【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] winrar自解压文件的变形 [打印本页]

作者: 柔肠寸断 时间: 2009-7-9 10:55 标题: winrar自解压文件的变形

原创作者：阿呆" a! O- C9 ~- P7 m' M: l. L
首发自365实验室 - M" l( B3 W) F

特别强调，修改有风险请在修改前备份好你的资料！

说明：3 q+ \0 \% i3 Y; f
　　关于WINRAR自解压文件（以下简称“自解压文件”），我在这里就不想多做介绍了，有兴趣的朋友可以去google或者baidu搜索相关资料，我下面的教程是在各位都清楚自解压文件的情况下来讲解的。
& }+ N4 N9 g" \9 k/ n& M
引言：
　　自解压文件给我们带来的一个瓶颈就是，你压缩完成了，生成了所谓的XXX自解压文件后，我们右键点击该文件，能够清楚的发现“用winrar打开”的选项，如下图：; j/ x! q2 G1 {% {4 o

　　有经验的人，只要注意到了，基本上都知道使用这个选项来解压该自解压文件了。那么有没有办法能够解决上面的瓶颈呢？答案是有的，下面就听我慢慢道来！

本文目标：
　　让右击时不显示“用winrar打开”的选项。* L. Z& \% q- [
步骤： : b8 U( e9 v! m0 j6 o% c
　　让右击时不显示“用winrar打开”的选项：
所需工具：winhex、OllyDbg/ n1 w& {5 {" {
首先，让我们用winhex打开我们的自解压文件，然后按热键ctrl+f搜索"Rar!"，如下图：8 p% Q4 ^1 d9 ^

在这里我们将"Rar!"更改为"Ray!"，然后记住前面对应的值，图中我们修改后的前面的数值是“52 61 79”，如下图：# f' m8 C% Z- ~6 v1 o

然后使用热键ctrl+s保存我们的修改，弹出的对话框点“是”就OK了！ * T. N/ s+ e2 _* q2 j$ q
到这里，我们完成了第一小部分，下面使用OllyDbg打开我们刚刚修改并保存了的自解压文件，打开之后，在任意地方点击右键—搜索—所有常数，如下图：

, y8 R! s5 I) A+ x: @' U$ r
在弹出的对话框中在“十六进制”里面填入我们刚刚记录的第一个数值——“52”，然后回车，如下图：

0 J% t6 ]* ]' Y
双击进行查找，直到找到我下图中的内容：! b) U$ H6 z: r$ C

, o. h: ~$ K4 }' s6 {
怎么样？是不是很熟悉“52 61 72”我们在哪见过？回过头去看看我们的第2张图片，在没有更改"Rar!"为"Ray!"的时候，是不是这串数字就是"52 61 72"啊？更改了之后数值变成了"52 61 79"，到了这里大家应该能够猜到下面我们要做的了，对没错，我们下面要做的，就是将这里的“72”，更改为“79”，然后保存就可以了。这里我是将修改该的图片省略了，修改的方法，双击要修改的地方，然后修改，完成后点【汇编】就可以了！保存的时候要注意的是，一定要选中刚刚修改该的一块地方，选择多少无所谓，反正是要选取，然后按照下图操作！

# h2 X2 k2 E, X0 V
最后右键选择保存，然后命个名字就OK了，如下图：

到这里，我们第一个目的就完成了，我们再去右键点击一下刚刚的自解压文件，怎么样是不是没有“用winrar打开”的选项了，不信你看看我的，如下图：

3 a3 {5 j9 D* c
0 T6 J y1 v9 @) ?% X
---------------------------------------------------------------------------------- 原创文章如转载，请注明：转载自365实验室 [ http://www.365lab.com.cn/ ] 5 g' L: ]- q% u' w4 H& ~- U

本文链接地址：http://www.365lab.com.cn/post/78.html ----------------------------------------------------------------------------------

作者: huar 时间: 2009-7-9 11:03

记得这篇文章啊呆当时在编辑帖子的时候，我就看过了，可惜最后他把这个帖子移到内部讨论区去了。。
哎。。。之前俺没有那个权限````现在。。。嘿嘿````

作者: 流淚╮鮭鮭 时间: 2009-7-9 11:05

不错，哈哈。" b/ A: m2 b% y

不过知道了的还可以还原的。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)