[原创]WinRAR5.1.0.0完美破解-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]WinRAR5.1.0.0完美破解

发表于: 2014-5-13 12:35 16360

[原创]WinRAR5.1.0.0完美破解

obabydbg

2014-5-13 12:35

16360

WinRAR工具在论坛里面其实有很多破解的文章了，很多都是学习黑客反汇编揭秘的文章后用IDA逆向暴力破解。最近刚好更新了WinRAR软件版本，附上用OD调试的破解过程。

一、软件安装好以后，标题框提示评估版本。未注册版本可以使用40天。无壳软件。

二、拖入OD，查找字符串。结果没有找到任何有用的信息

。但是仔细观察软件的窗口，还是可以发现软件内部有很多信息框和字符串的。

三、拖入eXeScope，找到了以下信息。
870,注册失败          0x366
871,感谢您的支持！    0x365
872,注册正确          0x368
873,评估版本          0x369
874,离购买许可只剩 %d 天了 0x36a
960,已注册给

四、继续拖入OD。查找命令(Ctrl+F)，push 366，这条指令是可以找到的。因为软件本身就没有注册按钮，所以注册失败这里是不会跑到的。定位到push 369，这里是可以断下的。

向上翻，找到这里：
004B164C .  803D C03C4F00>cmp    byte ptr [4F3CC0], 0
004B1653 .  8B0D 24054E00 mov    ecx, dword ptr [4E0524]
004B1659 .  8B15 28054E00 mov    edx, dword ptr [4E0528]       ;  WinRAR.00570020
004B165F .  8908       mov    dword ptr [eax], ecx
004B1661 .  8B0D 2C054E00 mov    ecx, dword ptr [4E052C]
004B1667 .  8950 04    mov    dword ptr [eax+4], edx
004B166A .  8B15 30054E00 mov    edx, dword ptr [4E0530]       ;  WinRAR.00410052
004B1670 .  8948 08    mov    dword ptr [eax+8], ecx
004B1673 .  8B0D 34054E00 mov    ecx, dword ptr [4E0534]
004B1679 .  8950 0C    mov    dword ptr [eax+C], edx
004B167C .  8948 10    mov    dword ptr [eax+10], ecx
004B167F .  0F85 D5000000 jnz    004B175A

经过分析，发现004B167F .  0F85 D5000000 jnz    004B175A这个跳转可以跳过类似没有注册成功或者是离购买许可只剩 %d 天了类似的信息。找到这里就简单了，可以清楚看到4F3CC0这个地址的值如果不为0那么就可以注册成功了。

五、重新开始，找到4F3CC0这个地址。里面的值是全0，下字节写入硬件断点。

004B1A71 .  E8 5A5AFFFF call 004A74D0
004B1A76 .  A2 C03C4F00 mov    byte ptr [4F3CC0], al
004B1A7B >  33C0       xor    eax, eax                      ;  Default case of switch 004B2156
断在这里，是通过al的值写入到内存当中。进入call中修改al的值。

004A74FA |. B0 01 mov al, 1
004A74FC |. 5E pop esi
修改004A74FA 这句指令。让al中的值不等于0既可了。修改好后保存。

六、运行修改后的文件就是注册版本了。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#调试逆向

上传的附件：

1.png （37.14kb，5次下载）
2.png （24.55kb，1次下载）
3.png （58.51kb，64次下载）
4.png （62.16kb，30次下载）
5.png （55.07kb，27次下载）
6.png （41.41kb，3次下载）
7.png （24.56kb，3次下载）

收藏・11

免费・0

支持

最新回复 (24)
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 2 楼 ...注册机满大街都是。。。这个。。。 2014-5-13 12:40 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼非也非也，知其所以然也，你才能自己说了算也。。。。 2014-5-13 12:50 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 4 楼貌似 RAR 有AV校验吧，你用这个破解版压缩一份文件，然后你用原版看能不能正确解压完成 2014-5-13 12:58 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 5 楼我还以为是Obaby。。。。结果仔细一看后面还有个 dbg。。。用360压缩的路过。。。 2014-5-13 13:01 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 6 楼为啥我下的断不下来 004B1A7B 　没有找这个地址，只找到　那个011DE275 \|. 68 66030000 push 0x366 2014-5-13 13:12 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 7 楼可以正确解压缩，功能没有问题 2014-5-13 15:56 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 8 楼 873,评估版本 0x369 要断这个，你下的那个断是断不下来的，程序根本就没有跑到那里。 2014-5-13 15:57 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼把你的源程序发上来，我来尝尝新鲜如何？各种改良的修改的程序，我总爱对比一下哪里动过手术学习下~~ 2014-5-13 16:10 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 10 楼 Winrar官网下这个版本就可以了 2014-5-14 09:03 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 11 楼发个帖子看看注册时间，哈哈 2014-5-14 09:06 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 12 楼这个暴力破解我也试过，貌似没发现压缩的文件或者解压的时候有什么问题。 2014-5-14 09:17 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼满大街都是压缩软件，并且支持解压 rar，注册机也泛滥作者现在都没意思去加神马校验了，继续保持收费，让你们爱咋的就咋的不然随便 VM 一下，就够你们好看了 2014-5-14 09:30 0
menglv 雪币： 10924 活跃值： (3294) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 14 楼大公司是不会用vm这种手段的，VM都是一些小公司的小软件作为！因为VM是很容易被杀的，大公司要考虑到兼容性！其实winrar就算过期，也是可以用的，只不过经常弹框而已。 2014-5-14 18:27 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 15 楼怎么修改返回值的？没看明白改004A74FA？ 2014-5-16 14:06 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 16 楼搞定了，把004A74FA的上一句NOP掉就可以了。爽爽爽 2014-5-16 14:25 0
huajt2004 雪币： 414 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	huajt2004 17 楼我也发个帖子看看注册时间，哈哈…… 2014-5-18 00:12 0
lifeiyu 雪币： 197 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	lifeiyu 18 楼伸手党路过，请问这个哪里有科普贴？ 2014-5-19 09:21 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 19 楼翻翻看雪以前的“看雪论坛精华”chm就有了，具体哪本我也不太清楚了 2014-5-19 11:13 0
guoyq 雪币： 260 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 88 粉丝 0 关注私信	guoyq 20 楼希望能去除文件锁定功能。。。。。 2014-6-13 10:07 0
哈哈hiahia 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	哈哈hiahia 21 楼楼主你破解后的软件程序还在么 2014-11-29 02:00 0
sobee 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	sobee 22 楼新版本弹广告，能去掉么？ 2014-11-29 10:54 0
一起飞翔雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	一起飞翔 23 楼谢谢分享，学习。 2015-3-5 18:57 0
戀人未滿雪币： 28 活跃值： (415) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	戀人未滿 24 楼尽然改标志位就可以… 2015-3-5 19:53 0
清水一杯雪币： 128 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	清水一杯 25 楼感觉大公司的软件怎么这么容易就被破了呢 2015-3-10 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

obabydbg

发帖

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 2 楼 ...注册机满大街都是。。。这个。。。 2014-5-13 12:40 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼非也非也，知其所以然也，你才能自己说了算也。。。。 2014-5-13 12:50 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 4 楼貌似 RAR 有AV校验吧，你用这个破解版压缩一份文件，然后你用原版看能不能正确解压完成 2014-5-13 12:58 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 5 楼我还以为是Obaby。。。。结果仔细一看后面还有个 dbg。。。用360压缩的路过。。。 2014-5-13 13:01 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 6 楼为啥我下的断不下来 004B1A7B 　没有找这个地址，只找到　那个011DE275 \|. 68 66030000 push 0x366 2014-5-13 13:12 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 7 楼可以正确解压缩，功能没有问题 2014-5-13 15:56 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 8 楼 873,评估版本 0x369 要断这个，你下的那个断是断不下来的，程序根本就没有跑到那里。 2014-5-13 15:57 0
killbr 雪币： 16161 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼把你的源程序发上来，我来尝尝新鲜如何？各种改良的修改的程序，我总爱对比一下哪里动过手术学习下~~ 2014-5-13 16:10 0
obabydbg 雪币： 8952 活跃值： (2889) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 43 粉丝 8 关注私信	obabydbg 2 10 楼 Winrar官网下这个版本就可以了 2014-5-14 09:03 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 11 楼发个帖子看看注册时间，哈哈 2014-5-14 09:06 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 12 楼这个暴力破解我也试过，貌似没发现压缩的文件或者解压的时候有什么问题。 2014-5-14 09:17 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼满大街都是压缩软件，并且支持解压 rar，注册机也泛滥作者现在都没意思去加神马校验了，继续保持收费，让你们爱咋的就咋的不然随便 VM 一下，就够你们好看了 2014-5-14 09:30 0
menglv 雪币： 10924 活跃值： (3294) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 14 楼大公司是不会用vm这种手段的，VM都是一些小公司的小软件作为！因为VM是很容易被杀的，大公司要考虑到兼容性！其实winrar就算过期，也是可以用的，只不过经常弹框而已。 2014-5-14 18:27 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 15 楼怎么修改返回值的？没看明白改004A74FA？ 2014-5-16 14:06 0
ingvar 雪币： 95 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	ingvar 16 楼搞定了，把004A74FA的上一句NOP掉就可以了。爽爽爽 2014-5-16 14:25 0
huajt2004 雪币： 414 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	huajt2004 17 楼我也发个帖子看看注册时间，哈哈…… 2014-5-18 00:12 0
lifeiyu 雪币： 197 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	lifeiyu 18 楼伸手党路过，请问这个哪里有科普贴？ 2014-5-19 09:21 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 19 楼翻翻看雪以前的“看雪论坛精华”chm就有了，具体哪本我也不太清楚了 2014-5-19 11:13 0
guoyq 雪币： 260 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 88 粉丝 0 关注私信	guoyq 20 楼希望能去除文件锁定功能。。。。。 2014-6-13 10:07 0
哈哈hiahia 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	哈哈hiahia 21 楼楼主你破解后的软件程序还在么 2014-11-29 02:00 0
sobee 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	sobee 22 楼新版本弹广告，能去掉么？ 2014-11-29 10:54 0
一起飞翔雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	一起飞翔 23 楼谢谢分享，学习。 2015-3-5 18:57 0
戀人未滿雪币： 28 活跃值： (415) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	戀人未滿 24 楼尽然改标志位就可以… 2015-3-5 19:53 0
清水一杯雪币： 128 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	清水一杯 25 楼感觉大公司的软件怎么这么容易就被破了呢 2015-3-10 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复