抓了一下WinRAR广告弹窗过程，这下舒服了！

大家好，我是轩辕。

WinRAR大家都用过吧，一款非常流行的压缩软件。

这软件好是好，但有一点让人不爽，就是每次打开它都要给我弹个广告窗口，非常的烦人。

（kimi：打钱！）

你要是每天弹一下，或者不定期弹几下，我还能忍受，每一次都弹广告，这简直没法忍。

刚好最近在带着大家学习逆向，本着学以致用的精神，今天就教大家如何把这个广告弹窗给去掉。

网上有很多去除的方法，但都是告诉你怎么做，却很少告诉大家原理。今天带着大家来看看针对这种广告弹窗问题该怎么处理，以后大家遇到其他软件弹窗，也可以迁移过去。

首先祭出一个工具spy++，这个工具可以用来查看Windows操作系统上所有程序的窗口信息，通过这个工具可以定位到这个广告窗口：

可以看到这个窗口的类名是RarReminder。

接下来我们去除广告弹窗的思路就来了：定位到Winrar程序中，具体是哪个位置在弹出这个窗口，然后将那里的逻辑给去除掉。

接下来上另一个神器：APImonitor，顾名思义，这个工具可以监控指定进程的API调用。

（PS：这个工具是通过HOOK来实现对相关API函数的调用监控的）

在Windows操作系统上，窗口的创建是通过一个叫CreateWindow系列的Win32 API进行的。我们把相关的函数勾选上，表示要监控这些函数的调用。接下来通过这个工具来启动WinRAR程序。

WinRAR进程所有创建窗口的行为都会被这个工具给记录下来了：

很容易可以找到上面那个广告窗口RarReminder的创建记录。

在下面的调用堆栈面板中，可以找到具体调用CreateWindow函数的地方，偏移量是0xaa56d。

接下来请出第三个工具，逆向分析神器IDA来看一看WinRAR.exe这个可执行程序中，在偏移0xaa56d的位置，上面那个创建广告窗口的地方。

好了，位置找到了，要去掉这个弹窗就很简单了，直接把这个函数的调用指令给去掉。

怎么去掉呢？

在x86平台上，调用函数是一条call指令，直接把这条call指令对应的16进制CPU机器码换成nop指令对应的0x90就可以了。

这是这条call指令原来的机器码（蓝色选中部分）：

替换后：

好了，现在保存WinRAR.exe文件，再次打开压缩包文件，广告弹窗没了！

非常好用的一个小技巧，大家如果有其他软件也有烦人的弹窗，也可以试试这招哦~