参考网址:https://bbs.pediy.com/thread-223105.htm
软件下载网址:http://www.winrar.com.cn/download-55032scp.html
本文前言部分摘自蓝色淡风的文章《一次去除广告弹窗的经历》。
一、前言
逆向一个程序,大致有3种方法。
1. 自上而下分析方法
从程序入口点(OEP)开始分析,模拟程序运行的整个流程,对程序进行分析,但是这种方法一般不适用于比较大的程序,(如果一个程序有几十兆,几百兆,乃至更大,按这种方法就不道要到猴年马月才能完成了,呵呵)
2. 自下而上分析
运行程序,观察其行为特征,找到关键API,栈回溯分析,比如程序弹出了一个对话框,程序就很有可能用了MessageA/W,然后 从弹框栈回溯分析;如果找到窗口回调函数,也可以从窗口回调函数开始分析
3. 字符串分析
根据弹窗提示的字符串,在调试器中查找,定位关键代码,再分析
二、分析
使用spy++获取广告窗口的句柄,标题名,类名等信息。
图1:广告窗口信息
弹出来的广告窗口不是模态对话框,所以不寻找MessageBox以及DialogBox,寻找CreateWindow下断点。
bp CreateWindowExA
bp CreateWindowExW
F9运行多次之后,断在了窗口名为WinRAR,类名为RarReminder的窗口创建处,此函数会创建广告窗口。
图:2:窗口名为WinRAR类名为RarReminder创建广告窗口
Alt+k查看堆栈,找到此函数在主模块中的位置。
图3:广告弹出窗口在主模块中的位置
在0x4A4DD5处下断点,重新加载程序之后,断到了0x4A4DD5,此时,“winrar(评估版本)”的窗口已经弹出了,单步执行之后,发现广告窗口弹出,确定此处函数为弹出广告窗口的函数。
图4:弹出广告窗口
参考文章中是在参数压栈开始处修改代码,JMP到了函数调用结束。我直接把这个函数调用NOP掉了,保存之后,打开软件,已经没有了广告弹窗。
三、总结
本人从官网上下载的个人免费版,只有广告弹窗,无需购买,因此去掉广告弹窗之后就可以正常使用了。
此类弹窗的解决方法类似,找到弹出窗口的代码,JMP或是NOP掉。
扫一扫
3557
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
