首页
论坛
课程
招聘
[旧帖] [原创]手把手教你破解WinRAR4.01 0.00元
2011-9-10 22:15 11036

[旧帖] [原创]手把手教你破解WinRAR4.01 0.00元

2011-9-10 22:15
11036
WinRAR是我们平时最常用到的软件之一,由于它并非免费软件,试用期过后,每次打开winRAR都会提示请注册的对话框,令人烦不胜烦。于是,我一般的做法是下载低版本的被破解后的winrar使用(最新版的WinRAR往往破解较慢),所以如果你想尝鲜的话,就不得不等一阵子了。
最近看了《黑客反汇编解密(第二版)》,其中介绍了破解WinRAR的基本方法,不过书中所述版本较老,是WINRAR3.42版的。根据文中所述方法,结合自己理解,我破解了目前最新的4.01版WinRAR,不敢独享,特记录破解方法,以飨读者。

所需工具
1. IDAPro
  目前最好的静态反汇编工具,黑客必备,可惜是收费软件,当然也有破解的,就是版本比较低。本人用的是最新的版本的试用版,呵呵,基本功能都有,所以也就凑合用了。

2. HIEW
  著名的一款十六进制编辑工具,小巧,但是功能强大,而且支持反汇编显示文件,并可以直接使用汇编语言修改原始文件,非常方便。

3. Kerberos API
  一款API窥测工具,可以记录软件运行过程中调用过的所有API函数,使用它可以帮助我们快速定位程序关键点。

破解方法

  首先去华军软件园下载WINRAR4.01版,安装好之后,将当前系统时间先调整到40天之后。因为WinRAR安装完成之后,可以免费试用40天,试用期过后,它会弹出请购买的对话框。这个对话框就是我们破解的突破口。
   我们希望使用Kerberos API的窥测功能定位到弹出请购买对话框的系统API,与对话框相关的API有很多,比如CreateDialog,DialogBox与MessageBox等都是这样的函数。WinRAR开发人员用的是哪一个函数呢?为了搞清楚,就需要Kerberos API探测器的帮忙了。
   在使用Kerberos API窥测器之前,请先配置一下过滤器选项,以便让它将不能提供有用信息的API调用丢弃掉。打开ke_spy.txt文件,然后将以下这些函数注释掉:TlsGetValue,DefWindowProcA,DispatchMessageA, GetFocus, GetMessageA, SendMessageA, SendMessageW, TranslateAcceleratorA, TranslateAcceleratorW 与TranslateMessage。在函数名之前插入分号(;),就可以注释掉一个函数。要提升过滤性能,可以单击“Option(选项)”按钮,并设置“Report only .exe calls(仅仅报告.exe调用)”复选框。这样程序仅收集从winrar.exe发出的api调用,而不收集从加载的dll中发出的调用。应该注意的是,如果没有这么做,也不会发生什么错误。不过,要是不这样做,报告文件的尺寸将会很大而难以分析。

  现在,单击“Browse”按钮,指定WinRAR的文件路径,然后单击“Inject(注入)”按钮。此时窗口会呈现下图所示情况。


呵呵,用Kerberos注入WinRAR之后,一幅光秃秃的窗口出现在我们眼前,此时不要认为出现了什么错误,只要耐心等那么2-3秒,关闭WinRAR即可,并打开winrar.rep文件,该文件保存在WinRAR的安装目录下。
   考察报告文件最方便的方法是从文件的结尾处入手。这是因为让用户注册的弹出窗口会在接口被初始化后才最后一个显示出来。因此,你会比较容易找到那个针对DialogBoxParamW函数进行的调用,这个函数负责显示“REMINDER”对话框。它就是创建让用户注册弹出窗口的函数。
   下图便是Kerberos API窥测器生成的报告文件的片段


Kerberos API窥测器甚至显示了从那个函数返回的地址--------00498F27,它可以立即将黑客引向保护代码。在反汇编器中查看这个代码。启动IDA Pro,加载winrar.exe文件,然后按“G”(跳转到某个地址),指定返回地址(00498F27)并按“Enter”键。如下图所示:


你可以显而易见地看到DialogBoxParamW函数的调用,在它之上是如下所示的反汇编代码:
.text:00498E95                 cmp     dword_4EA434, 0 ; jumptable 00498E21 case 2
.text:00498E9C                 jnz     loc_498F27
.text:00498EA2                 push    400h
.text:00498EA7                 lea     eax, [esp+0BB0h+WideCharStr]
.text:00498EAE                 push    eax
.text:00498EAF                 mov     ecx, offset unk_4F0DD0
.text:00498EB4                 call    sub_4130A0
.text:00498EB9                 cmp     byte_5150F8, 0
.text:00498EC0                 jnz     short loc_498F27
.text:00498EC2                 cmp     byte_4D446F, 0
.text:00498EC9                 jnz     short loc_498F27
.text:00498ECB                 cmp     byte_4D70A0, 0
.text:00498ED2                 jnz     short loc_498F27
.text:00498ED4                 push    6               ; int
.text:00498ED6                 push    offset aRarkey  ; "rarkey"
.text:00498EDB                 lea     ecx, [esp+0BB4h+WideCharStr]
.text:00498EE2                 push    ecx
.text:00498EE3                 call    sub_451C20
.text:00498EE8                 push    eax             ; lpString1
.text:00498EE9                 call    sub_473650
.text:00498EEE                 test    eax, eax
.text:00498EF0                 jz      short loc_498F27
.text:00498EF2                 mov     eax, dword_4EA428
.text:00498EF7                 cmp     eax, 28h
.text:00498EFA                 jg      short loc_498F00
.text:00498EFC                 test    eax, eax
.text:00498EFE                 jge     short loc_498F27
.text:00498F00
.text:00498F00 loc_498F00:                             ; CODE XREF: sub_498700+7FA j
.text:00498F00                 push    0               ; dwInitParam
.text:00498F02                 push    offset sub_4941B0 ; lpDialogFunc
.text:00498F07                 mov     byte_5150F8, 1
.text:00498F0E                 call    ds:GetFocus
.text:00498F14                 mov     edx, dword_4D76B0
.text:00498F1A                 push    eax             ; hWndParent
.text:00498F1B                 push    offset aReminder ; "REMINDER"
.text:00498F20                 push    edx             ; hInstance
.text:00498F21                 call    ds:DialogBoxParamW
  可以看到,只是在执行到如下两条语句时进行跳转。
.text:00498EF7                 cmp     eax, 28h
.text:00498EFA                 jg      short loc_498F00
如果eax>28h,就跳转,跳转到DialogBoxParamW函数处。28h对应的十进制数是40.这个值指定的是试用期的持续天数。到此为止,变量dword_4EA428的物理含义已经十分清楚了:自从程序安装以来所过去的天数。
   保护机制已经找到了。接下来做点什么呢?例如,要阻止“提示注册”窗口的出现,可以用xor eax,eax/nop(33 C0/90)替换cmp eax, 28h(83 F8 28)。这样一来,不管当前的日期是什么,eax寄存器的值总是零。加入nop指令是为了弥补指令长度(由于cmp指令占据3个字节,而xor指令只有两个字节长,指令替换后长度变短了)。
   启动HIEW,加载winrar.exe,初始界面给人的感觉像是乱码,不过按两次“Enter”键之后便可以切换到汇编模式。然后,按“F5”键(到……去),指定cmp指令的地址:. 498EF7。注意,开头的句点(.)不能少,它用来告诉HIEW,这里给定的值是个地址,而不是文件之中的偏移量。按“F3”键切换到汇编编辑模式,然后按“Enter”键以指定要执行的汇编指令。接下来,会显示一个对话框。输入xor eax,eax,<回车>,nop,<回车>,按F9键将结果保存在文件之中,如下图所示,然后退出。


现在,启动WinRAR看看会出现什么情况。这一次,恼人的提示注册的窗口没有再次出现。整个破解过程用了不到10分钟。

强行注册
虽然提示注册的窗口成功阻止了,但是软件并没有注册。窗口标题会诚实地提示你,这是一个评估版本软件。如果从“Help”命令菜单选取“About”命令,软件会提示这是一个只有40天的试用版软件。虽然试用版在功能上没有受到限制,但是心里难免感觉有些别扭。
WinRAR软件的注册是通过一个含有数字签名的密钥文件来实现的,这种数字签名通过加密方式生成,以确保篡改的密钥无效。所以,伪造密钥文件几乎是不可能的,不过我们真正想要做的事情是设置注册标志。如何找到这个标志,不妨回到cmp eax,28h这条关键指令的上面去看看。
我们重点关注cmp eax,28h这条指令之上的几条指令的参数。你也许会问,我怎么会知道要去看哪个参数。实际上,我也不知道哪个参数才是破解的关键点,这需要很多猜测和尝试。当然也不是胡乱猜测,我们可以借助IDA Pro的交叉参考功能,理解参数的作用。所谓交叉参考,就是查看代码段中那些指令调用了本条指令或者是参数。
在IDA中,将光标移到变量名处,打开上下文菜单,选择“jump to xref(跳到交叉引用)”或者简单地按下“X”键,就会出现如下图所示界面。


整个程序中散布着许许多多的执行读(r)写(w)操作的交叉引用。选中交叉引用列表中的某一行,然后双击鼠标左键,即可跳转到代码中相应位置。
这里,我就不列举我尝试错误的参数了,直接告诉大家关键参数在哪里吧,实际上就是这句
.text:00498ECB                 cmp     byte_4D70A0, 0
其中byte_4D70A0参量的交叉引用,就是上图所示的情形,而在倒数第三行的写操作那里双击鼠标,来到相关代码段:

其中00497034地址处的指令便是一处byte_4D70A0参量的引用地点,看到如下几条指令:
.text:0049702F                 call    sub_41C0D0
.text:00497034                 mov     byte_4D70A0, al
.text:00497039                 test    al, al
.text:0049703B                 jz      short loc_497064    ;继续注册
首先调用sub_41C0D0函数,然后比较返回值,等于零时跳转,实际上sub_41C0D0便是进行注册认证的函数所在了,有兴趣的读者可以再跟进去看看它是怎么认证的,我这里就不演示了。
现在,我们只要让sub_41C0D0函数非零值,就可以成功注册了。
启动HIEW,按两次回车键,切换到反汇编模式。按F5键,给出.41C0D0值,这个值就是认证注册函数的首地址,然后按F3键切换到编辑模式。输入如下指令:<回车>xor eax,eax <回车>inc eax<回车>retn<Esc>(先将eax寄存器重置为0,然后加1再退出函数)。按F9键将结果保存在文件中,然后退出HIEW。
启动WinRAR看看情况如何。可以看到,评估版本字符串已经从窗口的标题中消失了。关于对话框中会显示“注册到”字符串,如下图所示:

至此,完美破解WinRAR4.01。

参考文献:
《黑客反汇编揭秘(第二版)》

看雪论坛2020激励机制:能力值、活跃值和雪币体系!会员积分、权限和会员发帖、回帖活跃程度关联!

上传的附件:
  • 1.png (6.02kb,2689次下载)
  • 2.png (4.06kb,2684次下载)
  • 3.png (55.97kb,2691次下载)
  • 4.png (22.21kb,2672次下载)
  • 5.png (30.06kb,2673次下载)
  • 6.png (12.13kb,2675次下载)
  • 7.png (59.32kb,2676次下载)
收藏
点赞0
打赏
分享
最新回复 (114)
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
夏蛋 活跃值 2011-9-10 23:03
2
0
为啥我生成出来的Rep文件是0Kb的空文件...
雪    币: 108
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
今夕望月 活跃值 2011-9-10 23:18
3
0
原来这么简单就可以啊
雪    币: 212
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhongzijie 活跃值 2011-9-10 23:23
4
0
楼写得好详细,学习了
雪    币: 564
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lixupeng 活跃值 2011-9-11 00:02
5
0
初学时按教程一步一步的用HIEW修改文件 现在用的少了支持个
雪    币: 110
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bullymj 活跃值 2011-9-11 00:16
6
0
膜拜,NB的人。。。
雪    币: 377
活跃值: 活跃值 (23)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
blackwhite 活跃值 1 2011-9-11 00:35
7
0
弹出框框那里,在框框弹出后,在OD里头暂停程序然后往下看栈也是可以找出哪个API弹的框~
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
tihty 活跃值 2 2011-9-11 00:49
8
0
好帖啊,学习:)
雪    币: 47
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cndeusa 活跃值 2011-9-11 07:12
9
0
对新手非常有帮助,多谢楼主了
雪    币: 241
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
drawangel 活跃值 2011-9-11 08:00
10
0
有两个疑问:1 为什么要打开rep文件,请问这个楼主是如何知道的 2 IDA中交叉参考出来的24个调用,楼主是如何定位到第22个的,是一个一个查看的还是如何进行筛选的呢
雪    币: 220
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
广海混沌 活跃值 2011-9-11 10:16
11
0
呵呵 不错 值得一看
雪    币: 11133
活跃值: 活跃值 (1149)
能力值: ( LV15,RANK:870 )
在线值:
发帖
回帖
粉丝
obaby 活跃值 20 2011-9-11 10:33
12
0
其实直接上od很容易就搞定了。
雪    币: 190
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wangzun 活跃值 2011-9-11 10:36
13
0
谢谢楼主分享
雪    币: 266
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
leavekwong 活跃值 2011-9-11 10:40
14
0
习惯OD  不过 也来学习学习 呵呵
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
siuwash 活跃值 2011-9-11 13:01
15
0
可以增长新人的自信,非常感谢楼主分享
雪    币: 959
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ybhdgggset 活跃值 2011-9-11 13:10
16
0
用UltraEdit打开winrar.exe, ctrl + G 来到0x0001b4d0,将6A FF 68 AB 67 4B 00 改为33 C0 40 C3 90 90 90保存即可
雪    币: 248
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wkxq 活跃值 2011-9-11 13:51
17
0
我用OD搞定的,楼主的教程真的很好
雪    币: 22
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xiafajin 活跃值 2011-9-11 16:55
18
0
         DING
雪    币: 17
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
天箜 活跃值 2011-9-11 20:21
19
0
学习学习~~~
雪    币: 41
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sdnyzjzx 活跃值 2011-9-11 20:22
20
0
文章写地真不错,精神可嘉!
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
释然如水 活跃值 2011-9-11 20:54
21
0
新手学习了!!
雪    币: 18
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pudiy 活跃值 2011-9-11 20:55
22
0
这样做的话,能在创建压缩文件时添加用户身份校验信息么?(未注册版本不可用)
雪    币: 152
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hbwazxf 活跃值 2011-9-11 20:58
23
0
很经典的文章
雪    币: 47
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fyhmily 活跃值 2011-9-11 21:40
24
0
新手学习中...努力!!
雪    币: 229
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
cxthl 活跃值 2 2011-9-11 22:36
25
0
这么多人都不知道内情?纯支持研究技术,winrar根本不需要破解,一个key就搞定了......
雪    币: 78
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
ronging 活跃值 2011-9-11 22:59
26
0
good, 竟然还是静态的分析破解。
雪    币: 902
活跃值: 活跃值 (17)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
rrrfff 活跃值 2011-9-12 08:38
27
0
有现成破解版的都没人想动手
雪    币: 50
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yunone 活跃值 2011-9-12 08:40
28
0
不错很强大
雪    币: 78
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xuxinghu 活跃值 2011-9-12 09:03
29
0
谢谢楼主,学习下先,新人啊,
雪    币: 293
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yunsini 活跃值 2011-9-12 13:38
30
0
Thx。
Hiew乱码是字体的问题,网上有解决方案。
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
张金平 活跃值 2011-9-12 14:05
31
0
不错 值得学习
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fenfei 活跃值 2011-9-12 14:17
32
0
这个定要试试:)
雪    币: 248
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wkxq 活跃值 2011-9-12 22:09
33
0
一如既往的支持!
雪    币: 50
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
davidleeII 活跃值 2011-9-13 03:43
34
0
学习学习,多谢楼主了
雪    币: 32
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ifocke 活跃值 2011-9-13 06:37
35
0
教程如此详细不得不会,也不得不回帖
雪    币: 50
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kongfei 活跃值 2011-9-13 08:25
36
0
写的很详细,学习了
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
yarpee 活跃值 1 2011-9-13 10:28
37
0
感谢分享,写得很清晰啊
雪    币: 2121
活跃值: 活跃值 (97)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shuichon 活跃值 2011-9-13 10:38
38
0
不错,很详细。支持一下。
雪    币: 269
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Goly 活跃值 2011-9-13 19:11
39
0

OD两分钟搞定的事情
不过还是支持下楼主,很详细很认真
雪    币: 47
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
wxfengyun 活跃值 2011-9-13 21:09
40
0
回答一下:
1.rep文件是api 窥测器生成的,查看api是需要打开rep文件查看。
2. 关于交叉引用的定位,我也是试了很久的,大概来来回回快一个小时才试出来,自己比较菜,没法子,差点放弃。
雪    币: 15
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huangju 活跃值 2011-9-14 09:35
41
0
很不错啊,照着学习下
雪    币: 773
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hothot 活跃值 2011-9-15 10:02
42
0
我按楼主的方法试了一遍,我用kerberos找不到00498F27这个地址,用Hiew也打不开winrar.exe,这是为什么?
雪    币: 8
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NARUTOXLC 活跃值 2011-9-15 11:14
43
0
以前都是用破解好的,现在可以自己试试了
雪    币: 30
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
强者之路 活跃值 2011-9-15 11:18
44
0
这贴太好啦,值得学习!
雪    币: 56
活跃值: 活跃值 (64)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ttthhh 活跃值 2011-9-15 12:29
45
0
很详细。学习了!
雪    币: 31
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
失色raining 活跃值 2011-9-15 13:55
46
0
学习学习!
雪    币: 386
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ttgood 活跃值 2011-9-15 14:23
47
0
kerberos不稳定啊
有时候可以用
雪    币: 11
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xiaoyanilw 活跃值 2011-9-15 20:55
48
0
很好很强大,受教了
雪    币: 1
活跃值: 活跃值 (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
怪蜀黍 活跃值 2011-9-15 21:56
49
0
好文章  学习了
雪    币: 12
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
天地豪迈 活跃值 2011-9-15 22:37
50
0
这个 真得顶,多谢分享,新人学习下。
游客
登录 | 注册 方可回帖
返回