Board logo

标题: [原创文章] winrar自解压文件的变形 [打印本页]
作者: 柔肠寸断    时间: 2009-7-9 10:55     标题: winrar自解压文件的变形

原创作者:阿呆
2 N% h/ V' b9 c" [9 L- {: y: R$ I  g) ]首发自365实验室 1 X" a8 ?' E& k" |: h0 e* X

特别强调,修改有风险请在修改前备份好你的资料!

7 I8 V  p2 y+ i4 Q/ i% c5 k
说明:2 r2 ^7 @6 [" \3 O; N
  关于WINRAR自解压文件(以下简称“自解压文件”),我在这里就不想多做介绍了,有兴趣的朋友可以去google或者baidu搜索相关资料,我下面的教程是在各位都清楚自解压文件的情况下来讲解的。
2 ^5 u7 T, P  G; c& p: j* D# I3 k, ?1 L1 r4 c! {
引言:6 Q4 [  N6 m& ]6 ^3 Z
  自解压文件给我们带来的一个瓶颈就是,你压缩完成了,生成了所谓的XXX自解压文件后,我们右键点击该文件,能够清楚的发现“用winrar打开”的选项,如下图:- b0 J9 l+ u7 P4 q" _. g


; X8 h$ ?( S/ L( t) {, q  有经验的人,只要注意到了,基本上都知道使用这个选项来解压该自解压文件了。那么有没有办法能够解决上面的瓶颈呢?答案是有的,下面就听我慢慢道来!
% H& y  ^* R/ V4 `$ o4 X8 F$ M7 p( X7 Z2 P7 n9 K6 g
本文目标:# P7 `! {$ ]: s" x" r, B$ T  |# G
  让右击时不显示“用winrar打开”的选项。4 i* }7 @3 C- O: q: @6 z
步骤: ' ?9 c+ T7 @5 u, P" V' d
  让右击时不显示“用winrar打开”的选项:) y6 ~/ i2 j8 c9 }& v
所需工具:winhex、OllyDbg; N) F2 R0 B9 m4 b
首先,让我们用winhex打开我们的自解压文件,然后按热键ctrl+f搜索"Rar!",如下图:
% }7 l8 G% J: b) Z+ R6 z


6 R+ }( I; z1 y8 t. m3 T- k在这里我们将"Rar!"更改为"Ray!",然后记住前面对应的值,图中我们修改后的前面的数值是“52 61 79”,如下图:
  G: ~% T( y% Q& L/ x

5 `1 M, d8 \& U' ?+ o6 ?( S
然后使用热键ctrl+s保存我们的修改,弹出的对话框点“是”就OK了! + @2 E0 _( H" \8 C; N3 Q( z$ F
到这里,我们完成了第一小部分,下面使用OllyDbg打开我们刚刚修改并保存了的自解压文件,打开之后,在任意地方点击右键—搜索—所有常数,如下图:9 e: Y) j/ W9 o' g9 _; ?

( w) L; f3 L( q, ?% \
在弹出的对话框中在“十六进制”里面填入我们刚刚记录的第一个数值——“52”,然后回车,如下图:
" ]0 X% H3 A6 q0 Y1 u


3 F- Y. |' _( i


3 i7 C0 \: U' Z- Z9 A双击进行查找,直到找到我下图中的内容:3 @. \, A  o: t5 T9 X& M


+ f5 I( q; g6 q; e/ I怎么样?是不是很熟悉“52 61 72”我们在哪见过?回过头去看看我们的第2张图片,在没有更改"Rar!"为"Ray!"的时候,是不是这串数字就是"52 61 72"啊?更改了之后数值变成了"52 61 79",到了这里大家应该能够猜到下面我们要做的了,对没错,我们下面要做的,就是将这里的“72”,更改为“79”,然后保存就可以了。这里我是将修改该的图片省略了,修改的方法,双击要修改的地方,然后修改,完成后点【汇编】就可以了!保存的时候要注意的是,一定要选中刚刚修改该的一块地方,选择多少无所谓,反正是要选取,然后按照下图操作!
4 r3 K8 F9 ?3 {5 o# l: `


- G6 }* F+ Y6 j& ^4 Y+ X9 N  r最后右键选择保存,然后命个名字就OK了,如下图:: O( Q$ w/ q* N' }6 o4 a


& ~. o0 V: }. w5 C到这里,我们第一个目的就完成了,我们再去右键点击一下刚刚的自解压文件,怎么样是不是没有“用winrar打开”的选项了,不信你看看我的,如下图:
( `1 l' J, Y* p7 i+ M


, v! H& j0 s3 W( |2 a- S0 {, @$ e* o7 I
---------------------------------------------------------------------------------- 原创文章如转载,请注明:转载自365实验室 [ http://www.365lab.com.cn/ ] , X2 Y8 V7 u; U% {5 y+ i& M
9 y- o0 K! M. _; T
本文链接地址:http://www.365lab.com.cn/post/78.html ----------------------------------------------------------------------------------
作者: huar    时间: 2009-7-9 11:03

记得这篇文章啊呆当时在编辑帖子的时候,我就看过了,可惜最后他把这个帖子移到内部讨论区去了。。
4 o5 |, V8 o7 a- H* }0 X! _; H哎。。。之前俺没有那个权限````现在。。。嘿嘿````
作者: 流淚╮鮭鮭    时间: 2009-7-9 11:05

不错,哈哈。6 V: ^5 O8 e% g3 E3 O1 i, [4 w
5 \4 A* s6 Z) q# ?' h' @4 f
  不过知道了的还可以还原的。



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2