- UID
- 33404
注册时间2007-8-5
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
去除winrar注册nag
首先说明这是07年在飘云写的,现在看来,还有些疑惑,恳请指教
一直都觉得未注册winrar每次运行弹出请注册的NAG窗口很烦人,一直想给去掉,晚上正好看到了看雪老师写的《加密与解密》中相关去除NAG的资料。就想照葫芦画瓢也自己试试^o^
实验环境:win2k sp2
实验对象:winrar 3.20
工具:peid,Resscope,w32Dasm,peditor,Uedit32,ollydbg 1.10
过程:先用peid查看,发现未加壳,用Resscope打开winrar.exe,找到dialog-->REMINDER,发现是Nag窗口的内容,用W32dasm打开winrar.exe,查找REMINDER发现两个地址0043EC9B和00442ABA,用OD载入,先到达0043EC9B代码如下
0043EC81 /7F 04 jg short WinRAR1.0043EC87
0043EC83 |85C0 test eax,eax
0043EC85 |7D 24 jge short WinRAR1.0043ECAB
0043EC87 \C605 40554900 01 mov byte ptr ds:[495540],1
0043EC8E 6A 00 push 0
0043EC90 68 A02A4400 push WinRAR1.00442AA0
0043EC95 FF35 A8D54A00 push dword ptr ds:[4AD5A8]
0043EC9B 68 AD5A4900 push WinRAR1.00495AAD
可以看见0043EC9B是从0043EC81跳过来的。于是7F改为7E,保存后退出,再运行winrar发现已不再弹出nag窗口。
这个跳转不能nop,nop后程序可以运行,但是程序运行后即将弹出NAG窗口的时候(也就是程序运行后3~5秒时)连续出现三个错误,程序自动结束。
研究的过程中暂时发现两个个问题。
第一个问题:查找REMINDER发现两个地址0043EC9B和00442ABA,用OD载入后一个地址00442ABA,代码如下
00442A96 33C0 xor eax,eax
00442A98 5F pop edi
00442A99 5E pop esi
00442A9A 5B pop ebx
00442A9B 5D pop ebp
00442A9C C2 1000 retn 10
00442A9F 90 nop
00442AA0 55 push ebp
00442AA1 8BEC mov ebp,esp
00442AA3 81C4 00FCFFFF add esp,-400
00442AA9 53 push ebx
00442AAA 56 push esi
00442AAB 57 push edi
00442AAC 8B7D 08 mov edi,dword ptr ss:[ebp+8]
00442AAF 8B75 10 mov esi,dword ptr ss:[ebp+10]
00442AB2 8B5D 0C mov ebx,dword ptr ss:[ebp+C]
00442AB5 8BCE mov ecx,esi
00442AB7 FF75 14 push dword ptr ss:[ebp+14]
00442ABA 68 AD5A4900 push WinRAR1.00495AAD
因为没有发现跳过这个地址的跳转,于是也就没做相关改动,只改了第一处的地址,从结果来看,好象也成功了。这就是我不明白的地方,相关的地址有两处,我只改了前一处,后一处没有改,为什么也成功了?是不是只有一个检测?
第二个问题:为什么我把0043EC81处的跳转给nop掉之后程序出错?也许这个问的有点那个了~~可能是破坏程序了么(有时候我搞一些软件有这个感觉,能跳绝不nop)
2年前的烂贴,现在依旧非常多的方面都不懂,还请大家帮帮忙指点一下,谢谢大家了。
感谢你能读完这篇烂文,菜鸟刚起步,大家帮帮忙:-)
最后一个小小的要求,如果大大们觉得我这个去nag有点用,给点分吧。支持下我这老新人吧
[ 本帖最后由 feitianfox 于 2009-5-29 15:09 编辑 ] |
|
IP卡
发表于 2009-5-29 15:08:38
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-5-30 00:13:20
楼主
发表于 2009-8-19 15:51:16
发表于 2009-8-19 19:00:18
