对于老牌解压缩软件WinRAR的广告弹窗CALL的一次追溯

axigua

前言：
     一直使用的这款解压软件，习惯了它的压缩包图标，今天对于打开压缩包之后的弹窗忍无可忍了。（这是我注册吾爱这么多年以来第一次发帖，各位看官多包涵。）


分析过程：
   1.先欣赏一下软件弹窗。为了避免一些不必要的麻烦，我把弹窗藏在主窗口背后了。

     2.我是下载的64位版本的，所以打开x64dbg附加。我们观察到广告是以窗口的形式显示的，大胆猜测一下可能是调用了ShowWindow，来到这里之后，在ret上下段，用dbg重新运行。

       3.软件启动过程中会多次调用这个函数，我们需要做的是：一直运行到广告窗口载入，大约在主窗口完成载入之后再运行两次就会显示。

    4.思路：程序调用载入广告窗口的关键位置一定在这之前，所以我们就直接运行到用户代码。

    5.往上观察这段代码，有非常多的跳转，干脆从函数头部下段。重载程序。我们发现在头部断下之后，广告窗口还是已经创建了，那就执行到返回，再分析上一层，以此类推，最后我们在这个头部断下重载以后，发现第一次运行主窗口还没加载，再次运行广告窗口就加载完毕了，所以从这里开始单步往下跟。

    6.跟到这里的时候发现执行完这个Call，广告窗口就加载了，我们进入这个Call看一下，看到注释列有大量ad开头的链接，可以复制链接访问一下。

   7.至此，我们就通过回溯找到了广告弹窗的Call，至于如何修改，就不用我多说了罢！

        不知道写的够不够详细，第一次发帖总觉得很多东西没说清楚又不知道该怎么描述，欢迎提问。
   原软件下载（单文件）：
   https://axigua.lanzouo.com/izpR50tgei0d 密码:52pj
   也可以去官网下载




   有朋友说想要成品，一并附上吧。
https://axigua.lanzouo.com/iUiVi0thzfbi
密码:52pj

gchq2005

不知道WinRAR分国内国外，

https://www.win-rar.com/fileadmi ... inrar-x64-621sc.exe
https://www.win-rar.com/fileadmi ... inrar-x32-621sc.exe

官网的，没广告，那须要那么麻烦

long8586

对RAR关键是情怀，早期是ZIP啊
广告这事的确烦死了。楼主你就把成品打包分享出来，好事做到底！

axigua

FeiChang21 发表于 2023-4-20 11:49
我也想问,怎么修改

倒数第二张图找到的广告call上面有一个jne，改成jmp强制跳转就好啦

WilsonZtw

弱弱的问一句，该怎么修改

FeiChang21

我也想问,怎么修改

wyd926

9494搞个优化的发来，我都被弹出的搞疯了

金不坏

现在一直用的360压缩国际版，感觉很不错

天山雪

忍不了弹窗的岂止是你啊，谁都忍不了。

六月莫竹

楼主还是懂破解技术的，我这不懂od和汇编的，只能用软件把winrar的广告去了，然后在用个什么文件给替换后，就成了无广告和注册版的了

xq2581

楼主你就把成品打包分享出来，好事做到底！