探索杂志第十一期

EBPIG	探索杂志	MHJDQ

	知识共享资源共享资料共享

【制作成员】程式猎人

【发行时间】2000-9-9

【期刊号码】第十一期

【网站地址】http://programhunter.home.china.com

【编辑寄语】

    
    {~._.~} 
     ( Y )  
    ()~*~() 
    (_)-(_)

�这期杂志向大家介绍一个由斑竹本人破解的一个软件。这个软件的破解还是费了不少时间，它的难度可以定在难级吧。我想对于破解的研究会有一定的帮助。在今天的初学天地栏目中向初学者继续介绍破解方法及汇编组合语句。在网站介绍中今天要向各位介绍的是脱轨破解网站。

【目 �� 录】

��&破解心得
	1……AdBin V1.2	程式猎人

��%初学天地
��O问题答疑
��4网站介绍
��,杂志信箱

&【破解心得】

                           AdBin V1.2
                                    程式猎人
简介：这个是一个上网加速的软件，它可以将你访问的网站时，可以将广告进行屏障掉，所
以这样就可以增加的上网速度。
追踪：RN：01234567
   对于追踪这个软件，可是花了我几天的时间才将它追踪出来。在前几天，没有将它追踪 
出来，因为这个软件在破解过程中的确有一定的难度，所以那几天没有将它追踪出来。
但是昨天我又将它拿出来进行破解，因为我昨天有一种不死不归的感觉。终于将这个软件给
破解出来了，那么现在再想一下，这个软件如果要定位的话，它应当属于中上水平。现在就
来向大家介绍如何在前几天没有将它追踪出来的情况。


:00402676 E8D6080000              call 00402F51
:0040267B A180564100              mov eax, dword ptr [00415680]
:00402680 53                      push ebx

* Possible StringData Ref from Code Obj ->"VWhxVA"
                                  |
:00402681 6852734000              push 00407352
:00402686 57                      push edi

* Possible Reference to Dialog: DialogID_006C 
                                  |
:00402687 6A6C                    push 0000006C
:00402689 50                      push eax
:0040268A E883F1FFFF              call 00401812
:0040268F 83F801                  cmp eax, 00000001
:00402692 0F85A8000000            jne 00402740
:00402698 8D45A4                  lea eax, dword ptr [ebp-5C]
:0040269B 50                      push eax
:0040269C E8DF870000              call 0040AE80
:004026A1 83F80A                  cmp eax, 0000000A   ****
:004026A4 59                      pop ecx
:004026A5 7225                    jb 004026CC
:004026A7 8D45A4                  lea eax, dword ptr [ebp-5C]
:004026AA 50                      push eax
:004026AB E8D0870000              call 0040AE80
:004026B0 83F814                  cmp eax, 00000014   ***
:004026B3 59                      pop ecx
:004026B4 7716                    ja 004026CC
:004026B6 8D45A4                  lea eax, dword ptr [ebp-5C]
:004026B9 50                      push eax

* Reference To: ABKernel.SetLic, Ord:001Dh
                                  |
:004026BA FF1500104100            Call dword ptr [00411000]
:004026C0 6A01                    push 00000001

* Reference To: ABKernel.SetEnabled, Ord:001Ch
                                  |
:004026C2 FF151C104100            Call dword ptr [0041101C]
:004026C8 59                      pop ecx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004025D4(U)
|
:004026C9 59                      pop ecx
:004026CA EB74                    jmp 00402740

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004026A5(C), :004026B4(C)
|
:004026CC 53                      push ebx

* Possible StringData Ref from Data Obj ->"Adbin"
                                  |
:004026CD 6890414100              push 00414190

* Possible StringData Ref from Data Obj ->"The licence code you entered has "
                                        ->"been generated illegally."
                                  |
:004026D2 6870424100              push 00414270
:004026D7 FFD6                    call esi
  现在我们当然是首先按正常的破解过程来破解它，这个软件在我刚刚破解时就发现了它是
一个比较特殊的注册过程。在上面就是这个软件的输入注册码后所进行的工作。在这里我们
将能得到什么呢？如果按照正常的注册比较过程的话，它在上面应当有比较的地方，但是在
这里我们将无法得到比较的地方，仅能得到的是比较你所输入注册码的位数值，在这里我们
可以轻松的得到这个软件所要求的位数，输入的注册码一定要满足A(H)<=RN<=14(H)，如果
你没有满足上面的要求，程序会提示你输入的注册码不正确。我现在输入的RN：0123456789
后，程序没有出现提示了。但是我追踪后发现在这里它也仅仅是比较位数，没有进行注册码
的比较。那么这个软件就成了在开始时比较注册码方式的注册方法了。这种软件的破解关键
大于找到软件在那里进行比较的地方。于是就使用W32DASM进行反汇编，想要找到关键的比
较地方，如果要让我这么轻松就找到了，那么这个软件的难度也就无法称为中上水平了。
  在W中发现了
* Possible StringData Ref from Data Obj ->"Software\Paw-Print\Adbin"
  程序使用注册表选项，查找相应的选项，发现了下面比较敏感的选项。
RegistrationEval:VZYmhL4l39KA
RegistrationKey:0123456789
  以我个人的经验来说，只要发现这个关键的地方就可以成功一半了。这样的软件通常在程
序中使用相应的注册键值来进行运算。我于是就在W中对RegistrationKey进行查找，大家一
定会想到了这个结果就是没有查找到。那么我没有查找到这个键值，我可以查找到你使用读
取这个键的函数，我查找读取注册表的函数,但是它没有什么用处，它也无法将引导我向成
功的彼岸，没有办法了。以上就是我前几天没有将这个软件破解出来的过程。昨天我想再尝
试一下破解这个软件，这回我得到使用前几天没有用过方法对它进行破解。
  现在我们再说一些破解方面的事情，对于那种使用先输入注册码，再重新启动后进行比较
的注册过程，对于我们这些破解者来说，破解它们比破解那种直接进行注册码比较的软件增
加了一定的难度，通常就是这点难度使用那些初学者或者是掌握了一定的破解方法和技艺的
人也不好破解。对于这种软件的破解关键就是找到程序在启动时，在那个函数中对我们输入
的注册码进行比较的。我们破解者面对是几千个甚至是几万个函数，我们将如何找到它的比
较地方呢。对于不同的软件应当有着不同的破解方法，但是它有着几个相似的破解方法。那
么我在这里使用的就是过期的破解方法。
  大家现在向上看，你们会发现在注册表中不仅有RegistrationKey这个键值，而且还有Reg
istrationEval这个键值，那么它有什么用处呢。我不是设计者，所以我也不知道，但是破
解经验告诉我，这个键值一定与注册有关，具体什么关系我也只有试一试才知道。于是我将
这个键值中的VZYmhL4l39KA设为空，再重新启动软件，现在软件告诉你它已经过期了。那么
这就说明它的值同注册肯定有关系，我又将它copy回注册表中，重新启动软件，它没有出现
提示过期。现在我就将这个作为我向它发起攻击的突破点。
  现在调出trw，用它对这个软件进行追踪。

:0040B4A6 FF1504124100            Call dword ptr [00411204]
:0040B4AC 50                      push eax
:0040B4AD E8FF7AFFFF              call 00402FB1   <-出错，进入
:0040B4B2 8945A0                  mov dword ptr [ebp-60], eax
:0040B4B5 50                      push eax
  在指出的地方出错，通常我们使用这种方法进行追踪的关键是找到能不能跳过此call的地
方，向上看没有发现，于是就进入call中。下同：

:00403035 8BCB                    mov ecx, ebx
:00403037 E8A0180000              call 004048DC     <-出错，进入
:0040303C A10C584100              mov eax, dword ptr [0041580C]

:00404921 8BCF                    mov ecx, edi
:00404923 E84BC9FFFF              call 00401273    <-出错，进入

:004012C9 8D8D4CFFFFFF            lea ecx, dword ptr [ebp+FFFFFF4C]
:004012CF E824010000              call 004013F8    <-出错，进入


:0040152B FFD7                    call edi
* Reference To: ABKernel.GetStat, Ord:0015h
:0040152D FF1514104100            Call dword ptr [00411014]   <-出错，进入
:00401533 83F801                  cmp eax, 00000001
:00401536 7405                    je 0040153D

  我来到这里就出现地址的变化，因为在通常我们的地址是004?????，而现在进入到00C???
??，这个地址中。我也是现在才明白，这时进入了程序中调用的dll程序了。那么它进入那
个dll中，上面就有答案，
* Reference To: ABKernel.GetStat, Ord:0015h
 这个就是关键，它一定进入ABKernel.dll中，因为在W中可以发现程序有这样一个dll文件
。因为我使用Nu来追踪，所以当时不知道它进入了那个dll，我只知道找到比较的地方，，E
xported fn(): GetStat - Ord:0016h
:10003088 E851E0FFFF              call 100010DE  <-出错，进入
:1000308D A158160110              mov eax, dword ptr [10011658]
:10003092 C3                      ret
 进入call中如下：
:100010DE E85E1E0000              call 10002F41
:100010E3 85C0                    test eax, eax
:100010E5 740E                    je 100010F5
:100010E7 83251416011000          and dword ptr [10011614], 00000000
:100010EE 83253416011000          and dword ptr [10011634], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:100010E5(C)
|
:100010F5 E900000000              jmp 100010FA

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:100010F5(U)
|
:100010FA 833D3416011000          cmp dword ptr [10011634], 00000000
:10001101 750A                    jne 1000110D
:10001103 B920160110              mov ecx, 10011620   
:10001108 E8E3410000              call 100052F0  <-出错，进入

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001101(C)
|
:1000110D 833D1416011000          cmp dword ptr [10011614], 00000000
:10001114 750A                    jne 10001120
:10001116 B900160110              mov ecx, 10011600
:1000111B E8D0410000              call 100052F0      <-出错，进入

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001114(C)
|
:10001120 833D3416011000          cmp dword ptr [10011634], 00000000
:10001127 740D                    je 10001136
:10001129 833D1416011000          cmp dword ptr [10011614], 00000000
:10001130 7404                    je 10001136
:10001132 33C0                    xor eax, eax
:10001134 EB03                    jmp 10001139

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:10001127(C), :10001130(C)
|
:10001136 6A01                    push 00000001
:10001138 58                      pop eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001134(U)
|
:10001139 50                      push eax
:1000113A E89B1F0000              call 100030DA
:1000113F 59                      pop ecx
:10001140 C3                      ret
  当我追踪到上面时，我终于对自己说，这个软件可能要破解成功了。因为现在我已经能够
看到胜利的曙光了。上面有push 01;pop eax这两个命令，所以它有可能表示注册成功。现
在的工作还是进入call中
:100052F0 B8D6D50010              mov eax, 1000D5D6
:100052F5 E8EA150000              call 100068E4
:100052FA 81EC10080000            sub esp, 00000810
:10005300 56                      push esi
:10005301 8BF1                    mov esi, ecx
:10005303 57                      push edi
:10005304 8975E8                  mov dword ptr [ebp-18], esi
:10005307 833E00                  cmp dword ptr [esi], 00000000
:1000530A 0F8561020000            jne 10005571
:10005310 6A01                    push 00000001
:10005312 5F                      pop edi
:10005313 6A00                    push 00000000
:10005315 893E                    mov dword ptr [esi], edi
:10005317 E8B0FCFFFF              call 10004FCC   <-出错，进入
:1000531C 85C0                    test eax, eax
:1000531E 59                      pop ecx
:1000531F 0F844C020000            je 10005571
:10005325 53                      push ebx

  上面有一个比较的地方，也是这个软件出错的地方，故进入call中。

:1000516C 8D45C0                  lea eax, dword ptr [ebp-40]  <-0123456789
:1000516F 50                      push eax
:10005170 E83B100000              call 100061B0
:10005175 83F80A                  cmp eax, 0000000A
:10005178 59                      pop ecx
:10005179 7213                    jb 1000518E
:1000517B 8D45C0                  lea eax, dword ptr [ebp-40]
:1000517E 50                      push eax
:1000517F E82C100000              call 100061B0
:10005184 83F814                  cmp eax, 00000014   ***
:10005187 59                      pop ecx
:10005188 0F86AC000000            jbe 1000523A

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10005179(C)
|
:1000518E 6A00                    push 00000000

* Possible StringData Ref from Data Obj ->"Adbin Licence"
                                  |
:10005190 6830070110              push 10010730

* Possible StringData Ref from Data Obj ->"This version of Adbin from Paw-Print "
                                        ->"Software has been tampered with."
                                  |
:10005195 6888060110              push 10010688

* Reference To: USER32.GetActiveWindow, Ord:00DDh
                                  |
:1000519A FF1584E10010            Call dword ptr [1000E184]
:100051A0 50                      push eax

* Reference To: USER32.MessageBoxA, Ord:01BEh
                                  |
:100051A1 FF1580E10010            Call dword ptr [1000E180]
:100051A7 C7055816011004000000    mov dword ptr [10011658], 00000004
:100051B1 EB3D                    jmp 100051F0

  当我来这里我终于对自己说，成功一半了，为什么？你们看到没有在这里我们已经可以看
到我输入的注册码了，它开始检查注册码的位数了。同我们在输入注册码时的一样，这就说
明我已经离比较的地方不远了。向下我就应当可以发现比较的地方。

:1000523A 6A01                    push 00000001
:1000523C 8D45C0                  lea eax, dword ptr [ebp-40]
:1000523F 5F                      pop edi
:10005240 57                      push edi
:10005241 50                      push eax    <-RN：0123456789
:10005242 E8A9FCFFFF              call 10004EF0
:10005247 59                      pop ecx
:10005248 59                      pop ecx
:10005249 33C9                    xor ecx, ecx
:1000524B 3D85050000              cmp eax, 00000585    ***
:10005250 0F9DC1                  setnl cl
:10005253 41                      inc ecx
:10005254 8BC1                    mov eax, ecx
:10005256 3BC7                    cmp eax, edi
:10005258 A358160110              mov dword ptr [10011658], eax
:1000525D 0F8586000000            jne 100052E9
:10005263 6A03                    push 00000003
  到达这里我就知道已经到达这个软件的比较核心了。因为这里有所有我想得到的东西，一
是RN，二是比较命令。现在的任务就是找到实际注册码了，进入call中：

:10004EF0 55                      push ebp
:10004EF1 8BEC                    mov ebp, esp
:10004EF3 83EC28                  sub esp, 00000028
:10004EF6 834DF8FF                or dword ptr [ebp-08], FFFFFFFF
:10004EFA 53                      push ebx
:10004EFB 56                      push esi
:10004EFC 57                      push edi
:10004EFD 8B7D08                  mov edi, dword ptr [ebp+08]
:10004F00 33DB                    xor ebx, ebx
:10004F02 895DFC                  mov dword ptr [ebp-04], ebx
:10004F05 8A07                    mov al, byte ptr [edi]
:10004F07 84C0                    test al, al
:10004F09 747A                    je 10004F85

* Possible StringData Ref from Data Obj ->"n61O0rRxdkVHt5ZwqYUzoNDmCybcghfaMLj4liT8pQ3J2I"
                                        ->"vWP9euS7BKFGEAXs"
                                  |
:10004F0B BEB0040110              mov esi, 100104B0

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F83(C)
|
:10004F10 0FBEC0                  movsx eax, al
:10004F13 50                      push eax
:10004F14 56                      push esi
:10004F15 E856130000              call 10006270
:10004F1A 59                      pop ecx
:10004F1B 85C0                    test eax, eax
:10004F1D 59                      pop ecx
:10004F1E 0F8490000000            je 10004FB4
:10004F24 2BC3                    sub eax, ebx
:10004F26 2BC6                    sub eax, esi
:10004F28 48                      dec eax
:10004F29 8BC8                    mov ecx, eax
:10004F2B 7903                    jns 10004F30
:10004F2D 83C13E                  add ecx, 0000003E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F2B(C)
|
:10004F30 8D5C0B01                lea ebx, dword ptr [ebx+ecx+01]
:10004F34 83FB3E                  cmp ebx, 0000003E
:10004F37 7C0A                    jl 10004F43
:10004F39 8BC3                    mov eax, ebx
:10004F3B 6A3E                    push 0000003E
:10004F3D 99                      cdq
:10004F3E 5B                      pop ebx
:10004F3F F7FB                    idiv ebx
:10004F41 8BDA                    mov ebx, edx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F37(C)
|
:10004F43 837DF8FF                cmp dword ptr [ebp-08], FFFFFFFF
:10004F47 7505                    jne 10004F4E
:10004F49 894DF8                  mov dword ptr [ebp-08], ecx
:10004F4C EB10                    jmp 10004F5E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F47(C)
|
:10004F4E 83F907                  cmp ecx, 00000007
:10004F51 7F61                    jg 10004FB4
:10004F53 8B45FC                  mov eax, dword ptr [ebp-04]
:10004F56 6BC007                  imul eax, 00000007
:10004F59 03C1                    add eax, ecx
:10004F5B 8945FC                  mov dword ptr [ebp-04], eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F4C(U)
|
:10004F5E 47                      inc edi
:10004F5F 837D0C00                cmp dword ptr [ebp+0C], 00000000
:10004F63 741A                    je 10004F7F
:10004F65 0FBE07                  movsx eax, byte ptr [edi]
:10004F68 50                      push eax
:10004F69 56                      push esi
:10004F6A 47                      inc edi
:10004F6B E800130000              call 10006270
:10004F70 59                      pop ecx
:10004F71 2BC6                    sub eax, esi
:10004F73 59                      pop ecx
:10004F74 6A02                    push 00000002
:10004F76 99                      cdq
:10004F77 59                      pop ecx
:10004F78 F7F9                    idiv ecx
:10004F7A 85D2                    test edx, edx
:10004F7C 7401                    je 10004F7F
:10004F7E 47                      inc edi

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:10004F63(C), :10004F7C(C)
|
:10004F7F 8A07                    mov al, byte ptr [edi]
:10004F81 84C0                    test al, al
:10004F83 758B                    jne 10004F10

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004F09(C)
|
:10004F85 FF75FC                  push [ebp-04]
:10004F88 8D45D8                  lea eax, dword ptr [ebp-28]

* Possible StringData Ref from Data Obj ->"%d"
                                  |
:10004F8B 68F4040110              push 100104F4
:10004F90 50                      push eax

* Reference To: USER32.wsprintfA, Ord:02ACh
                                  |
:10004F91 FF1570E10010            Call dword ptr [1000E170]
:10004F97 8D45D8                  lea eax, dword ptr [ebp-28]
:10004F9A 50                      push eax
:10004F9B E810120000              call 100061B0
:10004FA0 83C410                  add esp, 00000010
:10004FA3 83F809                  cmp eax, 00000009
:10004FA6 7310                    jnb 10004FB8
:10004FA8 8D45D8                  lea eax, dword ptr [ebp-28]
:10004FAB 50                      push eax
:10004FAC E8FF110000              call 100061B0
:10004FB1 59                      pop ecx
:10004FB2 EB07                    jmp 10004FBB

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:10004F1E(C), :10004F51(C)
|
:10004FB4 33C0                    xor eax, eax
:10004FB6 EB0F                    jmp 10004FC7

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004FA6(C)
|
:10004FB8 6A09                    push 00000009
:10004FBA 58                      pop eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004FB2(U)
|
:10004FBB 2B45F8                  sub eax, dword ptr [ebp-08]
:10004FBE F7D8                    neg eax
:10004FC0 1BC0                    sbb eax, eax
:10004FC2 F7D0                    not eax
:10004FC4 2345FC                  and eax, dword ptr [ebp-04]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10004FB6(U)
|
:10004FC7 5F                      pop edi
:10004FC8 5E                      pop esi
:10004FC9 5B                      pop ebx
:10004FCA C9                      leave
:10004FCB C3                      ret
  上面就是这个软件完整的注册码比较地方，它在这里不是通过使用注册码之间相互比较的
，而是通过你输入的注册码经过运算得到相应的值，再在前面的比较地方进行比较，那么这
个程序是如何运算的呢？
  这个软件的确不是简单的软件（当然这里专指破解它）。现在我就向大家介绍如何破解出
这个软件的注册码。
 上面就是这个软件完整的注册过程，我们如果想要破解它，首先应当知道这个函数在返回
时应当返回什么样的值才能满足我们的要求。现在就应当首先来看一下调用这个函数的主程
序。

:10005242 E8A9FCFFFF              call 10004EF0
:10005247 59                      pop ecx
:10005248 59                      pop ecx
:10005249 33C9                    xor ecx, ecx
:1000524B 3D85050000              cmp eax, 00000585    ***
:10005250 0F9DC1                  setnl cl
 在这里我知道如果按正常的话，那个比较的地方上eax=0，cl=0只有当eax的值大于585时，
cl的值才能变为1，现在知道了想要得到的值，就应当回到上面的计算函数中了。
:10004FBB 2B45F8                  sub eax, dword ptr [ebp-08]
:10004FBE F7D8                    neg eax
:10004FC0 1BC0                    sbb eax, eax
:10004FC2 F7D0                    not eax
:10004FC4 2345FC                  and eax, dword ptr [ebp-04]
  这里是函数返回前的计算过程，也是这个计算的关键之所在。如果要让你们来分析上面的
过程的话，你们会得到什么结果呢？如果你要想得到eax不等于0的值，那个eax和[ebp-08]
的值该有什么样的关系。如果它们两个不相等的话，将在and处得到的eax的值等于0，这样
使用0进行与其它的数均为0，那么只有使用eax等于[ebp-08]的值了。那么我将如何知道程
序如何运算上面的两个值的。那我们还得继续向上看。
:10004F43 837DF8FF                cmp dword ptr [ebp-08], FFFFFFFF
:10004F47 7505                    jne 10004F4E
:10004F49 894DF8                  mov dword ptr [ebp-08], ecx
 这里将得到[ebp-08]的值，在开始时[ebp-08]的值等于ffffffff，在程序进行第一次运算
后，将其运算值储存在这里，以后的值均通过下面的运算储存在[ebp-04]中
:10004F4E 83F907                  cmp ecx, 00000007
:10004F51 7F61                    jg 10004FB4
:10004F53 8B45FC                  mov eax, dword ptr [ebp-04]
:10004F56 6BC007                  imul eax, 00000007
:10004F59 03C1                    add eax, ecx
:10004F5B 8945FC                  mov dword ptr [ebp-04], eax
 那么我们现在如何得到该软件的注册码呢？
* Possible StringData Ref from Data Obj ->"n61O0rRxdkVHt5ZwqYUzoNDmCybcghfaMLj4liT8pQ3J2I"
                                        ->"vWP9euS7BKFGEAXs"
看到上面的字符串没有，我们计算注册码就要用到这个字符串，它具体比较过程如下：
 取输入注册码的首位，计算出它在这个字符串中的位置值，如0的位置为4（从0开始计数）
将它的值-ebx（这时的ebx=0），再-esi（esi字符串的初始地址值）后，再将这个值-1后，
这样我们就可以得到[ebp-08]的值。
  现在我们将要知道如何得到[ebp-04]的值了，那么它的值将如何得到，上面我说过了，但
是这里它还有一个要求，就是下面：
:10004F4E 83F907                  cmp ecx, 00000007
:10004F51 7F61                    jg 10004FB4
这里的ecx的值作用是什么呢？它的作用是比较前后现在相邻注册码的位置值是否大于7如果
大于7则认为不正确的注册码。现在我们再回到返回eax的地方，我们现在知道了[ebp-08],[
ebp-04]的值了，那么eax的值到底如何得到的，它的值就是程序计算注册码的个数，在这里
又要向大家说明一点，我们输入的注册码不是每一位都计算的，因为有下面的命令，所以通
常它是隔一位计算的。
:10004F74 6A02                    push 00000002
:10004F76 99                      cdq
:10004F77 59                      pop ecx
:10004F78 F7F9                    idiv ecx
:10004F7A 85D2                    test edx, edx
:10004F7C 7401                    je 10004F7F
:10004F7E 47                      inc edi

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:10004F63(C), :10004F7C(C)
|
:10004F7F 8A07                    mov al, byte ptr [edi]
:10004F81 84C0                    test al, al
:10004F83 758B                    jne 10004F10
  上面就是程序检查的情况，它通常是每隔一位计算一个。
  现在我们再回到如何得到注册码的话题上来。现在我们知道了，eax为计算注册码的个数
，这里不包括第一位计算的值。[ebp-08]为第一位的运算值，而[ebp-04]为其它位的计算值
，现在就可以知道注册码了，通过我的研究，如果要满足大于585的话，一定要计算4次以上
，在这里我就选择了计算4次，因为它是隔一位计算一个，并且相邻的注册码的位数不应大
于7所以选择下面的字母为注册码，填入后，注册成功。
    RN：rRdvtZqUoDCb
  现在我想我对这个软件的破解是完成了，但是对于大家想必就没有理解是如何注册的，那
么只好大家再自己用功研究研究它了。我只是一个引路人，具体怎么走还要看大家的。
                  ********************************
                  *       RN:rRdvtZqUoDCb        *
                  ********************************

%【初学天地】

            解密教程九
               程式猎人
  现在又到了我们初学天地的时间了，今天我想向大家继续介绍破解方面的一个固定比较格
式，大家如果能够比较好的掌握我说的几种比较格式的话，我相信对于提高大家的破解水平
是会在一定的帮助的。因为这些都我个人从破解中得到的经验。我也是从一个一无所知才达
到现在的水平。这里都是我个人的经验，现在就开始介绍前一节课介绍的最后一个比较格式
，如下：
call 00??????  ***
     push eax (ebx,ecx…)
     ……
     ……
     call 00??????
     pop eax (ebx,ecx…)
     test eax eax 
     jz(jnz)
这种比较格式使用不是很多，但是在一些软件中还是使用的不少，这种比较方式的破解有一
定的规律可循，这里就要求大家对这个比较方式的原理所熟悉了。它的比较重点在test eax
 eax ，而eax值是从pop eax这里得到的，那么再向上查找在何处压入规模的地方，在上面
通常你可以查找到这样一个地方push eax 如果能够查找到这里就可以了。那么重点就是在
这个命令上面的那个call了，进入那个call就可以找到关键的比较地方了。
 现在给大家举一个例子，这个例子就是在第十期中介绍的notepro软件。它的破解过程就是
利用了这个比较方式才能够比较快的破解出来了。
            Noterpro V1.1
                     程式猎人
简介：这个软件是一个小型的编辑软件，功能比note强大。
追踪：name:dahuilang
      RN:01234567
      
现在下bpx hmemcpy后你将被拦下。跳跃到主程序中，如下：
0040b1f7  call 0049a768
          lea edx [ebp-08]  <-出来
          xor eax eax
          ……
          ……
0040b214  call 0049a768
          lea edx [ebp-08]
          mov edx [edx]
          mov eax [004e9c80]
          pop eax
          call 00406bb0
          push eax      ****
          ……
          ……
0040b245  call 004dccc
          pop ecx      ****
          test cl cl 
          jz 0040b38b
  现在我们就追踪到这里，你将首先从上面标记的地方出来，因为程序要读取两次，所以它使

用了call 0049a768两次的，程序读取完后下面的那个call就是关键的地方，我在这里向
大家解释一下为什么说call 00406bb0就是重要的地方。
  因为在下面0040b245处开始，如果程序在这里跳跃的话，将出现错误提示，所以说这个跳

跃是一个相当关键的地方，那么ecx的值决定这个程序能够注册成功与否了。程序调用ecx是

使用出栈的方法得到ecx的，那么就要看在那里进栈了，观察程序发现只有****处进入堆栈

，所以现在就知道call 00406bb0是一个重要的函数了。
   进入call 00406bb0中，如下：

00406e6b  mov edx [ebp-08]
          call notepro!@stratil@xordecord$qqrx17
          lea edx [ebp-2c]
          lea eax [ebp-14]
          call 004dcd9c
          push eax      ****
          ……
          ……
00406e92  call 004dcccc
          pop ecx
          test cl cl
          jz 00406e98
          mov byte [ebp-51] 01  ****
00406e98  dec dword [ebp-34]
          ……
          ……
00406eae  mov al [ebp-51] ***
          mov edx 02
          push eax  **
          leax eax [ebp-08]
          ……
          ……
00406ecd  call 004dcccc
          pop eax  *
          mov edx [ebp-50]
   现在开始介绍程序在这个call中如何得到的eax值的，因为出这个call后我们最关心的就
是eax值，那么就要注意这个值的变化。我先从后面看，这个eax就是程序返回的值，它从这
里得到的。
          pop eax   *
   那么在上面就有进入堆栈的地方
          push eax  **
    它又是mov al [ebp-51]从这得到的，再向上查找程序在这里使用mov byte [ebp-51] 0

1，这个是决定你注册成功的关键，那么上面正好有一个jz，这就应当找到了关键地方了。
但是在这里你不要进入
00406e92  call 004dcccc
   中，因为它不是最后的运行call，为什么？还是使用前面讲到的地方，因为程序使用的
是pop ecx来传值的，所以上面才是关键的地方。
          call 004dcd9c
          push eax   
  这里者关键的地方，那么如果你进入这里call中你会发现这里只是一个比较过程，它的两

个值一个是明码，另一个不是，其中名码就是通过你的name计算得到的，而不是明码的就是

通过你的注册码计算得到的。现在的关键是找到如何通过你的注册码计算得到这个比较码的

。那么在上面茫茫的代码中如何找呢？
   这里也有一个技巧，因为如果你进入call 00406bb0这里后，你会发现程序前面的计算入

口值都是name，也就是前面的计算都真对name的，而在这里你可以看到它的入口值是你输入
的RN
00406e6b  mov edx [ebp-08]   <-RN    *******
          call notepro!@stratil@xordecord$qqrx17
          lea edx [ebp-2c]
          lea eax [ebp-14]
 那么下面的那个call就是运行的关键了，进入后你就会发现它同看雪介绍的一样，你手中
一定要有一个XOR表，如果没有话，自己做一个就行了。下面就是看雪破解的计算过程。
  
  大家看到上面的例子了吧，这个软件的破解过程不是很难，只要你掌握它破解的方法就可
以了。那么上面的例子可以清楚的表达了这个比较格式。程序共使用了两次这样的比较过程
，如果你不知道这个比较格式的话，你会花很时间来研究test eax eax上面的call，而这个
call不会让你找到正确的正确的比较地方的。
  好了，今天的课OVER。祝大家周未愉快。

O【问题答疑】

4【网站介绍】

脱轨破解网站 http://szycool.533.net

脱轨破解网站是一个比较新的破解网站，这个网站在一个特点是可以向高手提供破解软件的资料，而对于想要学习破解的人来说，如果有什么自己无法破解的软件可以到这里将它提供给斑竹，这样就可以使高手能够为你破解软件了。我觉得这个想法是非常好，一可以使用高手用有限的时间来破解比较难的软件，另一个方面也可以使初学者更快的掌握破解这门技巧。大家可以到这个网站一看。

,【杂志信箱】

投稿信箱：discoveredit@china.com

答疑信箱：discoveranswer@china.com

斑竹信箱：programhunter@china.com