WinRAR每次启动都会弹出广告,分析后发现去广告挺容易的…..仅作技术交流使用,切勿用于破解传播哦~
1.目标:32位WinRAR去广告弹窗,单文件ko
2.OD载入找窗口相关的API调用发现有CreateWindowEx的调用,全部下断
3.F9运行记录哪个调用负责创建广告弹窗.
记录发现窗口类名为SysListView32的call调用完后主窗口出现
窗口类名为RarHtmlClassName的call调用完后广告窗口出现,仔细分析发现窗口类名为RarHtmlClassName的call附近的代码均为与广告窗口相关的代码,于是直接找调用此函数的代码,把这个函数调用NOP调
4.测试,广告窗口变成空白窗口了,说明还有相关窗口创建call没有解决掉,继续上述跟踪发现
窗口类名为RarReminder的相关调用,附近代码分析后发现和上面的一样函数整体负责读取资源文件中的字符串值,解码后获取广告地址,仔细分析后发现应该是设置了定时器隔一段时间就访问一遍这个函数.这个函数的起始地址为00DB4A00(本系统启用了ASLR)
5.于是在WinRAR中搜索所有命令(call 00DB4A00)得到
6.全部NOP调!搞定,超级简单,64位也差不多就不多说了~