winrar 笔记

主要断点

窗口标题显示，，可能会调用 SetWindowTextW函数

堆栈窗口

001270C0   004BF9DF  /CALL 到 SetWindowTextW 来自 WinRAR.004BF9D9         //反汇编窗口跟随后向上翻
001270C4   006700FA  |hWnd = 006700FA ('WinRAR',class='WinRarWindow')
001270C8   001274D0  \Text = "WinRAR - WinRAR (evaluation copy)"
001270CC   0053FD10  WinRAR.0053FD10

004BF87F   .  3D 00080000        cmp eax,0x800
004BF884   .  0F83 55010000      jnb WinRAR.004BF9DF
004BF88A   >  68 000A0000        push 0xA00
004BF88F   .  52                 push edx
004BF890   .  8D8424 0C040000    lea eax,dword ptr ss:[esp+0x40C]
004BF897   .  50                 push eax
004BF898   .  E8 9370FAFF        call WinRAR.00466930
004BF89D   .  8D8424 04040000    lea eax,dword ptr ss:[esp+0x404]
004BF8A4   .  83C0 FE            add eax,-0x2
004BF8A7   .  EB 07              jmp short WinRAR.004BF8B0
004BF8A9   .  8DA424 00000000    lea esp,dword ptr ss:[esp]
004BF8B0   >  66:8B48 02         mov cx,word ptr ds:[eax+0x2]
004BF8B4   .  83C0 02            add eax,0x2
004BF8B7   .  66:85C9            test cx,cx
004BF8BA   .^ 75 F4              jnz short WinRAR.004BF8B0
004BF8BC   .  803D C0E25100 00   cmp byte ptr ds:[0x51E2C0],0x0           //全局变量
004BF8C3   .  8B0D E41C5000      mov ecx,dword ptr ds:[0x501CE4]
004BF8C9   .  8B15 E81C5000      mov edx,dword ptr ds:[0x501CE8]          ;  WinRAR.00570020
004BF8CF   .  8908               mov dword ptr ds:[eax],ecx

在0x51E2C0下写入断点

004B8C6D  |.  E8 6ECAFFFF        call WinRAR.004B56E0
004B8C72  |.  A2 C0E25100        mov byte ptr ds:[0x51E2C0],al

004BFCE1   .  E8 FA59FFFF        call WinRAR.004B56E0
004BFCE6   .  A2 C0E25100        mov byte ptr ds:[0x51E2C0],al

两处赋值

进入call WinRAR.004B56E0后

mov eax,0

retn 4

显示注册给界面

 

去除中文版的广告

 

004C2075   > \57            push edi
004C2076   .  68 B4C14F00   push WinRAR.004FC1B4                     ;  ExportedSettings
004C207B   .  68 989A4F00   push WinRAR.004F9A98
004C2080   .  E8 0B48FDFF   call WinRAR.00496890
004C2085   .  85C0          test eax,eax
004C2087   .  74 05         je short WinRAR.004C208E
004C2089   .  E8 12D8FBFF   call WinRAR.0047F8A0
004C208E   >  57            push edi
004C208F      6A 01         push 0x1                                             //push 0既可去掉弹窗
004C2091   .  E8 5A50FDFF   call WinRAR.004970F0                     ; 注意
004C2096   .  57            push edi
004C2097   .  68 ACBE4F00   push WinRAR.004FBEAC                     ;  WizardMode
004C209C   .  68 A4B84F00   push WinRAR.004FB8A4                     ;  General
004C20A1   .  E8 EA47FDFF   call WinRAR.00496890
004C20A6   .  85C0          test eax,eax