-
本来是要复现漏洞了,在网上找了漏洞战争的配套资料,然后copy到虚拟机,结果发现虚拟机没有解压的软件,,,那下一个,,,好讨厌WinRAR的广告,,,册,逆掉它
思路1(未完成)
-
查壳
-
拖入OD中运行,弹出对话框,但是与winrar主程序互不影响,所以调用应该是非模态对话框
-
尝试CreateWindowExA下断,但是断下的太多,继续回溯起来比较困难
-
正常运行程序,在OD中找到窗口
- WinRAR窗口,右键 → WM_Destory消息断点
-
所以当广告关闭的时候,会断下;再查找所有模块间的调用
- 因为打开程序时,会有两个窗口的创建,所有猜测肯定会调用CreateWindow,下图,果然发现两个(记得010Editor去掉随机基址)
-
依次下断,尝试,广告窗口会在哪个窗口API处断下
-
尝试第一个,果然可以断下,nop掉这个CreateWindow后却没达到想要的效果,双击后是这个样子的
- 借助IDA,在目标地址分析,有点麻烦,先进行下一个
思路2
- 进入程序后,右键→当前模块中的名称;在弹出的窗口直接键盘输入CreateWindow,找到位于目标函数,右键→查看调用树
- F9运行,每次断下观察ClassName(思路1中第二张图有类名),遇到后尝试nop掉CreateWindow和它的参数
- 可以去掉广告,✌
思路3
- 向上回溯,查看是哪里发生的判断跳转
- 成功去掉广告
总结
- 确实更熟悉下OD的操作,夜里扛不住,思路1就搁置了。早上起来想着我不是还有IDA么。但是后来发现思路1有点麻烦,我还要复现漏洞呢,还是抓紧爆破。。。