其实就是 08-16-2024 我没有心思写 OI 然后想水一篇博客罢了.jpg
过程
简体中文版,在每次启动时都会载入广告窗口,观察子进程,发现在 Windows 11 下使用的是 Webview2 展示广告内容,同时获取广告窗口的 Class 为 RarReminder。
获得以下内容:
- 需要一个 Win32 窗口来展示 Webview2
- 需要访问网址获取广告内容
然后进行查壳(不用查了,没有壳)。
然后拖入调试器,查字符串 RarReminder 。
发现有两个。
一个一个看,发现其中一个上面有与广告相关的网址,下方紧跟着 CreateWindowExW。
进行一个简单粗暴的尝试:直接 NOP 掉 CreateWindowExW。
然后就这样过了,没有爆炸…
那就 Patch 出来,完成。
简化
直接拿 Hex 编辑器打开 WinRAR.exe 然后找特征码:
0048 8d15 7059 0d00 33c9 ff15 4012 0c00
直接改成:
0048 8d15 7059 0d00 33c9 9090 9090 9090
也就是后 6 个字节全部改成 0x90 就好了。
保存即可。
后记
中国大陆代理商似乎没有想防止用户去广告的意思…
这么多年了,还是一样的方法。
但是我没记错的话以前这个方法体没有那么奇怪,应该是改过了。
WinRAR 是拿来入门的好软件。