效果:双击winRar.exe,不会弹出广告窗口,但会弹出使用时间许可警告,效果不是很完美。
工具:everything.exe(非必须)、sublime text(非必须)、spyxx.exe(非必须)、APIMonitor、IDA逆向分析工具
步骤1:
用everything.exe搜索spyxx.exe,我安装了vs2015,所以自带了;
双击打开spyxx.exe,双击打开winRar.exe,spyxx中点击->监视->窗口,找到winRar广告窗口,右键查看属性,找到触发这个广告的类名是RarReminder。
步骤2:
打开APIMonitor工具,勾选创建函数CreateWindowA等,去除勾选其他函数,点击文件->挂钩进程->确定,找到包含RarReminder的那行,找到地址
步骤3:
打开IDA工具,点击调试(上一步打开的winRar和广告窗口不要关闭),退出调试;
复制步骤2中的地址0x00007ff61c7dfbf8,在IDA中点击Jump->Jump to Address,粘贴地址跳转;
在Hex View窗口下,点击View—>Open subviews->Generate pseudocode,跳转到了关键字节(FF 15 C0 9E 07 00)的下一句(F6 05 D1 88 0B 00 01),我们选择Hex View窗口定位回上一句就好。然后用sublime text打开二进制winRar.exe,将FF 15 C0 9E 07 00改为90 90 90 90 90 90,保存。
