(看雪教程） 第4章 第5节拆解教程

验对象：例题Chap4-eg-1.zip ；
破解工具：W32Dasm，Hiew；

1、思路提示：首先要试运行要破解的程序，了解其一些提示信息，如：文本/NAG屏/按钮等等.最重要的就是出错信息 .如： "Wrong serial.."记下，因为你在后面要用到它，你需要它来找到call出错messagebox的地方.当 W32Dasm反编译后你会看到一屏幕难懂的汇编码 .你还记得刚要你记下的那个message么? 此时单击在工具栏里的串式数据参考SDR (=String Data Reference).这个功能可是非常有用的.

在串式数据参考SDR中找到那个提示信息(它也许只显示了信息的一部分) ，此时双击它，来到相关代码处，再分析源代码。

2、运行crackme，输入假的序列号，点击CHECK出现错误提示："Incorrect try again!! "记下。

3、将crackmer备份一份，用W32DASM反汇编它。

4、一旦完成反汇编 点串式数据参考（string data reference）按钮 在列出的字符串列表中找到 : "Incorrect try again!! " 并双击它 . （注：如代码中有多处有此字串，你再次双击后，光标将出现在下一代码上）

5、关闭这个窗口回到主窗口 你应该能够看到下面这一行 ：

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401595(C)
|
:004015AD 6A40 push 00000040

* Possible StringData Ref from Data Obj ->"CrackMe"//错误提示窗口的标题
|
:004015AF 686C304000 push 0040306C

* Possible StringData Ref from Data Obj ->"Incorrect try again!!"//错误提示处，我们来到这一行
|
:004015B4 6874304000 push 00403074
:004015B9 8B4DE0 mov ecx dword ptr [ebp-20]

6、现在你必须从这行起向上找 直到找到有这样的命令为止 :cmpjnejetest 等等 .

CMP = 比较 (如 CMP EAX EBX) <- 比较EAX和EBX
JE = 如果相等就跳转
JNE = 如果不相等就跳转
JL = 如果小于就跳转
JLE = 如果小于等于就跳转
JA = 如果大于就跳转
JAE = 如果大于等于就跳转
JMP = 无条件跳转

7、注意这一行代码：

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401595(C)
|
:004015AD 6A40 push 00000040

:00401595(C) 是代码位置而不是offset，表示指令由00401595一行跳转到此 .此时你在利用菜单的转到代码位置功能或按shift+F12，在对话框中输入:00401595，你将来到此：

:00401585 8D4DE4 lea ecx dword ptr [ebp-1C]
:00401588 51 push ecx
:00401589 8D55F4 lea edx dword ptr [ebp-0C]
:0040158C 52 push edx

* Reference To: KERNEL32.lstrcmpA Ord:02FCh
|
:0040158D FF1500204000 Call dword ptr [00402000]
:00401593 85C0 test eax eax
:00401595 7516 jne 004015AD

8、此时你借助SOFTICE动态调试能很快找到序列号，在这我们今天用暴力法破解，注意 :

:0040158D FF1500204000 Call dword ptr [00402000]//真假序列号比较核心（调用函数lsrcmpa比较）
:00401593 85C0 test eax eax//用eax当旗帜，如相等，则eax=0
:00401595 7516 jne 004015AD//如不跳转则注册成功

看明白了吗？要让程序接受任何注册码就只要把JNE (=不相等就跳)改成JE (=相等就跳).或把改成空指令nop(什么也不执行）这样前一各改法要注册就只能输入错误的注册码，后者可任意注册码。 9、将绿色的光条移到 :00401595 7516 jne 004015AD上 在窗口底部有一行字指示这句命令的偏移地址 此处为 @Offset 00001595h. 这就是应该修改的地方了 .

10、启动hiew 打开crackme.exe，按 F4 然后选择 decode mode 按 F5 输入偏移地址1595（@Offset 00001595h）. 你应该看到下面这几行 :

?00401593: 85C0 test eaxeax
?00401595: 7516 jne .0004015AD

11、这就是修改的地方了，按F3进入修正状态，在机器码处直接用7416代替7516，按F9存盘。或在这一行按F2或回车进入小汇编修改状态，输入正确的指令。

12、第二种修改方法是用两个NOP指令（NOP指令机器码是90是一个字节）代替机器码：7516即改为：9090

13、运行 crackme 随便输入几个字符试试 . 成功了 ! (当然这只是对那些简单的程序有效)