- UID
- 2924
- 精华
- 0
- 积分
- 215
- 威望
- 14 点
- 宅币
- 167 个
- 贡献
- 12 次
- 宅之契约
- 0 份
- 最后登录
- 2021-4-27
- 在线时间
- 12 小时
用户组: 中·技术宅
- UID
- 2924
- 精华
- 0
- 威望
- 14 点
- 宅币
- 167 个
- 贡献
- 12 次
- 宅之契约
- 0 份
- 在线时间
- 12 小时
- 注册时间
- 2017-10-3
|
本帖最后由 417788939 于 2020-7-29 09:33 编辑
winrar是我最喜欢的一款软件,因为能加恢复记录,不过论解压速度和操作方面貌似国产软件胜出。5.80测试版已经放出,正式版在不久也会开放下载。现在以5.71为例,这软件万年不变的,所以教程通用。
以下分析过程略过,直接给结果,傻瓜式操作。用到的修改软件为x64dbg。
①官网下载winrar:http://www.winrar.com.cn
②下载64位OD
一、去广告弹窗。
原版软件打开主界面会有一个弹窗非常烦人,如上图。
1、x64dbg加载winrar.exe,shift+f9按2次让程序跑起来。
2、选择“符号”,定位winrar.exe回车,在反汇编中转到。
3、右键搜索当前模块字符串,搜索“ad”,然后定位到第二个ad网站,如下图。回车。
4、然后往上看6行,把“je winrar.13F6B0633”改成jmp代码即可。jmp winrar.13F6B0633。
实际上去广告的方法网上数不胜数,去广告算是很简单的操作。
二、无视文件锁定
锁定的文件打开后添加按钮和删除按钮是灰色的,很影响文件的编辑。同上,先让软件跑起来。
1、定位到主程序,搜索当前模块命令“mov eax,0x7221”。
2、把7221修改为72ff,此时已解锁灰色按钮,但是删除还会报错。
3、接着搜索“test bl, 0x2”,选择第三个结果(或者是倒数第三),往上看。找到如下字段:
- 000000013FF0039F | B0 01 | mov al,1 |
- 000000013FF003A1 | EB 6C | jmp winrar.13FF0040F |
- 000000013FF003A3 | 80B9 7F7F0000 00 | cmp byte ptr ds:[rcx+7F7F],0 |
- 000000013FF003AA | 74 26 | je winrar.13FF003D2 | 把这里改成jmp
- 000000013FF003AC | F6C3 01 | test bl,1 |
- 000000013FF003AF | 75 21 | jne winrar.13FF003D2 |
- 000000013FF003B1 | 48:8D51 26 | lea rdx,qword ptr ds:[rcx+26] |
- 000000013FF003B5 | B9 2D000000 | mov ecx,2D | 2D:'-'
- 000000013FF003BA | E8 812AFCFF | call winrar.13FEC2E40 | 这里是出错弹窗
- 000000013FF003BF | BA 04000000 | mov edx,4 |
- 000000013FF003C4 | 48:8D0D E5ED1200 | lea rcx,qword ptr ds:[14002F1B0] |
- 000000013FF003CB | E8 30200100 | call winrar.13FF12400 |
- 000000013FF003D0 | EB CD | jmp winrar.13FF0039F |
- 000000013FF003D2 | 80B9 7D7F0000 00 | cmp byte ptr ds:[rcx+7F7D],0 |
- 000000013FF003D9 | 74 32 | je winrar.13FF0040D |
- 000000013FF003DB | F6C3 02 | test bl,2 |
以上就修改完成,测试成功。
注意:修改文件以后锁定属性会被删除! |
|
|Archiver|小黑屋|技术宅的结界
( 滇ICP备16008837号 )|网站地图
发表于 2019-9-3 17:04:37
