对于老牌解压缩软件WinRAR的广告弹窗CALL的一次追溯
本帖最后由 axigua 于 2023-4-20 13:57 编辑前言:
一直使用的这款解压软件,习惯了它的压缩包图标,今天对于打开压缩包之后的弹窗忍无可忍了:(eew。(这是我注册吾爱这么多年以来第一次发帖,各位看官多包涵。{:1_892:})
分析过程:
1.先欣赏一下软件弹窗。为了避免一些不必要的麻烦,我把弹窗藏在主窗口背后了。
2.我是下载的64位版本的,所以打开x64dbg附加。我们观察到广告是以窗口的形式显示的,大胆猜测一下可能是调用了ShowWindow,来到这里之后,在ret上下段,用dbg重新运行。
3.软件启动过程中会多次调用这个函数,我们需要做的是:一直运行到广告窗口载入,大约在主窗口完成载入之后再运行两次就会显示。
4.思路:程序调用载入广告窗口的关键位置一定在这之前,所以我们就直接运行到用户代码。
5.往上观察这段代码,有非常多的跳转,干脆从函数头部下段。重载程序。我们发现在头部断下之后,广告窗口还是已经创建了,那就执行到返回,再分析上一层,以此类推,最后我们在这个头部断下重载以后,发现第一次运行主窗口还没加载,再次运行广告窗口就加载完毕了,所以从这里开始单步往下跟。
6.跟到这里的时候发现执行完这个Call,广告窗口就加载了,我们进入这个Call看一下,看到注释列有大量ad开头的链接,可以复制链接访问一下。
7.至此,我们就通过回溯找到了广告弹窗的Call,至于如何修改,就不用我多说了罢!{:301_998:}
不知道写的够不够详细,第一次发帖总觉得很多东西没说清楚又不知道该怎么描述,欢迎提问。
原软件下载(单文件):
https://axigua.lanzouo.com/izpR50tgei0d 密码:52pj
也可以去官网下载
有朋友说想要成品,一并附上吧。
https://axigua.lanzouo.com/iUiVi0thzfbi
密码:52pj {:1_904:}不知道WinRAR分国内国外,
https://www.win-rar.com/fileadmin/winrar-versions/sc/sc20230223/wrr/winrar-x64-621sc.exe
https://www.win-rar.com/fileadmin/winrar-versions/sc/sc20230223/wrr/winrar-x32-621sc.exe
官网的,没广告,那须要那么麻烦 对RAR关键是情怀{:1_899:},早期是ZIP啊
广告这事的确烦死了。楼主你就把成品打包分享出来,好事做到底!{:1_893:} FeiChang21 发表于 2023-4-20 11:49
我也想问,怎么修改
倒数第二张图找到的广告call上面有一个jne,改成jmp强制跳转就好啦 弱弱的问一句,该怎么修改 我也想问,怎么修改:eee 9494搞个优化的发来,我都被弹出的搞疯了 现在一直用的360压缩国际版,感觉很不错 忍不了弹窗的岂止是你啊,谁都忍不了。 楼主还是懂破解技术的,我这不懂od和汇编的,只能用软件把winrar的广告去了,然后在用个什么文件给替换后,就成了无广告和注册版的了 楼主你就把成品打包分享出来,好事做到底!