WinRAR(64)反汇编 Presented by: 郭炜栋 陈赛特
WinRAR基本介绍: WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。 RAR是一种专利文件格式,用于数据压缩与归档打包,开发者为尤金·罗谢尔,RAR的全名是“Roshal ARchive”,即“罗谢尔的归档”之意。首个公开版本RAR 1.3发布于1993年。
问题1: WinRAR每次使用都有广告弹窗
问题2: Ⅰ.希望去掉“评估版本”字样 Ⅱ.希望更改“帮助”内的信息
目标: 1.破解广告弹窗 2.更改主窗口标题 3.更改“帮助”内的信息
Pre-work(工具准备): 1.IDA Pro7.0 2.API Monitor v2 3.x64dbg 4.hiew
API Monitor: API Filter:
API Monitor配置: 1.Window类,比如: CreateWindowEXW 2.Dialog类,比如:CreateDialogParamW 3.Text类,比如: SetWindowTextW
破解广告弹窗: API Monitor下运行WinRAR: 得到字符串RarReminder,它是窗口类型参数 x64dbg下调试WinRAR,搜索字符串RarReminder
x64dbg界面
可以看到CreateWindowExW函数和call代码对应Hex
IDA下找CreateWindowEXW函数
继续分析: 可以通过修改红框 内的jnz指令
尝试修改: 1.nop法 直接将FF 15 7D D4 06 00改为90 90 90 90 90 90 2.修改跳转指令(ZF标识位) jz和jnz指令的一般的修改方案: jz←→jnz 74←→75 0F 84 ←→0F 85
尝试修改: 在hiew下进行修改: 分别搜索(F7)FF 15 7D D4 06 00和75 19 EB 1F 8B 分别修改(F3)为90 90 90 90 90 90和74 19 EB 1F 8B
尝试修改: 保存修改后打开WinRAR程序,结果如下所示。 成功破解 广告弹窗!
更改窗口标题: API Monitor下: IDA下找到相应地址:
更改窗口标题: IDA(Graph view): 28h=‘(’
更改窗口标题: IDA(Text view): 0F 85 → 0F 84!
更改窗口标题: hiew中搜0F 85 CA 00 00 00 8B 0D F2 改为:0F 84 CA 00 00 00 8B 0D F2 得到结果 如右图:
更改“帮助”内的信息: API Monitor:
更改“帮助”内的信息: 中文转Unicode hiew中搜5E 97 46 55 1A 4E 2A 4E BA 4E 48 72
更改“帮助”内的信息: 改为ED 90 9C 70 0B 68 27 59 6C 4F 48 72
更改“帮助”内的信息: 保存修改后的结果:
谢谢大家!