使用 x64dbg 修改 WinRAR 去除广告和注册提示

mind

使用 x64dbg 修改 WinRAR 去除广告和注册提示

准备工作

• WinRAR（我用的是 WinRAR x64 v6.11）
• x64dbg
  

开始

熟悉的注册提示

熟悉的广告（此为注册后）

• 配置好 x64dbg，配置程序是 x96dbg.exe。
• 调试 WinRAR.exe。老规矩，运行到用户代码，此时标题栏中模块变为 WinRAR.exe。
• 我们看到广告窗口的标题是“WinRAR”，于是在CPU窗口 Shift+D，或者右键→搜索→当前模块→字符串。
• 寻找L"WinRAR"，找到一堆，如下
  

挨个打开，找找那个后面紧跟着<&CreateWindowExW>函数。发现只有最后两个。


5. 下断点调试，发现倒数第二个有些问题。就是它了！
于是将<&CreateWindowExW>函数所在行用 nop 填充。





下面不远处还有一个[<&DialogBoxParamW>，大概就是第一张图所示的弹窗了。断点运行发现属实，一并 nop 了。


6. 文件→补丁→修补文件



7. 运行，发现

十分不爽。于是请出 ResEdit 编辑窗口和字符串，删去了“评估版本”字符串。



8. 但是，什么？

括号还在！
于是再去程序里看看。


9. 搜索左括号，找可疑的下断点结果确定在这里。


可见地址是00007FF69F90C474，于是去内存中找这个地址。内存 1 没有，在内存 2。右键→十六进制→ASCII。




Ctrl+G 或右键→转到→表达式，




输入刚才的地址，发现00007FF69F90C476处有个左括号，

双击左侧28，以00填充。右侧有个右括号一并解决了。补丁。


10. 诡异的事情发生了。怎么单单只有一个右括号？



11. 于是从第 9 步重来。找到 CPU 行之后去找内存，单把左括号解决了。从 CPU 行往下找，



就是它了！转到00007FF69F90C47C将00007FF69F90C47E处的右括号以00填充，补丁，大功告成！