Board logo

标题: [原创文章] winrar自解压文件的变形 [打印本页]
作者: 柔肠寸断    时间: 2009-7-9 10:55     标题: winrar自解压文件的变形

原创作者:阿呆
' V, m, i; m0 T( e6 a) a首发自365实验室
3 I- j/ d; A8 m( ^' q/ S

特别强调,修改有风险请在修改前备份好你的资料!


, X. S/ [3 v; F3 W& [说明:4 k# M" ~4 _, [2 s) A" Y+ V' F5 S
  关于WINRAR自解压文件(以下简称“自解压文件”),我在这里就不想多做介绍了,有兴趣的朋友可以去google或者baidu搜索相关资料,我下面的教程是在各位都清楚自解压文件的情况下来讲解的。
+ I2 Q- }8 P+ }  e8 ]* _( @* e0 ^# ?
引言:
8 e6 J2 Y9 @. @  Z: ?& z  自解压文件给我们带来的一个瓶颈就是,你压缩完成了,生成了所谓的XXX自解压文件后,我们右键点击该文件,能够清楚的发现“用winrar打开”的选项,如下图:: F3 T# r% {; N. M- J5 h1 X$ `9 E


- W% f4 ?* c: i3 C  有经验的人,只要注意到了,基本上都知道使用这个选项来解压该自解压文件了。那么有没有办法能够解决上面的瓶颈呢?答案是有的,下面就听我慢慢道来! 2 E& i9 j9 t+ ^3 ^8 Z
9 W! y3 L/ v" V5 z% v7 F6 I
本文目标:
  f* i: y. h- ^8 O* q* ?# c  让右击时不显示“用winrar打开”的选项。
9 V+ Q) i8 l: z/ J) N& z  ?+ }  D步骤:
8 F9 p) |' I2 j8 e/ \) F; M  让右击时不显示“用winrar打开”的选项:8 g  V6 e" b8 Q3 u5 `5 w
所需工具:winhex、OllyDbg; @- h2 r3 z' a! h. o
首先,让我们用winhex打开我们的自解压文件,然后按热键ctrl+f搜索"Rar!",如下图:- I' L; T2 z: S: R

0 X' B' ?8 J7 @( I0 r
在这里我们将"Rar!"更改为"Ray!",然后记住前面对应的值,图中我们修改后的前面的数值是“52 61 79”,如下图:
# C5 r# U( T/ Y( `+ o


+ T/ m9 ~4 ]& L$ t8 D然后使用热键ctrl+s保存我们的修改,弹出的对话框点“是”就OK了!
' A9 x# B; G1 c7 {5 {0 k到这里,我们完成了第一小部分,下面使用OllyDbg打开我们刚刚修改并保存了的自解压文件,打开之后,在任意地方点击右键—搜索—所有常数,如下图:
# x( }. f) m1 U/ O" E

% x! a) O% D- x. L
在弹出的对话框中在“十六进制”里面填入我们刚刚记录的第一个数值——“52”,然后回车,如下图:
& A. n6 u/ ]" g# p2 A( M- D


+ k+ v- ~* z# j

% R5 S2 L" V5 f# r
双击进行查找,直到找到我下图中的内容:
' v# L0 ]0 L/ c( U2 Y


) d# r- [; e* q: `+ y怎么样?是不是很熟悉“52 61 72”我们在哪见过?回过头去看看我们的第2张图片,在没有更改"Rar!"为"Ray!"的时候,是不是这串数字就是"52 61 72"啊?更改了之后数值变成了"52 61 79",到了这里大家应该能够猜到下面我们要做的了,对没错,我们下面要做的,就是将这里的“72”,更改为“79”,然后保存就可以了。这里我是将修改该的图片省略了,修改的方法,双击要修改的地方,然后修改,完成后点【汇编】就可以了!保存的时候要注意的是,一定要选中刚刚修改该的一块地方,选择多少无所谓,反正是要选取,然后按照下图操作!$ l0 i- }: D$ j/ n$ O4 [

$ G0 w( j& t, Y# K; M1 ^
最后右键选择保存,然后命个名字就OK了,如下图:! p! D3 [9 _) ^3 f

8 h( A6 X# A) z- u- r
到这里,我们第一个目的就完成了,我们再去右键点击一下刚刚的自解压文件,怎么样是不是没有“用winrar打开”的选项了,不信你看看我的,如下图:8 M( }. ?# J+ f1 x; `( T9 i( q

/ r2 `. `# R- A8 H6 y

& U8 [# e( X9 y* o! ?$ @---------------------------------------------------------------------------------- 原创文章如转载,请注明:转载自365实验室 [ http://www.365lab.com.cn/ ]
7 y6 L7 i4 n% I1 \8 |9 i1 B$ r7 X5 W" }
本文链接地址:http://www.365lab.com.cn/post/78.html ----------------------------------------------------------------------------------
作者: huar    时间: 2009-7-9 11:03

记得这篇文章啊呆当时在编辑帖子的时候,我就看过了,可惜最后他把这个帖子移到内部讨论区去了。。1 u; A7 F  ?$ S" g4 o2 [: R( G
哎。。。之前俺没有那个权限````现在。。。嘿嘿````
作者: 流淚╮鮭鮭    时间: 2009-7-9 11:05

不错,哈哈。& R8 m! Y# s: h  n& o( O

0 C" G! i) E6 y/ W9 y7 d' A0 a  不过知道了的还可以还原的。



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2