【逆向工具】使用x64dbg+spy去除WinRAR5.40(64位)广告弹框

最新推荐文章于 2023-10-24 04:04:35 发布
最新推荐文章于 2023-10-24 04:04:35 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sworld_/article/details/133095275
版权

1 学习目标

WinRAR5.40(64位)的弹框广告去除,由于我的系统为x64版本,所以安装了WinRAR(x64)版本。

OD无法调试64位的程序,可以让我熟悉x64dbg进行调试的界面。

其次是这玩意儿真是太蛋疼了,无休止弹广告。

2 破解思路

1)偷梁换柱

修改汇编函数段首为返回值(本次逆向破解采用的方法)

2)NOP掉整个函数内容

3 涉及知识

x64dbg工具快捷键与OD无异

F9:运行

bp CreateWindowExW:在x64dbg底部输入这行命令,对使用CreateWindowExW函数的位置断点。

CreateWindowExW:该函数创建一个层叠式窗口、弹出式窗口或子窗口。
参数:

HWND CreateWindowEx(
    DWORD DdwExStyle,           //窗口的扩展风格
    LPCTSTR lpClassName,        //指向注册类名的指针
    LPCTSTR lpWindowName,       //指向窗口名称的指针
    DWORD dwStyle,              //窗口风格
    int x,                      //窗口的水平位置
    int y,                      //窗口的垂直位置
    int nWidth,                 //窗口的宽度
    int nHeight,                //窗口的高度
    HWND hWndParent,            //父窗口的句柄
    HMENU hMenu,                //菜单的句柄或是子窗口的标识符
    HINSTANCE hInstance,        //应用程序实例的句柄
    LPVOID lpParam              //指向窗口的创建数据
);

4 实现流程

【软件名称】:WinRar
【软件版本】:5.4
【外壳保护】:无
【操作系统】:Windows 10

既然是弹出窗口,首先要知道弹窗窗口的窗口类名,我使用的是VS2015里自带的工具Spy++ x64。


图1 调出Spy++ x64


图2 使用Spy++64查看WinRAR弹出的窗口类名为RarReminder

通过上诉步骤得到WinRAR的类名为RarReminder后,使用x64dbg工具载入WinRAR.exe。在命令的地方使用断点命令【bp CreateWindowExW】,在CreateWindowEx函数断下断点。F9运行到各个断点时观察广告窗口弹出的状态变化。


图3 使用断点命令【bp CreateWindowExW】

F9运行到出现RarReminder字样的地方,x64dbg这款工具还具备查看断点触发的次数的功能,通过【断点】选项卡看到断点共触发了30次才到这里。


图4 断点触发的次数

在堆栈窗口在call指令的地方按回车键返回到用户层函数。


图5 堆栈窗口信息

返回到00007FF6780AD4E8这个地址处,向上看会看到“http://ad.winrar.com.cn/show_40.html?L=7&bl=7&v=540&a=64&src=wrr”这个很明显的广告地址。

汇编函数的代码如下:

00007FF6780AD077 | int3                                    |
00007FF6780AD078 | mov qword ptr ss:[rsp+8],rbx            |
00007FF6780AD07D | mov qword ptr ss:[rsp+10],rbp           |
00007FF6780AD082 | mov qword ptr ss:[rsp+18],rsi           |
00007FF6780AD087 | push rdi                                |
00007FF6780AD088 | push r12                                |
00007FF6780AD08A | push r13                                |
00007FF6780AD08C | push r14                                |
00007FF6780AD08E | push r15                                |
00007FF6780AD090 | mov eax,1080                            |
00007FF6780AD095 | call winrar.7FF6780F8BD0                |
00007FF6780AD09A | sub rsp,rax                             |
00007FF6780AD09D | mov rax,qword ptr ds:[7FF678148200]     |
00007FF6780AD0A4 | xor rax,rsp                             |
00007FF6780AD0A7 | mov qword ptr ss:[rsp+1070],rax         |
00007FF6780AD0AF | xor r15d,r15d                           |
00007FF6780AD0B2 | mov sil,cl                              |
00007FF6780AD0B5 |  cmp byte ptr ds:[7FF67819A204],r15b     |
00007FF6780AD0BC |  je winrar.7FF6780AD0C6                  |
00007FF6780AD0BE |  test dl,dl                              |
00007FF6780AD0C0 |  je winrar.7FF6780AD55D                  |
00007FF6780AD0C6 |  or rbp,FFFFFFFFFFFFFFFF                 |
00007FF6780AD0CA |  mov r12d,1                              |
00007FF6780AD0D0 |  cmp dword ptr ds:[7FF678145EE4],r15d    |
00007FF6780AD0D7 |  je winrar.7FF6780AD127                  |
00007FF6780AD0D9 |  mov rcx,r15                             |
00007FF6780AD0DC |  lea rbx,qword ptr ds:[7FF678145ED0]     | 7FF678145ED0:"8g3#0w1$5r7%2ta"
00007FF6780AD0E3 |  mov r9,r15                              |
00007FF6780AD0E6 |  mov r8d,480                             |
00007FF6780AD0EC |  xor byte ptr ds:[r9+rbx],cl             |
00007FF6780AD0F0 |  movabs rax,AAAAAAAAAAAAAAAB             |
00007FF6780AD0FA |  mul rcx                                 |
00007FF6780AD0FD |  add rcx,3                               |
00007FF6780AD101 |  add r9,r12                              |
00007FF6780AD104 |  shr rdx,1                               | rdx:L"RarReminder"
00007FF6780AD107 |  add rcx,rdx                             | rdx:L"RarReminder"
00007FF6780AD10A |  and ecx,FFFFFF                          |
00007FF6780AD110 |  cmp r9,r8
最低0.47元/天 解锁文章
17bdw学编程
关注
Windows逆向学习笔记——WinRAR去除广告
weixin_38526180的博客
07-27 428
大家应该很熟悉winrar的广告弹窗,每次使用都需要手动关闭广告,不胜其烦。 如何去除广告呢?首先想到的方法,就是在创建广告窗口上做手脚。猜测winrar程序可能调用了 CreateWindow 来创建窗口,那么是不是可以在创建广告窗口时设置窗口样式为隐藏呢? 基于上面的猜想,通过动态调试,找到创建广告窗口的代码。 使用WinRAR版本:5.80(64位) 第一步,先用spy++捕捉广告窗口,查看窗口标题是“WinRAR”,窗口类名是"RarReminder"。 第二步,用x64dbg打开WinRAR
170922 逆向-Winrar去广告
whklhhhh的博客
09-23 1026
1625-5 王子昂 总结《2017年9月22日》 【连续第355天总结】 A. Winrar-逆向、去广告 B. 看到论坛上有去除Winrar的广告的教程,虽然其实火绒的弹窗拦截可以秒关它,不过作为做逆向的还是想自己试试,还好Winrar没有加壳,就来作为入门试试吧广告作为一个新的窗口,肯定是通过CreateWindowExW这个API新建的,因此在调用树中全部下断总会找到广告窗口的一共有
压缩软件WinRar 5.5 x64去广告方式【窗口类名下断】
baochi8399的博客
03-30 200
工具使用软件逆向逻辑原始软件使用效果:查看软件窗口类名查看WinRAR.exe信息x64dbg逆向破解软件(非附加调试)处理掉广告注册函数处理掉广告创建函数保存修改后的镜像破解效果 工具使用软件 使用工具 ExeinfoExeinfo spy++ x64Dbg 关于软件 逆向逻辑 原始软件使用效果: 打开软件,广告窗口会...
压缩软件 WinRAR 逆向广告分析报告【API下断】
aihan8042的博客
03-13 209
一、工具及软件介绍 使用工具:Ollydbg 实现功能:去广告WinRAR版本:5.50 二、逆向逻辑 1、广告窗口 首先在对话框相关函数下断点。 断在了CreateWindowExW上。回溯分析。 分析得出此函数是弹出广告函数,直接去掉就可以了。 记录特征码: 6A 00 6A 01 E8 7F 7A...
WinRAR5.40 × 64位注册无广告
10-11
无需安装,解压之后点击应用程序选择关联的格式即可
X64Dbg手动去WinRAR广告
云舒的博客
04-02 1095
逆向第一步,去广告呀,早看这个WinRAR不爽了,特此记录一下。 一、准备工具 工欲善其事,必先利其器。 没有好用的工具,怎么进行我们的逆向呢,首先,我们需要准备以下工具: visual studio x64dbg Restorator 二、核心思想 这个逆向广告的思想如下: 找到弹窗的代码 ret掉 如果不知道ret是啥,建议学一下汇编语言再来看这篇文章。 三、过程 首先,打开vs,工具里找到spy++,探测一下WinRAR的窗口,如下图所示: 可以看到类名为:RARReminder 记
x64dbg 64位逆向工具
04-28
**x64dbg64位逆向工程的利器** x64dbg是一款功能强大的64位调试器,尤其在逆向工程领域中备受推崇。它不仅提供了基本的调试功能,如断点设置、内存查看、寄存器监控,还具有高级特性,如反汇编、动态代码分析和...
逆向工具x64dbg调试工具
10-09
逆向工具x64dbg调试工具
winrar5.40_64位_中文破解版
12-01
winrar5.40_64位_中文破解版,安装后,复制破解文件到安装目录替换就完事了!
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
破解加密的压缩文件工具(汉化版)
01-13
由于种种原因而不知道下载下来的压缩文件密码的朋友现在有福了,这个软件可以完美的解决这个问题!
WinRAR_5.40_64位破解版
10-04
WinRAR破解版,里面有两个64位的和一个32位的,都是破解版
x64dbg插件集合x64dbg插件集合
09-04
x64dbg是一款开源的、跨平台的x64/x86调试器,它为逆向工程和软件调试提供了强大的工具集。这个“x64dbg插件集合”压缩包包含了一系列扩展x64dbg功能的插件,使得调试过程更加高效和便捷。下面将详细介绍这些插件...
C程序逆向破解-实战WinRAR去广告(3)
邓霖涛的博客
12-16 610
如果没有看过我之前文章的,请点击传送门 开始进入正题,此篇开始实战将WinRaR去除广告,可以自行上官网下载WinRAR,此篇使用的版本如下 我们在使用WinRAR时候,总是有弹出广告如下: 那么我们该如何将广告去除呢? 首先经过前面的逆向学习了解,我们已经掌握了修改ds数据段,cs代码段,ss栈段的数据,那么我们要将WinRAR的广告去除,则是将WinRAR调用广告弹窗的函数给去除了即可。 在汇编中调用函数方法使用的是call(之前有call打印helloworld反汇编), 广告弹窗
WinRAR5.40版 无广告
行走在過去的博客
11-12 1528
winrar吧里面看到的贴子,记录一下 官网提供的无广告链接: 32位版本:http:win-rar.com/fileadmin/winrar-versions/sc20160819/wrr/wrar540sc.exe 64位版本:http:win-rar.com/fileadmin/winrar-versions/sc20160819/wrr/winrar-x64-540sc.exe
【软件逆向】带壳带反调试找flag教程(VMProtect3.0+X64dbg+ScyllaHide)
最新发布
zhangjiuding的博客
10-24 3552
【软件逆向】带壳带反调试找flag教程(VMProtect 3.0+X64dbg+ScyllaHide)
WinRAR 5.40 彻底去除广告弹窗,永久有效
热门推荐
Mr_Zhijie的博客
03-04 1万+
WinRAR 5.40 Simplified Chinese 32-bit version: http://www.win-rar.com/fileadmin/winrar-versions/sc20160819/wrr/wrar540sc.exeWinRAR 5.40 Simplified Chinese 64-bit version: http://www.win-rar.com/filead...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值