Board logo

标题: [原创文章] winrar自解压文件的变形 [打印本页]
作者: 柔肠寸断    时间: 2009-7-9 10:55     标题: winrar自解压文件的变形

原创作者:阿呆4 l$ Z6 [# X3 o( K, ^
首发自365实验室 / _5 I; S2 U. e2 L

特别强调,修改有风险请在修改前备份好你的资料!


$ `5 Q% {3 J3 X+ A8 E2 ?说明:; x0 `% C; J. D7 Q$ r2 f3 q
  关于WINRAR自解压文件(以下简称“自解压文件”),我在这里就不想多做介绍了,有兴趣的朋友可以去google或者baidu搜索相关资料,我下面的教程是在各位都清楚自解压文件的情况下来讲解的。/ x7 V2 m% ]+ E' U. H; ^* s, x
3 a' E# o6 C, a! l+ o) @
引言:+ e# E/ B4 }# D3 W4 |. d6 W0 r
  自解压文件给我们带来的一个瓶颈就是,你压缩完成了,生成了所谓的XXX自解压文件后,我们右键点击该文件,能够清楚的发现“用winrar打开”的选项,如下图:$ x0 `3 }  {: H

' ?9 X! W, {. H, A
  有经验的人,只要注意到了,基本上都知道使用这个选项来解压该自解压文件了。那么有没有办法能够解决上面的瓶颈呢?答案是有的,下面就听我慢慢道来!
6 k1 O% J  m- n
9 j0 D( m7 ]' D- k- Y本文目标:+ {0 t- K' p' _7 T4 [0 q
  让右击时不显示“用winrar打开”的选项。& C- i4 e5 @; j6 I( H
步骤: * Q% v9 x" E( n, b2 H- n, m5 _
  让右击时不显示“用winrar打开”的选项:
* u+ C( N% `6 C: N( e+ A6 c所需工具:winhex、OllyDbg$ p0 e' l/ m' F5 X& \
首先,让我们用winhex打开我们的自解压文件,然后按热键ctrl+f搜索"Rar!",如下图:
- }  F* I2 D$ B) p


0 z4 H; P# Q$ f+ S8 u' j9 u在这里我们将"Rar!"更改为"Ray!",然后记住前面对应的值,图中我们修改后的前面的数值是“52 61 79”,如下图:6 ^+ V8 I$ x2 a( M

) W# I  n3 y7 \
然后使用热键ctrl+s保存我们的修改,弹出的对话框点“是”就OK了! 9 G9 Z- o) C. M, ?: I$ l
到这里,我们完成了第一小部分,下面使用OllyDbg打开我们刚刚修改并保存了的自解压文件,打开之后,在任意地方点击右键—搜索—所有常数,如下图:
2 \0 K' t6 m/ P  n4 n


  F& c+ O1 W3 z6 ]: X- w' p% t在弹出的对话框中在“十六进制”里面填入我们刚刚记录的第一个数值——“52”,然后回车,如下图:
  Z9 v6 E" [2 P9 {

# G* c" U  E7 L


3 C) f7 o+ G, @1 m9 ?双击进行查找,直到找到我下图中的内容:! C0 A8 c! }: q* k9 q


1 [  `7 i8 Z3 k! G# m; f8 r怎么样?是不是很熟悉“52 61 72”我们在哪见过?回过头去看看我们的第2张图片,在没有更改"Rar!"为"Ray!"的时候,是不是这串数字就是"52 61 72"啊?更改了之后数值变成了"52 61 79",到了这里大家应该能够猜到下面我们要做的了,对没错,我们下面要做的,就是将这里的“72”,更改为“79”,然后保存就可以了。这里我是将修改该的图片省略了,修改的方法,双击要修改的地方,然后修改,完成后点【汇编】就可以了!保存的时候要注意的是,一定要选中刚刚修改该的一块地方,选择多少无所谓,反正是要选取,然后按照下图操作!% E# I6 O8 x) Y2 h. O

* W7 H' C& h9 |/ t0 J, A: {" w  c
最后右键选择保存,然后命个名字就OK了,如下图:
( D( E" e1 D3 P# }

$ y2 ]0 k% j2 A+ y
到这里,我们第一个目的就完成了,我们再去右键点击一下刚刚的自解压文件,怎么样是不是没有“用winrar打开”的选项了,不信你看看我的,如下图:8 x. H( L1 J; E& }0 D4 N8 h4 X

: x4 O$ x' y& [
( `. U' Z7 }: m
---------------------------------------------------------------------------------- 原创文章如转载,请注明:转载自365实验室 [ http://www.365lab.com.cn/ ] 7 ~/ C0 `2 a( Q0 T
  M7 [) O5 y8 M4 O8 E/ p
本文链接地址:http://www.365lab.com.cn/post/78.html ----------------------------------------------------------------------------------
作者: huar    时间: 2009-7-9 11:03

记得这篇文章啊呆当时在编辑帖子的时候,我就看过了,可惜最后他把这个帖子移到内部讨论区去了。。
+ w6 C' d$ N% J( ]1 I) @哎。。。之前俺没有那个权限````现在。。。嘿嘿````
作者: 流淚╮鮭鮭    时间: 2009-7-9 11:05

不错,哈哈。
+ l+ Y; H( I4 T2 q: M# d2 G2 y! a
  不过知道了的还可以还原的。



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2