社区首页 › 逆向分析 › 实战破解winRAR 5.1

王珂 发表于 2015-3-3 18:50:24

实战破解winRAR 5.1

很久之前写的了，想必不少人看过
========================================================================================

十一长假已经过的差不多了吧，今天闲来无事就去看雪看了看，然后看到看雪上面有人发了一个破解winrar 5.01的帖子，突然想到我自己的貌似还用着没有注册的版本，因此就有了下面的文章，当然我是参考了看雪上面的文章，也算是自己学习的一个记录吧
作者：iceforce
博客：www.isbug.net

===================================邪恶的分割线============================================
http://bbs.cnhonker.com/data/attachment/forum/201410/08/194403rpvp6elx77wy98uh.png
可以看到程序是未注册版本的，我们要做的就是把注册到期之后的弹窗，还有上面的那个评估版本给去掉
因为程序是在启动的时候会出现弹窗，一般程序出现窗口会使用两个函数MessageBoxW或者DialogBoxParamW两个函数，所以我们直接对这两个函数下断点
如果装了命令行插件的话，可以直接使用命令
bp MessageBoxW
bp DialogBoxParamW
然后那个不使用命令行下断的方法我之前的文章里面也有，如果不知道的话，可以看看之前我发的文章
之后我们运行，但是我们发现程序并没有断下来，开始就跟那个帖子不一样了，可谓出师不利啊
我们从头开始单步跟踪一下（如果觉得中指比较累的话，也可以CTRL+F8）
然后发现是在这个函数里面弹出的窗口
http://bbs.cnhonker.com/data/attachment/forum/201410/08/195333zngzo9zlh4gvzjon.png
我们F7跟进一下
http://bbs.cnhonker.com/data/attachment/forum/201410/08/200002i4c1g9y92c140vo4.png
然后发现是这个call弹出的窗口，继续跟进
http://bbs.cnhonker.com/data/attachment/forum/201410/08/200256qxxmmmm5pxbxyyj8.png
终于找到这个比较的代码了，其中EAX里面存放的是已经安装了多少天，然后与40比较
从代码可以看到eax来自于00534428 ，OK ，我们在这个上面设置访问断点
http://bbs.cnhonker.com/data/attachment/forum/201410/08/200550z39l5qsdx7755d49.png
重新载入程序，运行
http://bbs.cnhonker.com/data/attachment/forum/201410/08/200733aerlf4egluomw7bt.png
程序断在了这个地方，我们看到call之后把得到的结果放到了00534428
然后就可以进入分析这个call了，当然你也可以这样，直接进入call，然后汇编mov eax,0
retn 10
nop然后保存到EXE文件在运行，发现弹窗没有了，但是评估版本还是存在
载入保存的EXE文件
现在我们要考虑的是怎么去除掉标题中的评估版本
根据看雪上的提示，程序可能会用到SetWindowTextW函数，就对这个函数下断（虽然开头我们就没有成功，但是我们先来追随一下大牛的脚步嘛）

bp SetWindowTextW
好在这次断下了，看堆栈信息
http://bbs.cnhonker.com/data/attachment/forum/201410/08/201632q48e4ldxdv1db161.png
堆栈里面已经出现我们想要的东西，我们回到调用的地方，向上看，可以看到这些东西
http://bbs.cnhonker.com/data/attachment/forum/201410/08/202321rgp7w7ijedga21mm.png
可以看到这里先把0051E2C0里面的数据先跟0比较，如果不等的话，会直接跳到之前上面调用SetWindowTextW的地方，如果等于0之后在跟40天做比较
老办法，直接在这个地址上面下访问断点
http://bbs.cnhonker.com/data/attachment/forum/201410/08/202702zx45vkugvxvctttc.png
重新运行，程序立即断下
http://bbs.cnhonker.com/data/attachment/forum/201410/08/202901w5t5v56g1ddjg8zd.png
我们跟进上面的call，分析，或者直接汇编这个CALL
http://bbs.cnhonker.com/data/attachment/forum/201410/08/203106npziz97pm2fivmo9.png

然后再运行
http://bbs.cnhonker.com/data/attachment/forum/201410/08/203233iw5lld1wwhs7lqck.png
评估版本不见了，关于里面也不显示40天评估版本了
可能有人会问，你为什么不分析算法，然后写一个注册机呢
我得回答说：我不会！

查看完整版本: 实战破解winRAR 5.1