探索杂志第十期

EBIGP	探索杂志	HJQDM

	知识共享资源共享资料共享

【制作成员】程式猎人

【发行时间】

【期刊号码】第十期

【网站地址】http://programhunter.home.china.com

【编辑寄语】

    
    {~._.~} 
     ( Y )  
    ()~*~() 
    (_)-(_)

今天这份杂志已经是第十期了，现在杂志的变化我想大家都看到了，在这里我也只能对杂志的界面说一下（至于内容还要大家来说），想当初第一期杂志今天再看一下发现她的确是比较差的，这里专门指界面了。现在我想杂志的界面已经比较以前的好多了。

【目 �� 录】

��&破解心得
	1……Noterpro V1.1	程式猎人
	2……键盘语音提示(InsTalk) V2.51版	程式猎人
	3……菜鸟破解录之 GIF Construction Set Pro及算法分析	xiA Qin

��%初学天地
��O问题答疑
��4网站介绍
��,杂志信箱

&【破解心得】

 Noterpro V1.1
                    程式猎人
简介：这个软件是一个小型的编辑软件，功能比note强大。
追踪：name:dahuilang
      RN:01234567
      在写这个教程前，我看到了看雪关于这个软件的整个计算过程，在他的文章中讲解的
非常清楚，如何得到的注册码大家想必一看就知道了。但是看雪没有写出来如何能够追踪到
计算的地方，我想对于初学者来说追踪到这里是非常关键的，而大家没有追踪出来的原因大
多数也就在此，所以我就将它从开始处直到追踪到计算过程处写出来，供大家学习。
    下bpx hmemcpy后你将被拦下。跳跃到主程序中，如下：
0040b1f7  call 0049a768
          lea edx [ebp-08]  <-出来
          xor eax eax
          ……
          ……
0040b214  call 0049a768
          lea edx [ebp-08]
          mov edx [edx]
          mov eax [004e9c80]
          pop eax
          call 00406bb0
          push eax      ****
          ……
          ……
0040b245  call 004dccc
          pop ecx
          test cl cl 
          jz 0040b38b
  现在我们就追踪到这里，你将首先从上面标记的地方出来，因为程序要读取两次，所以它
使用了call 0049a768两次的，程序读取完后下面的那个call就是关键的地方，我在这里向
大家解释一下为什么说call 00406bb0就是重要的地方。
  因为在下面0040b245处开始，如果程序在这里跳跃话，将出现错筇崾荆运嫡飧?
跃是一个相当关键的地方，那么ecx的值决定这个程序能够注册成功与否了。程序调用ecx是
使用出栈的方法得到ecx的，那么鸵丛谀抢锝涣耍鄄斐绦蚍⑾种挥?***处进入堆栈
，所以现在就知道call 00406bb0是一个重要的函数了。
   进入call 00406bb0中，如下：

00406e6b  mov edx [ebp-08]
          call notepro!@stratil@xordecord$qqrx17
          lea edx [ebp-2c]
          lea eax [ebp-14]
          call 004dcd9c
          push eax      ****
          ……
          ……
00406e92  call 004dcccc
          pop ecx
          test cl cl
          jz 00406e98
          mov byte [ebp-51] 01  ****
00406e98  dec dword [ebp-34]
          ……
          ……
00406eae  mov al [ebp-51] ***
          mov edx 02
          push eax  **
          leax eax [ebp-08]
          ……
          ……
00406ecd  call 004dcccc
          pop eax  *
          mov edx [ebp-50]
   现在开始介绍程序在这个call中如何得到的eax值的，因为出这个call后我们最关心的就
是eax值，那么就要注意这个值的变化。我先从后面看，这个eax就是程序返回的值，它从这
里得到的。
          pop eax   *
   那么在上面就有进入堆栈的地方
          push eax  **
    它又是mov al [ebp-51]从这得到的，再向上查找程序在这里使用mov byte [ebp-51] 0
1，这个是决定你注册成功的关键，那么上面正好有一个jz，这就应当找到了关键地方了。
但是在这里你不要进入
00406e92  call 004dcccc
   中，因为它不是最后的运行call，为什么？还是使用前面讲到的地方，因为程序使用的
是pop ecx来传值的，所以上面才是关键的地方。
          call 004dcd9c
          push eax   
  这里者关键的地方，那么如果你进入这里call中你会发现这里只是一个比较过程，它的两
个值一个是明码，另一个不是，其中名码就是通过你的name计算得到的，而不是明码的就是
通过你的注册码计算得到的。现在的关键是找到如何通过你的注册码计算得到这个比较码的
。那么在上面茫茫的代码中如何找呢？
   这里也有一个技巧，因为如果你进入call 00406bb0这里后，你会发现程序前面的计算入
口值都是name，也就是前面的计算都真对name的，而在这里你可以看到它的入口值是你输入
的RN
00406e6b  mov edx [ebp-08]   <-RN    *******
          call notepro!@stratil@xordecord$qqrx17
          lea edx [ebp-2c]
          lea eax [ebp-14]
 那么下面的那个call就是运行的关键了，进入后你就会发现它同看雪介绍的一样，你手中
一定要有一个XOR表，如果没有话，自己做一个就行了。下面就是看雪破解的计算过程。

程序名是：notepro  1.04 
下载：http://www.newhua.com.cn/down/notepro.zip 
我们看看这个程序的算法，这程序先跟据姓名如：toye，计算出一中间数m,这里m=40913271
26,然后将这m各位依次转换ASCII码，再依次与内部固定字串：67gjhab480klvn176 异或运
算，结果就是以两位十六进制表示，这就是注册码。 
如：设我们输入的姓名格式：a1 a2 a3 ...a(n) 
m分成三段，依次根据姓名计算。设m=m1+m2+m3 
m1=a1+a2+a3+--+a(n-1)+61  (全部数字是以十进制表示计算的） 
m2=（a1+a(n))*3D  (全部数字以十六进制计算，结果转换成十进制） 
m3=3D+3D+n  (全部数字以十六进制计算，结果转换成十进制） 

在这里：toye 
m=m1 m2 m3= 409  1327  126 =4091327126 

      m=4091327126 
展开：34 30 39 31 33 32 37 31 32 36  (将m转换成ASDCII码） 
XOR：36 37 67 6A 68 61 62 34 38 30  (固定字串67gjhab480klvn176以ASCII表示） 
—————————————————— 
          02 07 5e 5b 5b 53 51 03 09 02 5d 
因此：注册码就是：02075e5b5b53510309025d 

至此，注册机应不难写了。 

下面简单将破解过程的代码例出： 

用SOFTICE来破，用WF打开浮点开关。 

①计算m1部分 

ST0  111.                              ST4  empty 
ST1  empty                              ST5  empty  
ST2  empty                              ST6  empty  
ST3  empty                              ST7  empty  
0167:00406898  MOV      ESI,EBX 
0167:0040689A  PUSH      ESI 
0167:0040689B  LEA      EAX,[EBP-04] 
0167:0040689E  PUSH      EAX
0167:0040689F  CALL      004DBEDC  
0167:004068A4  ADD      ESP,08          
0167:004068A7  LEA      EAX,[EBP-04] 
0167:004068AA  CALL      004DC178    
0167:004068AF  ADD      ESI,[EBP-04]
0167:004068B2  DEC      ESI   
0167:004068B3  MOVSX    EDX,BYTE PTR [ESI]  //依次将姓名各个字符传给edx 
0167:004068B6  AND      EDX,7F     
0167:004068B9  MOV      [EBP-70],EDX 
0167:004068BC  FILD      DWORD PTR [EBP-70]    //将这个字符放进浮点寄存器ST0 
0167:004068BF  FADD      REAL8 PTR [EBP-5C]    //ebp-5c的初值为0 ，ST0与ebp-5c的
值相加
0167:004068C2  FSTP      REAL8 PTR [EBP-5C]      //将结果取出，放进ebp-5c  
0167:004068C5  INC      EBX                                                    
0167:004068C6  CMP      DWORD PTR [EBP-04],00  
0167:004068CA  JZ        004068D4   
0167:004068CC  MOV      ECX,[EBP-04]    
0167:004068CF  MOV      EAX,[ECX-04] 
0167:004068D2  JMP      004068D6 
0167:004068D4  XOR      EAX,EAX 
0167:004068D6  CMP      EBX,EAX    //依次循环n-1次，只有姓名的最后一字符没参加运
0167:004068D8  JL        00406898                                    (JUMP )  
0167:004068DA  FILD      DWORD PTR [EDI+000005C8]  //将定值 61（十进制）放进浮点
寄存器 ST1 
0167:004068E0  FADD      REAL8 PTR [EBP-5C]    //将61加上前n-1位的和。成为m1 
0167:004068E3  FSTP      REAL8 PTR [EBP-5C] 
0167:004068E6  PUSH      01                  
0167:004068E8  LEA      EDX,[EBP-04] 
0167:004068EB  PUSH      EDX 

②m2部分计算 
ST0  13237.                            ST4  empty   
ST1  empty                              ST5  empty 
ST2  empty                              ST6  empty 
ST3  empty                              ST7  empty
0167:00406929  ADD      EBX,[EBP-04]
0167:0040692C  DEC      EBX  
0167:0040692D  MOVSX    EDX,BYTE PTR [EBX] 
0167:00406930  AND      EDX,7F  
0167:00406933  POP      ECX     
0167:00406934  ADD      ECX,EDX      //ecx=是姓名第一字符，edx=姓名的第后一字符
0167:00406936  IMUL      ECX,[EDI+000005C8] //将上面的结果乘以十六进制数：3D. 成为m2
0167:0040693D  MOV      [EBP-70],ECX  
0167:00406940  FILD      DWORD PTR [EBP-70] 
0167:00406943  FSTP      REAL8 PTR [EBP-64] 
0167:00406946  CMP      DWORD PTR [EBP-04],00 
0167:0040694A  JZ        00406954 
0167:0040694C  MOV      EAX,[EBP-04] 
0167:0040694F  MOV      EDX,[EAX-04]  
0167:00406952  JMP      00406956 

③m3的计算 
0167:0040695C  ADD      EAX,EAX  //EAX的值是定值：3D（十六进制）
0167:0040695E  ADD      EDX,EAX  //EDX值是姓名的位数n  计算的结果就是m3 
0167:00406960  MOV      [EBP-70],EDX  
0167:00406963  FILD      DWORD PTR [EBP-70] 
0167:00406966  FSTP      REAL8 PTR [EBP-6C] 
0167:00406969  MOV      WORD PTR [EBP-40],0038 
0167:0040696F  FLD      REAL8 PTR [EBP-6C] 
0167:00406972  CALL      004D5094 
0167:00406977  PUSH      EDX  
④  
167:00406A4E  XOR      ECX,ECX 
0167:00406A50  MOV      [EBP-2C],ECX 
0167:00406A53  LEA      ECX,[EBP-2C]
0167:00406A56  INC      DWORD PTR [EBP-34]
0167:00406A59  MOV      EAX,[EDI+000005DC]
0167:00406A5F  MOV      EDX,[EBP-08]                                          
0167:00406A62  CALL      004354D8  //将输入的注册码与定值67gjhab480klvn176 异或
运算，以结果K表示 
0167:00406A67  LEA      EDX,[EBP-2C]
0167:00406A6A  LEA      EAX,[EBP-14] 
0167:00406A6D  CALL      004DC0F0  // 将结果k与M比较  
0167:00406A72  PUSH      EAX  //如相等EAX ＝1  ,将EAX入栈                     
0167:00406A73  DEC      DWORD PTR [EBP-34]
0167:00406A76  LEA      EAX,[EBP-2C] 
0167:00406A79  MOV      EDX,00000002
0167:00406A7E  CALL      004DC020                                      
0167:00406A83  POP      ECX //cl出栈，即将EAX的值传到cl  
0167:00406A84  TEST      CL,CL  //  如相等cl =1 
0167:00406A86  JZ        00406A8C   
0167:00406A88  MOV      BYTE PTR [EBP-51],01 
0167:00406A8C  DEC      DWORD PTR [EBP-34]

                         键盘语音提示(InsTalk) V2.51版
                                         程式猎人
简介：键盘语音提示(InsTalk) V2.51版是面向WIN95,WINNT的工具软件。利用它用户在使用
键盘输入数字和英文字符时，电脑附带的喇叭可以跟随录入的字符同步发出相应的语音提示
。用户可使用桌面上的声音软开关，随时开启和关闭声音。为了避免各种录入错误，语音提
示还有错键报警及回车键和小数点发声提示的功能。此外，使用软件的自动阅读功能可以把
选中的文字（中文、数字英文字母等）通过电脑的多媒体功能变成汉语发音朗读出来，以供
使用者欣赏或进行校对。本软件可在OFFICE97下正常运行，要求电脑配置声卡和外接喇叭。
追踪：我在2000-7-12安装这个软件后，提示已经过期，所以就破解掉这个软件的time bomb
。在这里使用TRW载入这个软件。
* Reference To: KERNEL32.GetModuleHandleA, Ord00FEh
                                  |
0040D7A6 FF155C324300            Call dword ptr [0043325C]
0040D7AC 50                      push eax
0040D7AD E805F40000              call 0041CBB7    <-出错
0040D7B2 8945A0                  mov dword ptr [ebp-60], eax
0040D7B5 50                      push eax
0040D7B6 E8050A0000              call 0040E1C0
0040D7BB EB21                    jmp 0040D7DE
  载入后，追踪它，发现程序将在上面的地方出错，进入。
0041CBB7 FF742410                push [esp+10]
0041CBBB FF742410                push [esp+10]
0041CBBF FF742410                push [esp+10]
0041CBC3 FF742410                push [esp+10]
0041CBC7 E898830000              call 00424F64
0041CBCC C21000                  ret 0010
 没有什么多说的，进入call 00424F64
00424F64 56                      push esi
00424F65 57                      push edi
00424F66 83CFFF                  or edi, FFFFFFFF
00424F69 E8DF7D0000              call 0042CD4D
00424F6E FF742418                push [esp+18]
00424F72 8B7004                  mov esi, dword ptr [eax+04]
00424F75 FF742418                push [esp+18]
00424F79 FF742418                push [esp+18]
00424F7D FF742418                push [esp+18]
00424F81 E8CB8E0000              call 0042DE51
00424F86 85C0                    test eax, eax
00424F88 7437                    je 00424FC1
00424F8A 8B06                    mov eax, dword ptr [esi]
00424F8C 8BCE                    mov ecx, esi
00424F8E FF908C000000            call dword ptr [eax+0000008C]
00424F94 85C0                    test eax, eax
00424F96 7429                    je 00424FC1
00424F98 8B06                    mov eax, dword ptr [esi]
00424F9A 8BCE                    mov ecx, esi
00424F9C FF5058                  call [eax+58]   <-出错
00424F9F 85C0                    test eax, eax
00424FA1 7515                    jne 00424FB8
00424FA3 8B4E1C                  mov ecx, dword ptr [esi+1C]
00424FA6 85C9                    test ecx, ecx
00424FA8 7405                    je 00424FAF
   在上面出错，因为通过经验和试验知道只有进入call中才能破解它。进入
0040306E 90                      nop
0040306F 90                      nop
00403070 64A100000000            mov eax, dword ptr fs:[00000000]

* Possible Reference to Dialog: DialogID_0081, CONTROL_ID00FF, ""
                                  |
00403076 6AFF                    push FFFFFFFF
00403078 684D104300              push 0043104D
0040307D 50                      push eax
0040307E 64892500000000          mov dword ptr fs:[00000000], esp
00403085 81EC40020000            sub esp, 00000240
0040308B 53                      push ebx
0040308C 56                      push esi
0040308D 57                      push edi
0040308E 8BD9                    mov ebx, ecx
00403090 6A00                    push 00000000
00403092 E8C8460000              call 0040775F
00403097 83C404                  add esp, 00000004
0040309A 8BCB                    mov ecx, ebx
0040309C E875A30200              call 0042D416

* Possible StringData Ref from Data Obj ->"InsTalk for ZRM"
                                  |
004030A1 68F4224400              push 004422F4
004030A6 6A00                    push 00000000

* Reference To: USER32.FindWindowA, Ord00CDh
                                  |
004030A8 FF157C354300            Call dword ptr [0043357C]
004030AE 85C0                    test eax, eax
004030B0 0F8547020000            jne 004032FD
004030B6 E885FFFFFF              call 00403040
004030BB 85C0                    test eax, eax
004030BD 7419                    je 004030D8
004030BF 6A30                    push 00000030
004030C1 68EC224400              push 004422EC
004030C6 6878224400              push 00442278
004030CB 6A00                    push 00000000

* Reference To: USER32.MessageBoxA, Ord:0195h
                                  |
004030CD FF1520354300            Call dword ptr [00433520]
004030D3 E925020000              jmp 004032FD

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|004030BD(C)
|

* Possible StringData Ref from Data Obj ->"Happy Studio"
                                  |
004030D8 6868224400              push 00442268
004030DD 8BCB                    mov ecx, ebx
004030DF E896A00200              call 0042D17A
  MessageBoxA这个函数想必大家一定比较熟悉了吧，它就是出现错误提示的函数。那么只
要避开它就可以了，现在上面正好有一个je，进入call 00403040
00403040 83EC10                  sub esp, 00000010
00403043 8D442400                lea eax, dword ptr [esp]
00403047 50                      push eax

* Reference To: KERNEL32.GetSystemTime, Ord:0135h
                                  |
00403048 FF1530324300            Call dword ptr [00433230]
0040304E 66817C2400CE07          cmp word ptr [esp], 07CE
00403055 7611                    jbe 00403068
00403057 66837C240202            cmp word ptr [esp+02], 0002
0040305D 7609                    jbe 00403068
0040305F B801000000              mov eax, 00000001
00403064 83C410                  add esp, 00000010
00403067 C3                      ret
   现在大家可以看到GetSystemTime这个函数了吧，它下面就有一个比较的地方，所以只要
在这里将jbe改为jmp就可以了。

                 ********************************
                 *      查找：00CE07761166837   *
                 *      替换：------EB-------   *
                 ********************************
 - 表示不用替换。


软件名称：  GIF Construction Set Pro 
软件版本：  2.0a(Ptach 20)  
软件大小：  4132KB  
软件授权：  共享软件  
使用平台：  Win95/98/NT  
发布公司：  http:www.mindworkshop.com/alchemy/gifcon.html 
软件简介：  
          快速、专业地创建为你的网页创建透明、交错和活动的GIF文件。动画向导可另
你在几分钟之内创建极具魅力的Web图形。

作    者：xiA Qin 
解密日前：2000年8月30日 
解密工具：Trw2000 1.22

说    明：这是我写的第一篇算法分析的破文，难免有错误存在，望各位大侠指点。

这个程序需要在安装时，就需要输入注册码和注册名。


输入注册信息： 
注册 码：11111-22-33333-44

注：为了方便说明，分为4段。 
    第1段为：11111 
    第2段为：22 
    第3段为：33333 
    第4段为：44

注册名：Chinese        #字符数必须大于5位数。

.............................. 
015F:00403163  PUSH    EAX 
015F:00403164  LEA      EDX,[EBP+FFFFFBF4] 
015F:0040316A  PUSH    EDX 
015F:0040316B  CALL    00424508 
015F:00403170  ADD      ESP,BYTE +08 
015F:00403173  LEA      ECX,[EBP+FFFFFBF4] 
015F:00403179  PUSH    ECX 
015F:0040317A  PUSH    DWORD 0042FCB6 
015F:0040317F  CALL    00424598 
015F:00403184  ADD      ESP,BYTE +08 
015F:00403187  MOV      DWORD [EBP-04],01 
015F:0040318E  PUSH    DWORD 0042FCB6 
015F:00403193  CALL    004245C8 
015F:00403198  POP      ECX 
015F:00403199  CMP      EAX,BYTE +11        又要检查注册码位数，17位。 
015F:0040319C  JZ      004031A3            不相等，就跳。 
015F:0040319E  XOR      EAX,EAX 
015F:004031A0  MOV      [EBP-04],EAX 
015F:004031A3  CMP      DWORD [EBP-04],BYTE +00 
015F:004031A7  JZ      00403203 
015F:004031A9  XOR      EDX,EDX 
015F:004031AB  MOV      [EBP-08],EDX 
015F:004031AE  MOV      ESI,EDX 
015F:004031B0  JMP      SHORT 004031D4 
015F:004031B2  XOR      EAX,EAX                  将eax清零。 
015F:004031B4  MOV      AL,[ESI+0042F8B4]        依次载入姓名字符。 
015F:004031BA  PUSH    EAX                      
015F:004031BB  CALL    00429FCC                  将大写A~Z转换为小写a~z。 
015F:004031C0  POP      ECX                      
015F:004031C1  MOV      EDX,ESI                
015F:004031C3  AND      EDX,BYTE +07              
015F:004031C6  XOR      ECX,ECX                  
015F:004031C8  MOV      CL,[EDX+0042E088]        
015F:004031CE  XOR      EAX,ECX                   把EAX和ECX做异或操作， 
015F:004031D0  ADD      [EBP-08],EAX              累加异或操作 [EBP-08]=[EBP-08]+EAX 
015F:004031D3  INC      ESI                      
015F:004031D4  CMP      BYTE [ESI+0042F8B4],00    取下个字符，等于00，就结束计算。 
015F:004031DB  JNZ      004031B2                  比较姓名字符是否计算结束 
015F:004031DD  MOV      EAX,[EBP-08]              将[EBP-08]的值移入寄存器eax中 
015F:004031E0  MOV      ECX,64                    将16进制的64移入寄存器ECX 
015F:004031E5  CDQ                                判断eax中的值是否大于80000000, 
015F:004031E6  IDIV    ECX                      用EAX与ECX求余. 
015F:004031E8  MOV      ESI,EDX                  余数从EDX移入ESI。

一、算法总结: 
1、这部分就是把你输入的注册名的每个字符都转成相应的Ascii码！

2、然后，与相对应80 40 20 10 08 04 02 01进行异或计算。再将计算后的值累加。 
然后注册名大于8位，就循环使用80 40 20 10 08 04 02 01。

3、直到注册名计算完毕的值A与64求余。得到B.这就是我们需要的是第2段注册码 
4、将B转换成十进制数就是注册码，这就是我们需要的是第2段注册码

计算公式： 
注:注册名的第一位用a1来代替，第二位用a2来代替，第三位用a3来代替......，以次类推。

(a1 xor 80)+(a2 xor 40)+(a3 xor 20)+(a4 xor 10)+(a5 xor 08)+(a6 xor 04)+(a7 xor 02) 
+(a8 xor 80)+(a9 xor 80)+(a10 xor 40)+(a10 xor 20)+(a11 xor 10)+(a12 xor 08).......=A

A IDIV 64=B

将B转换成十进制数就是注册码. 是第2段注册码。

二、举例说明：

我输入的注册名是chinese，它对应的Ascii如下。

字    符:  c  h  i  n  e s  e 
  Ascii: 63 68 69 6e 65 73 65  与80 40 20 10 08 04 02 进行异或计算

(63 xor 80)+(68 xor 40)+(69 xor 20)+(6e xor 10)+(65 xor 08)+(73 xor 04)+(65xor 02)= 
e3+28+49+7e+6d+77+67=31D

31D IDIV 64 =61

61转换成十进制为97。  <<--第2段注册码

015F:004031EA  TEST    ESI,ESI 
015F:004031EC  JNZ      004031EF 
015F:004031EE  INC      ESI 
015F:004031EF  PUSH    DWORD 0042FCBC 
015F:004031F4  CALL    0042A088 
015F:004031F9  POP      ECX 
015F:004031FA  CMP      ESI,EAX        比较注册码。 
015F:004031FC  JZ      00403203        不相等，就跳。
015F:004031FE  XOR      EAX,EAX 
015F:00403200  MOV      [EBP-04],EAX 
015F:00403203  CMP      DWORD [EBP-04],BYTE +00 
015F:00403207  JZ      NEAR 0040328E 
015F:0040320D  XOR      EDX,EDX 
015F:0040320F  MOV      [EBP-08],EDX 
015F:00403212  XOR      ESI,ESI 
015F:00403214  JMP      SHORT 0040322F 
015F:00403216  MOV      AL,[ESI+0042FCB6]    <<--|  11111 
015F:0040321C  MOV      EDX,ESI                  | 
015F:0040321E  AND      EDX,BYTE +07             | 
015F:00403221  XOR      AL,[EDX+0042E088]        | 
015F:00403227  XOR      ECX,ECX                  | 
015F:00403229  MOV      CL,AL                    | 
015F:0040322B  ADD      [EBP-08],ECX             | 
015F:0040322E  INC      ESI                      | 
015F:0040322F  CMP      BYTE [ESI+0042FCB6],00   | 
015F:00403236  JZ      0040323D                  | 
015F:00403238  CMP      ESI,BYTE +05             | 
015F:0040323B  JL      00403216              <<--| 
015F:0040323D  XOR      ESI,ESI 
015F:0040323F  JMP      SHORT 0040325A 
015F:00403241  MOV      AL,[ESI+0042FCBF]    <<--| 
015F:00403247  MOV      EDX,ESI                  | 33333 
015F:00403249  AND      EDX,BYTE +07             | 
015F:0040324C  XOR      AL,[EDX+0042E088]        | 
015F:00403252  XOR      ECX,ECX                  | 
015F:00403254  MOV      CL,AL                    | 
015F:00403256  ADD      [EBP-08],ECX             | 
015F:00403259  INC      ESI                      | 
015F:0040325A  CMP      BYTE [ESI+0042FCBF],00   | 
015F:00403261  JZ      00403268                  | 
015F:00403263  CMP      ESI,BYTE +05             | 
015F:00403266  JL      00403241              <<--| 
015F:00403268  MOV      EAX,[EBP-08] 
015F:0040326B  MOV      ECX,64          
015F:00403270  CDQ    
015F:00403271  IDIV    ECX 
015F:00403273  MOV      ESI,EDX

此处的计算方法基本相同，不同的地方是它是用注册码的第1段(11111)和第3段(33333)来计算。 
                                                    
一、算法总结: 
1、把你输入的注册码第1段(11111)的每个字符都转成相应的Ascii码！ 
2、然后，与相对应80 40 20 10 08 进行异或计算。再将计算后的值A累加。 
3、把你输入的注册码第3段(33333)的每个字符都转成相应的Ascii码！ 
4、然后，与相对应80 40 20 10 08 进行异或计算。再将计算后的值B累加。 
5、直到注册码计算完毕的值B与64求余。得到C.这就是我们需要的注册码C。 
6、将C转换成十进制数就是注册码，这就是我们需要的第4段注册码。

计算公式： 
注:注册码第1段(11111)的第一位用a1来代替，第二位用a2来代替，第三位用a3来代替.....
.，以次类推 
  注册码第3段(33333)的第一位用b1来代替，第二位用b2来代替，第三位用b3来代替......
，以次类推

(a1 xor 80)+(a2 xor 40)+(a3 xor 20)+(a4 xor 10)+(a5 xor 08)=A

A+(b1 xor 80)+(b2 xor 40)+(b3 xor 20)+(b4 xor 10)+(b5 xor 08)=B

B IDIV 64=C

将C转换成十进制数就是注册码.

二、举例说明： 
我输入的注册码第1段是11111、第2段33333。

(31 xor 80)+(31 xor 40)+(31 xor 20)+(31 xor 10)+(31 xor 08)=B1+71+11+21+39=18D

18D+(33 xor 80)+(33 xor 40)+(33 xor 20)+(33 xor 10)+(33 xor 08)=18D+B3+73+13+23+3B=324

324 IDIV 64=04


04转换成十进制为04。<<--第4段注册码。


015F:00403275  TEST    ESI,ESI 
015F:00403277  JNZ      0040327A 
015F:00403279  INC      ESI 
015F:0040327A  PUSH    DWORD 0042FCC5 
015F:0040327F  CALL    0042A088 
015F:00403284  POP      ECX 
015F:00403285  CMP      ESI,EAX               ? eax 44  是输入的注册码. 
015F:00403287  JZ      0040328E                ? esi 04    正确的注册码. 
015F:00403289  XOR      EAX,EAX 
015F:0040328B  MOV      [EBP-04],EAX 
015F:0040328E  CMP      DWORD [EBP-04],BYTE +00 
015F:00403292  JNZ      004032A6 
015F:00403294  PUSH    DWORD 00430FCC 
015F:00403299  PUSH    EBX 
015F:0040329A  CALL    004038FD              密码失败对话框 
015F:0040329F  ADD      ESP,BYTE +08 
015F:004032A2  XOR      EAX,EAX 
015F:004032A4  JMP      SHORT 00403310 
.........................


通过以上分析可以知道，这个程序是用注册册名计算第2段注册吗。用第1段和第3段来计算
第4段注册码。

也就是说，注册码第2段，同注册名有关。 
          注册码第4段，同注册码第1段和第3段有关。

整理一下：

注册码：11111-97-33333-04 
注册名：Chinese

罗罗嗦嗦讲了一大堆，希望大家能够明白我的意思!

%【初学天地】

                    解密教程八

                         程式猎人
   又到了我们解密初学者天地的时间了，我也不知道大家对这个解密理解的如何，我也只
能论据自己的解密经验介绍给大家了。
    前天收到一位网友的来信说，让我在解密教程中介绍一下汇编语言。当然对于汇编语言
来说，是解密者必需掌握的，如果你想成为一个解密者，你连汇编都不会，你还想学习解密
，那是不可能的。那么大家如何来学习汇编呢？我想对于初学者来说，想要完全掌握汇编得
花青海省时间来学习它，毕竟汇编是一个比较难的编程语言。我在这里想向你们初学者说一
个问题，无论你是初学者者还是高手来说，自己必备的书至少就是汇编书了。其它的东西你
可以到网上学习，但是这个汇编书一定要人手一本，它无论如何都最为基本的东西。
   那么对于我们解密者来说，汇编要掌握到什么水平呢？我告诉大家当然是越多超好，可
是对于想几天看到成绩的人来说，学习下面的东西就可以让你对负一下了。
    MOV AA,BB    将 BB 放到 AA 里
    CALL         调用子程序 (相当于 BASIC 的 GOSUB)
    RET 与 RETF  返回程序   (相当于 BASIC 的 RETURN)
    CMP XX,YY    比较 XX 与 YY
    JZ           若相等则转移
    JNZ          若不相等则转移
    JB           若小于则转移
    JG           若大于则转移
    JMP          无条件转移
    J???         (各种转移指令)
    LOOP         循环
    INT XX       类似 CALL 的中断涵数
　　PUSH 推入栈（STACK）ESP：PUSH AX 
　　POP 出栈ESP：POP CX 
　　XCHG 交换ESP：XCHG AX，BX 
　　IN、OUT 与PORT有关的IN/OUT 
　　XLAT 查表 
　　LEA 段内偏移量。ESP：LEA AX，AREA1=MOV AX，OFFSET AREA1 
　　LAHF、SAHF与棋标有关的寄存器 AH 
　　PUSHF、POPF将棋标入/出栈 
　　ADD ESP ADD AX，CX （AX=AX+CX） 
　　ADC 加入棋标C的ADD 
　　INC ESP INC AX（AX=AX+1） 
　　AAA 加法校正 
　　SUB、SBB 减法 
　　DEC ESP： DEC AX（AX=AX-1） 
　　NEG 去补， 
　　MUL、IMUL 乘 
　　DIV、IDIV 除 
　　SHR、SAR、SHL 算术、逻辑位移R=RIGHT L=LEFT 
　　OR、XOR、AND 逻辑运算 ESP ：XOR AX，AX（AX=0） 
直接标志转移

指令格式  机器码  测试条件  如...则转移 　
　 JC      72      C=1        有进位 
   JNS     79      S=0        正号 
   JNC     73      C=0        无进位 
   JO      70      O=1        有溢出 
   JZ/JE   74      Z=1        零/等于
   JNO     71      O=0        无溢出 
   JNZ/JNE 75      Z=0        不为零/不等于
   JP/JPE  7A      P=1        奇偶位为偶 
   JS      78      S=1        负号
   JNP/IPO 7B      P=0        奇偶位为奇

间接标志转移

指令格式                机器码         测试格式            如...则转移 
JA/JNBE(比较无符号数)   77             C或Z=0 > 　         高于/不低于或等于 
JAE/JNB(比较无符号数)   73             C=0 >=　            高于或等于/不低于 
JB/JNAE(比较无符号数)   72             C=1 <       　      低于/不高于或等于 
JBE/JNA(比较无符号数)   76             C或Z=1 <=  　       低于或等于/不高于 
JG/JNLE(比较带符号数)   7F             (S异或O）或Z=0 >  　大于/不小于或等于 
JGE/JNL(比较带符号数)   7D             S异或O=0 >=　       大于或等于/不小于 
JL/JNGE(比较带符号数)   7C             S异或O=1 < 　       小于/不大于或等于 
JLE/JNG(比较带符号数)   7E             (S异或O)或Z=1 <=　  小于或等于/不大于

无条件转移指令JMP

指令格式                   执行操作               机器码     说明 
段内直接短转移Jmp short    (IP)←(IP)+8位位移量   EB         转移范围-128到+127字节 
段内直接近转移Jmp near     (IP)←(IP)+16位位移量  E9         转移到段内的任一位置 
段内间接转移Jmp word       (IP)←(有效地址EA)     FF
段间直接(远)转移Jmp far    (IP)←(偏移地址)
                           (CS)←(段地址)         EA 
段间间接转移 Jmp           dword (IP)←(EA)
                           (CS)←(EA+2)
 综合使用汇编来进行比较的组合：
1
     mov  eax [      ]  这里可以是地址，也可以是其它寄存器
     mov  edx [      ]  同上  通常这两个地址就储存着重要信息
     call 00??????
     test eax eax
     jz(jnz)
2
     mov  eax [      ]  这里可以是地址，也可以是其它寄存器
     mov  edx [      ]  同上  通常这两个地址就储存着重要信息
     call 00??????
     jne(je)
 3
   mov eax [   ]
   mov edx [   ]
   cmp eax,edx
   jnz(jz)
或者
begin  mov al [   ]
       mov cl [   ]
       cmp al,cl
       jnz(jz)
       mov al [  +1]
       mov cl [  +1]
       cmp al,cl
       jnz(jz)
       cmp eax ecx (eax为计数器）
       jnl begin
       mov al 01
4
     lea edi [    ]
     lea esi [    ]
     repz cmpsd
     jz(jnz)
5
     mov  eax [      ]  这里可以是地址，也可以是其它寄存器
     mov  edx [      ]  同上  通常这两个地址就储存着重要信息
     call 00??????
     setz (setnz) al (bl,cl…)
6
     mov  eax [      ]  这里可以是地址，也可以是其它寄存器
     mov  edx [      ]  同上  通常这两个地址就储存着重要信息
     call 00??????
     test eax eax
     setz (setnz) bl,cl…
7
     call 00??????  ***
     push eax (ebx,ecx…)
     ……
     ……
     call 00??????
     pop eax (ebx,ecx…)
     test eax eax 
     jz(jnz)
     这个形式比较特别，它的关键比较地方中在第二call中，而是在第一call中，大家一
看就知道了。
  说到这里我想其它就是你们事情了，就是努力学习了。
  再见了

O【问题答疑】

4【网站介绍】

八爪鱼网站：http://fwd.yeah.net 或http://www.8bn.com/fwd/

今天向大家介绍的是这个出名的八爪鱼网站，这个网站的栏目如下：

国产软件注册码国外软件破解文献破解工具股票软件杀毒软件杂志破解口令破解网页赚钱友情链接论坛室

大家看到了吧，它是一个相当好的破解网站，光从它的栏目中就可以看到这个网站向大家提供了很多的服务，如果你……，我想大家在解密方面尤其是在注册码方面他可是一个比较好的地方，如果大家想要查找一个注册码的话，在其它地方查找不到的，你最后来这里试一试，我想你会满意而归的。

,【杂志信箱】

投稿信箱：discoveredit@china.com

答疑信箱：discoveranswer@china.com

斑竹信箱：programhunter@china.com