设为首页收藏本站官方微博

开启辅助访问切换到窄版

飘云阁»网站 › -= 逆向工程 =- › 『软件逆向』 › winrar x64干掉广告

[x86]PYG官方Dll优雅破解补丁制作工具

[x64]PYG官方DLL优雅破解补丁制作工具

[x86]PYG官方Exe优雅破解补丁制作工具

[x86/x64]Baymax Patch Tools

发新帖

查看: 9629|回复: 6

[x64] winrar x64干掉广告

TA的每日心情

	开心 2024-12-31 00:26

签到天数: 77 天

[LV.6]常住居民II

发表于 2016-5-13 19:08:37 | 显示全部楼层 |阅读模式

下断bp UpdateWindow 一直F9，等WINRAR跑起来看到界面停止并且广告还没弹出来
QQ截图20160513184857.png

QQ截图20160513184857.png

看堆栈return towinrar 007ff64e7dc1b8
返回到007ff64e7dc1b8下断点，F9运行到断点然后慢慢跟
00007FF64E7DC1B8 | 44 3A F6                | cmp r14b,sil                         |
00007FF64E7DC1BB | 74 31                   | je winrar.7FF64E7DC1EE                |
00007FF64E7DC1BD | 44 3A FE                | cmp r15b,sil                         |
00007FF64E7DC1C0 | 74 2C                   | je winrar.7FF64E7DC1EE                |
00007FF64E7DC1C2 | 48 8D 0D C7 29 04 00    | lea rcx,qword ptr ds:[7FF64E81EB90]    |
00007FF64E7DC1C9 | E8 AA F6 FC FF          | call winrar.7FF64E7AB878             |
00007FF64E7DC1CE | 40 3A C6                | cmp al,sil                            |
00007FF64E7DC1D1 | 75 1B                   | jne winrar.7FF64E7DC1EE                |
00007FF64E7DC1D3 | 48 8D 0D E6 13 04 00    | lea rcx,qword ptr ds:[7FF64E81D5C0]    |
00007FF64E7DC1DA | E8 B5 00 FC FF          | call winrar.7FF64E79C294             |
00007FF64E7DC1DF | 40 3A C6                | cmp al,sil                            |
00007FF64E7DC1E2 | 75 0A                   | jne winrar.7FF64E7DC1EE                |
00007FF64E7DC1E4 | B9 06 00 00 00          | mov ecx,6                            |
00007FF64E7DC1E9 | E8 16 42 FB FF          | call winrar.7FF64E790404             |
00007FF64E7DC1EE | 45 33 C0                | xor r8d,r8d                            |
00007FF64E7DC1F1 | 48 8D 15 D8 36 04 00    | lea rdx,qword ptr ds:[7FF64E81F8D0]    |
00007FF64E7DC1F8 | 48 8D 0D 41 D3 03 00    | lea rcx,qword ptr ds:[7FF64E819540]    |
00007FF64E7DC1FF | E8 04 F7 FC FF          | call winrar.7FF64E7AB908             |
00007FF64E7DC204 | 3B C6                   | cmp eax,esi                            |
00007FF64E7DC206 | 74 05                   | je winrar.7FF64E7DC20D                |
00007FF64E7DC208 | E8 BB 40 FB FF          | call winrar.7FF64E7902C8             |
00007FF64E7DC20D | 33 D2                   | xor edx,edx                            |
00007FF64E7DC20F | B1 01                   | mov cl,1                               |；修改为MOV CL,0就不弹广告了
00007FF64E7DC211 | E8 D6 04 FD FF          | call winrar.7FF64E7AC6EC             | ;广告CALL
00007FF64E7DC216 | 45 33 C0                | xor r8d,r8d
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－                      别问为什么下这个断点，这是根据调试，找了个离破解点最近的API，哈哈。有兴趣的可以再总结总结。
如果在一切都未知的时候可以尝试下弹窗API断点，直到WinRAR跑起来断下后，返回堆栈，慢慢跟就找到http://ad.winrar.com.cn/show_2.h ... amp;a=64&src=cn"这个网址，在前边JE下断点，重载。关闭API断点，F9，断下来后修改条件让跳过去RET返回后可以看到我备注的那个广告call。然后自己分析一种更优雅的方式去修改吧。
00007FF64E7AC87D | 44 38 35 EC 3A 09 00    | cmp byte ptr ds:[7FF64E840370],r14b    | ;7FF64E840370:"http://ad.winrar.com.cn/show_2.html?L=7&bl=7&v=531personal&a=64&src=cn"

小菜写了个简单的调试记录，大牛飘过。

相关帖子

PYG19周年生日快乐！

回复

使用道具举报

TA的每日心情

	擦汗 2025-1-14 11:24

签到天数: 1281 天

[LV.10]以坛为家III

发表于 2017-8-3 21:55:48 | 显示全部楼层

不错，不错，谢谢分享

PYG19周年生日快乐！

回复支持反对

使用道具举报

TA的每日心情

	慵懒 2019-5-22 11:14

签到天数: 8 天

[LV.3]偶尔看看II

发表于 2019-2-28 13:49:05 | 显示全部楼层

不错，谢谢分享

PYG19周年生日快乐！

回复支持反对

使用道具举报

TA的每日心情

	开心 2025-1-9 08:17

签到天数: 180 天

[LV.7]常住居民III

发表于 2019-2-28 13:53:23 | 显示全部楼层

多谢楼主分享~~，收藏了~~

PYG19周年生日快乐！

回复支持反对

使用道具举报

TA的每日心情

	衰 2020-1-9 10:13

签到天数: 136 天

[LV.7]常住居民III

发表于 2019-5-17 13:01:37 | 显示全部楼层

谢谢楼主分享

PYG19周年生日快乐！

回复支持反对

使用道具举报

TA的每日心情

	开心 2023-10-19 22:00

签到天数: 7 天

[LV.3]偶尔看看II

发表于 2019-6-27 10:38:39 | 显示全部楼层

感谢分享 PYG有你更精彩

PYG19周年生日快乐！

回复支持反对

使用道具举报

TA的每日心情

	开心 2025-1-14 09:07

签到天数: 623 天

[LV.9]以坛为家II

发表于 2020-2-27 17:22:51 | 显示全部楼层

初学者收下慢慢消化~，感谢分享~！

PYG19周年生日快乐！

回复支持反对

使用道具举报

发新帖

小黑屋|手机版|Archiver|粤公网安备 44010602010026号|飘云阁安全论坛 ( 粤ICP备15107817号-2 )|扫码赞助

Powered by Discuz! Copyright © 2001-2022, Tencent Cloud.

快速回复 返回顶部 返回列表