION
要实现去除(不显示)广告弹窗,只要把其中的WS_VISIBLE属性去掉即可。现在找下Style属性传参的位置并修改它
 
我们在CPU界面 ctrl+g 输入 上图的调用地址0x1A5775,来到下图
 
其中参数EDI正是Style,但是不能直接修改,我们向上继续找它的出处
 
看到了一个关键数值 0x16CB0000,这不正是刚才的Style值吗,那我们只要把它修改想要的值就可以了。
我们在VS中重新计算了下去除WS_VISIBLE属性后的值(WS_OVERLAPPED|WS_MINIMIZEBOX|WS_MAXIMIZEBOX|WS_CLIPSIBLINGS|WS_CLIPCHILDREN|WS_SYSMENU|WS_CAPTION),是0x06CB0000,并在OD中修改保存为WinRAR_pojie.exe。
重新打开下试试看,已经没有广告弹窗了。

版权保护: 本文由吾爱破解所发布,转载请保留本文链接: http://www.yemogege.cn/nxxg-jswz/529.html

免责声明:蓝域安全网所发布的一切渗透技术视频文章,逆向脱壳病毒分析教程,以及相关实用源码仅限用于学习和研究目的
请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除! 

侵权删帖/违法举报/投稿等事物联系邮箱:yemogege@vip.qq.com 网站地图