抓了一下WinRAR广告弹窗过程,这下舒服了!
WinRAR大家都用过吧,抓下一款非常流行的广告过程压缩软件。 这软件好是弹窗好,但有一点让人不爽,下舒就是抓下每次打开它都要给我弹个广告窗口,非常的广告过程烦人。 (kimi:打钱!弹窗) 你要是下舒每天弹一下,或者不定期弹几下,抓下我还能忍受,广告过程每一次都弹广告,弹窗这简直没法忍。下舒 刚好最近在带着大家学习逆向,抓下本着学以致用的广告过程精神,今天就教大家如何把这个广告弹窗给去掉。弹窗 网上有很多去除的方法,但都是告诉你怎么做,却很少告诉大家原理。今天带着大家来看看针对这种广告弹窗问题该怎么处理,以后大家遇到其他软件弹窗,也可以迁移过去。 首先祭出一个工具spy++,这个工具可以用来查看Windows操作系统上所有程序的窗口信息,通过这个工具可以定位到这个广告窗口: 可以看到这个窗口的类名是RarReminder。 接下来我们去除广告弹窗的思路就来了:定位到Winrar程序中,具体是哪个位置在弹出这个窗口,然后将那里的逻辑给去除掉。 接下来上另一个神器:APImonitor,顾名思义,这个工具可以监控指定进程的API调用。 (PS:这个工具是通过HOOK来实现对相关API函数的调用监控的) 在Windows操作系统上,窗口的创建是通过一个叫CreateWindow系列的Win32 API进行的。我们把相关的函数勾选上,表示要监控这些函数的调用。接下来通过这个工具来启动WinRAR程序。 WinRAR进程所有创建窗口的行为都会被这个工具给记录下来了: 很容易可以找到上面那个广告窗口RarReminder的创建记录。 在下面的调用堆栈面板中,可以找到具体调用CreateWindow函数的地方,偏移量是0xaa56d。 接下来请出第三个工具,逆向分析神器IDA来看一看WinRAR.exe这个可执行程序中,在偏移0xaa56d的位置,上面那个创建广告窗口的地方。 好了,位置找到了,要去掉这个弹窗就很简单了,直接把这个函数的调用指令给去掉。 怎么去掉呢? 在x86平台上,调用函数是一条call指令,直接把这条call指令对应的16进制CPU机器码换成nop指令对应的0x90就可以了。 这是这条call指令原来的机器码(蓝色选中部分): 替换后: 好了,现在保存WinRAR.exe文件,再次打开压缩包文件,广告弹窗没了! 非常好用的一个小技巧,大家如果有其他软件也有烦人的弹窗,也可以试试这招哦~
- 最近发表
- 随机阅读
-
- U17男篮世界杯:美国狂胜75分小组第一 中国爆冷法国避免垫底
- 黄仁勋重磅官宣!“全球最强大的芯片”已开始投产
- 比亚迪秦L拆车测评:省油是真省,但这个致命缺陷你能接受吗?
- 上海“五个新城”开始全面发力,“西大门”青浦新城怎么干?
- 19000吨钢筋“从天而降”,大桥剪彩前垮掉,75人当场身亡
- 波音“星际飞机”载人首航再度押后
- 台州2驴友落水后续:2人遗体已找到,看了令人心痛,女子身份曝光
- 陈忠已任中投公司副总经理,此前担任陕西省工信厅厅长
- 卖肉的刘寡妇很漂亮,我跟她说:你喊我一声老公,我把你肉全买了
- 空客将向中国出售100多架宽体客机
- 恭喜朱婷!恭喜李盈莹!感谢德国,蔡斌渔翁得利,女排奥运会稳了
- 女单冠军颁奖!王曼昱心情愉悦,孙颖莎夺冠展可爱,还送暖心举动
- 高考703分,因面试时说要报效祖国被11所美国大学拒收!终得所愿!
- 黄仁勋重磅官宣!“全球最强大的芯片”已开始投产
- 雷布斯太厉害了!不仅有小米、金山办公,居然是字节跳动大股东
- 中国女排3
- 崩了!泰山队开局连丢2球 吴兴涵梦游贾德松被换下
- 绝了!女子相亲视频火了,网友:因为你,他可能打一辈子光棍
- 黄仁勋重磅官宣!“全球最强大的芯片”已开始投产
- 中国车企正在战术性撤退欧洲。
- 搜索
-
- 友情链接
-