WinRAR（64）反汇编 Presented by： 郭炜栋 陈赛特.

Presentation on theme: "WinRAR（64）反汇编 Presented by： 郭炜栋 陈赛特."— Presentation transcript:

1 WinRAR（64）反汇编 Presented by： 郭炜栋 陈赛特

2 WinRAR基本介绍： WinRAR 是一款功能强大的压缩包管理器，它是档案工具RAR在Windows环境下的图形界面。该软件可用于备份数据，缩减电子邮件附件的大小，解压缩从 Internet 上下载的RAR、ZIP及其它类型文件，并且可以新建 RAR 及 ZIP 格式等的压缩类文件。 RAR是一种专利文件格式，用于数据压缩与归档打包，开发者为尤金·罗谢尔，RAR的全名是“Roshal ARchive”，即“罗谢尔的归档”之意。首个公开版本RAR 1.3发布于1993年。

3 问题1: WinRAR每次使用都有广告弹窗

4 问题2: Ⅰ.希望去掉“评估版本”字样 Ⅱ.希望更改“帮助”内的信息

5 目标: 1.破解广告弹窗 2.更改主窗口标题 3.更改“帮助”内的信息

6 Pre-work(工具准备): 1.IDA Pro7.0 2.API Monitor v2 3.x64dbg 4.hiew

7 API Monitor： API Filter：

8 API Monitor配置： 1.Window类，比如： CreateWindowEXW 2.Dialog类，比如：CreateDialogParamW 3.Text类，比如： SetWindowTextW

9 破解广告弹窗： API Monitor下运行WinRAR： 得到字符串RarReminder，它是窗口类型参数
x64dbg下调试WinRAR，搜索字符串RarReminder

10 x64dbg界面

11 可以看到CreateWindowExW函数和call代码对应Hex

12 IDA下找CreateWindowEXW函数

13 继续分析： 可以通过修改红框 内的jnz指令

14 尝试修改： 1.nop法 直接将FF 15 7D D4 06 00改为90 90 90 90 90 90 2.修改跳转指令（ZF标识位）
jz和jnz指令的一般的修改方案： jz←→jnz 74←→75 0F 84 ←→0F 85

15 尝试修改： 在hiew下进行修改： 分别搜索（F7）FF 15 7D D4 06 00和75 19 EB 1F 8B
分别修改（F3）为 和74 19 EB 1F 8B

16 尝试修改： 保存修改后打开WinRAR程序，结果如下所示。 成功破解 广告弹窗！

17 更改窗口标题： API Monitor下： IDA下找到相应地址：

18 更改窗口标题： IDA（Graph view）： 28h=‘(’

19 更改窗口标题： IDA（Text view）： 0F 85 → 0F 84！

20 更改窗口标题： hiew中搜0F 85 CA 00 00 00 8B 0D F2 改为：0F 84 CA 00 00 00 8B 0D F2
得到结果 如右图：

21 更改“帮助”内的信息： API Monitor：

22 更改“帮助”内的信息： 中文转Unicode hiew中搜5E A 4E 2A 4E BA 4E 48 72

23 更改“帮助”内的信息： 改为ED 90 9C 70 0B C 4F 48 72

24 更改“帮助”内的信息： 保存修改后的结果：

25 谢谢大家！