网站 › 『 软件逆向 』 › winrar x64干掉广告

冷月孤心 发表于 2016-5-13 19:08:37

winrar x64干掉广告

下断bp UpdateWindow 一直F9，等WINRAR跑起来看到界面停止并且广告还没弹出来

看堆栈return towinrar 007ff64e7dc1b8
返回到007ff64e7dc1b8下断点，F9运行到断点然后慢慢跟
00007FF64E7DC1B8 | 44 3A F6               | cmp r14b,sil                            |
00007FF64E7DC1BB | 74 31                  | je winrar.7FF64E7DC1EE                  |
00007FF64E7DC1BD | 44 3A FE               | cmp r15b,sil                            |
00007FF64E7DC1C0 | 74 2C                  | je winrar.7FF64E7DC1EE                  |
00007FF64E7DC1C2 | 48 8D 0D C7 29 04 00   | lea rcx,qword ptr ds:   |
00007FF64E7DC1C9 | E8 AA F6 FC FF         | call winrar.7FF64E7AB878                |
00007FF64E7DC1CE | 40 3A C6               | cmp al,sil                              |
00007FF64E7DC1D1 | 75 1B                  | jne winrar.7FF64E7DC1EE               |
00007FF64E7DC1D3 | 48 8D 0D E6 13 04 00   | lea rcx,qword ptr ds:   |
00007FF64E7DC1DA | E8 B5 00 FC FF         | call winrar.7FF64E79C294                |
00007FF64E7DC1DF | 40 3A C6               | cmp al,sil                              |
00007FF64E7DC1E2 | 75 0A                  | jne winrar.7FF64E7DC1EE               |
00007FF64E7DC1E4 | B9 06 00 00 00         | mov ecx,6                               |
00007FF64E7DC1E9 | E8 16 42 FB FF         | call winrar.7FF64E790404                |
00007FF64E7DC1EE | 45 33 C0               | xor r8d,r8d                           |
00007FF64E7DC1F1 | 48 8D 15 D8 36 04 00   | lea rdx,qword ptr ds:   |
00007FF64E7DC1F8 | 48 8D 0D 41 D3 03 00   | lea rcx,qword ptr ds:   |
00007FF64E7DC1FF | E8 04 F7 FC FF         | call winrar.7FF64E7AB908                |
00007FF64E7DC204 | 3B C6                  | cmp eax,esi                           |
00007FF64E7DC206 | 74 05                  | je winrar.7FF64E7DC20D                  |
00007FF64E7DC208 | E8 BB 40 FB FF         | call winrar.7FF64E7902C8                |
00007FF64E7DC20D | 33 D2                  | xor edx,edx                           |
00007FF64E7DC20F | B1 01                  | mov cl,1                              |；修改为MOV CL,0就不弹广告了
00007FF64E7DC211 | E8 D6 04 FD FF         | call winrar.7FF64E7AC6EC                | ;广告CALL
00007FF64E7DC216 | 45 33 C0               | xor r8d,r8d
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－                     别问为什么下这个断点，这是根据调试，找了个离破解点最近的API，哈哈。有兴趣的可以再总结总结。
如果在一切都未知的时候可以尝试下弹窗API断点，直到WinRAR跑起来断下后，返回堆栈，慢慢跟就找到http://ad.winrar.com.cn/show_2.html?L=7&bl=7&v=531personal&a=64&src=cn"这个网址，在前边JE下断点，重载。关闭API断点，F9，断下来后修改条件让跳过去RET返回后可以看到我备注的那个广告call。然后自己分析一种更优雅的方式去修改吧。
00007FF64E7AC87D | 44 38 35 EC 3A 09 00   | cmp byte ptr ds:,r14b   | ;7FF64E840370:"http://ad.winrar.com.cn/show_2.html?L=7&bl=7&v=531personal&a=64&src=cn"








小菜写了个简单的调试记录，大牛飘过。

zhangfeng9807 发表于 2017-8-3 21:55:48

不错，不错，谢谢分享

asdf1233124 发表于 2019-2-28 13:49:05

不错，谢谢分享

chunwei_2015 发表于 2019-2-28 13:53:23

多谢楼主分享~~，收藏了~~

dionysus 发表于 2019-5-17 13:01:37

谢谢楼主分享

ux527 发表于 2019-6-27 10:38:39

感谢分享 PYG有你更精彩{:loveliness:}

luckcsz 发表于 2020-2-27 17:22:51

初学者收下慢慢消化~，感谢分享~！

查看完整版本: winrar x64干掉广告