WinRAR分析

1．样本概况

1.1 应用程序信息

应用程序名称：WinRAR 6.11.0

MD5值：F2BD2E3D8B7C7C8EEFA2B28E3280EDA3

SHA1值：DC2B378B27D1AFDE576F067B2B0DE27EC377A113

简单功能介绍：解压缩文件

1.2 分析环境及工具

系统环境：win7 32位

工具：Ollydbg、010Editor、Exeinfo、Spy++

1.3 分析目标

去掉弹窗广告

2．具体分析过程

2.1 分析过程

2.1.1 程序基本信息

使用Exeinfo查看程序的信息，发现其连接器是14.3，对应的应该是VS2022：

再看其导入表，判断其应该是一个SDK程序:

另外，为了后面分析方便，使用010Editor修改其基址为固定的

2.1.2 使用OD进行分析

    先运行程序，测试程序的运行步骤，发现其弹出主页面后，会马上弹出一个广告窗口：

    然后将程序拖入OD开始进行分析，因为会弹出窗口，所以Ctrl+G搜索创建窗口的函数:CreateWindowExA/W。然后都下断点，让程序跑起来：

    运行之后发现，在CreateWindowExW处一直在中断，然后我们看栈区域：

    发现其Class一直在变，我们猜测是在创建程序主页面的各个窗口，我们使用Spy++查看主程序的各个窗口类名，发现能够对的上，说明猜测正确。

因此，我们要想去掉弹窗广告，就需要找到弹出广告窗口的位置，可以使用Spy++,先查看其窗口类名：

发现其窗口类名是：RarReminder, 然后继续运行程序，同时观察栈区对应的窗口类名，就能找到关键位置：

当栈区的窗口类名也是RarReminder时，说明将要创建该窗口，我们看K窗口中的栈回溯：

找到创建弹窗的函数后，我们发现调用函数的上面有一个网站，猜测其可能是广告的网址，经过验证确定其实弹出广告的网址。又在下面发现push的窗口类名的参数是：RarReminder，单步调试之后，确定0x004C4E4E调用的函数就是弹出广告的函数。要想去掉广告 ，我们可以跳过该函数调用，跳到该函数的下一行：

修改完之后，右键保存修改，运行程序，发现果然没有了弹窗，目标达成。

在找弹出窗口的函数时，我们知道窗口类名是RarReminder后，也可以尝试用插件搜索字符串，这里发现也能够找到关键地方：

3．总结

在该程序分析过程中，主要是需要找到弹出广告的函数，找到之后跳过就行了。下完窗口窗口的断点后，需要对栈区进行仔细观察。