不可不說(shuō)一下學(xué)習(xí)破解的三個(gè)階段：

初級(jí),修改程序,用ultraedit等工具修改exe文件,稱(chēng)暴力破解,簡(jiǎn)稱(chēng)爆破。

中級(jí),追出軟件的注冊(cè)碼。

高級(jí),寫(xiě)出注冊(cè)機(jī)。

先說(shuō)這爆破。所謂爆破，就是指通過(guò)修改可執(zhí)行文件的源文件，來(lái)達(dá)到相應(yīng)的目的。你不明白？呵呵，舉個(gè)例子好了，比如說(shuō)某共享軟件，它比較用戶輸入的注冊(cè)碼，如果用戶輸入的，跟它通過(guò)用戶名（或其它）算出來(lái)的注冊(cè)碼相等的話（也就是說(shuō)用戶輸入的注冊(cè)碼正確了），那么它就會(huì)跳到注冊(cè)成功的地方去，否則就跳到出錯(cuò)的地方去。

明白過(guò)來(lái)了吧，我們只要找到這個(gè)跳轉(zhuǎn)指令，把它修改為我們需要的“造型”，這樣，我們是不是就可以為所欲為了？（某軟件雙手放在胸口，你要干嘛？）

常見(jiàn)的修改方法有兩種，我給你舉例說(shuō)明：

no.1

在某軟件中，這樣來(lái)進(jìn)行注冊(cè)：

00451239 CALL 00405E02 (關(guān)鍵CALL，用來(lái)判斷用戶輸入的注冊(cè)碼是否正確)

0045123D JZ 004572E6 (!!!<--此為關(guān)鍵跳轉(zhuǎn)，如果用戶輸入的注冊(cè)碼正確，就跳向成功處，即004572E6處)

0045XXXX YYYYYYYYYY

XXXXXXXX YYYYYYYYYY

XXXXXXXX YYYYYYYYYY

XXXXXXXX 執(zhí)行到此處，就提示用戶注冊(cè)失敗

..提示用戶注冊(cè)碼不正確等相關(guān)信息

...

004572E6 ... <--(注冊(cè)成功處!!!)

...提示用戶注冊(cè)成功等相關(guān)信息

呵呵，看明白了嗎？沒(méi)有的話，我來(lái)給你講一下。在軟件執(zhí)行到00451239處的時(shí)候，CALL置0045E02處來(lái)進(jìn)行注冊(cè)碼判斷。接著回來(lái)后就來(lái)一個(gè)跳轉(zhuǎn)語(yǔ)句，即如果用戶輸入的注冊(cè)碼正確就跳到004572E6處，跳到此處，就算是注冊(cè)成功了。如果用戶輸入的注冊(cè)碼不正確的話，那么就不會(huì)在0045123D處進(jìn)行跳轉(zhuǎn)，而一直執(zhí)行下去。在下面等它的，是注冊(cè)失敗部分。

想明白了嗎？嘿嘿...沒(méi)錯(cuò)，我們只要把那個(gè)關(guān)鍵跳轉(zhuǎn)JZ給改為JNZ(如果用戶輸入的注冊(cè)碼錯(cuò)誤，就注冊(cè)成功，輸入正確則注冊(cè)失敗)。當(dāng)然你也可以將JNZ修改為Jmp，這樣的話，你輸入的注冊(cè)碼無(wú)論正確與否。都可以注冊(cè)成功。

no.2

我們?cè)賮?lái)講一下另外的一種情況：

00451239 CALL 00405E02 (關(guān)鍵CALL，用來(lái)判斷用戶輸入的注冊(cè)碼是否正確)

0045123D JNZ 004572E6 (!!!<--此為關(guān)鍵跳轉(zhuǎn)，如果用戶輸入的注冊(cè)碼不正確，就跳向失敗處，即004572E6處)

0045XXXX YYYYYYYYYY

XXXXXXXX YYYYYYYYYY

XXXXXXXX YYYYYYYYYY

XXXXXXXX 執(zhí)行到此處，就提示用戶注冊(cè)成功

...提示用戶注冊(cè)成功等相關(guān)信息

...

004572E6 ... <--(注冊(cè)失敗處!!!)

...提示用戶注冊(cè)碼不正確等相關(guān)信息

這次我相信，并且深信不疑。你一定明白了。我還是不明白...倒...

你一定看出跟***種情況不同的地方了吧。沒(méi)錯(cuò)！它與***種不同的，就是***種情況是如果注冊(cè)碼正確，就跳到注冊(cè)成功處，如果沒(méi)有跳走，就會(huì)執(zhí)行到失敗處。而這一種情況則是如果注冊(cè)碼不正確，就跳到注冊(cè)失敗處，否則將執(zhí)行到注冊(cè)成功處。

這種情況的修改，除了把JNZ改為JZ外，還可以將其改為Nop，Nop這個(gè)指令沒(méi)有任何意義，將該條指令修改為Nop后，便可隨意輸入注冊(cè)碼來(lái)進(jìn)行注冊(cè)了。

原理以經(jīng)給你講了，下面我們?cè)賮?lái)講一下具體的修改辦法吧。（我假設(shè)你以經(jīng)明白了我所說(shuō)的工具的使用方法）

先說(shuō)一下虛擬地址和偏移量轉(zhuǎn)換的問(wèn)題，在SoftICE和W32Dasm下顯示的地址值是所謂的內(nèi)存地址（memory offset），或稱(chēng)之為虛擬地址（Virual Address，VA）。
而十六進(jìn)制工具里，如：Hiew、Hex Workshop等顯示的地址就是文件地址，稱(chēng)之為偏移量（File offset) 或物理地址(RAW offset)。

所以當(dāng)我們要通過(guò)那些十六進(jìn)制工具來(lái)對(duì)可執(zhí)行文件中的相應(yīng)指令進(jìn)行修改的話，先要找到它的File offset。我們沒(méi)有必要去使用那些專(zhuān)門(mén)的轉(zhuǎn)換工具，在W32Dasm中就有這個(gè)功能，比如說(shuō)你W32Dasm中來(lái)到0045123D處，在W32Dasm界面下方的狀態(tài)欄中就會(huì)出現(xiàn)該條指令的虛擬地址和偏移地址，即@:0045123D @offset 0005063Dh 后面的這個(gè)0005063Dh就是相應(yīng)的偏移地址。我們得到該地址后，便可用UltraEdit等十六進(jìn)制工具來(lái)對(duì)可執(zhí)行文件進(jìn)行修改了。比如使用UltraEdit，你先用UltraEdit打開(kāi)該可執(zhí)行文件，然后按Ctrl+G，接著輸入你得到的偏移地址，就可以來(lái)到其相應(yīng)的機(jī)器碼處。

#p#

再給你講一下機(jī)器碼，所謂的機(jī)器碼。就是你看到的那些個(gè)十六進(jìn)制數(shù)據(jù)了。還記的它們與匯編指令是一一對(duì)應(yīng)的嗎？

以下這幾個(gè)是爆破時(shí)要用到的，其它的如果感興趣，可自行查看相關(guān)資料：

JZ=74;JNZ=75;JMP=EB;Nop=90

爆破的時(shí)候，只要對(duì)以上機(jī)器碼進(jìn)行相應(yīng)的修改就行了，比如***種情況的時(shí)候，可以將74修改為EB，即將JZ修改為JMP。而第二種情況，責(zé)需將75修改為90，即將JNZ修改為Nop。

由于本章只講原理，具體一點(diǎn)的。如怎樣找到關(guān)鍵跳轉(zhuǎn)等，我們?cè)谙乱徽轮性僦v。（一個(gè)磚頭飛了上來(lái)！嘿嘿，這次被俺接到了）

上邊講了爆破的原理，你需要明白的是。爆破只是你學(xué)習(xí)Crack的開(kāi)始，是很簡(jiǎn)單的手段。剛?cè)腴T(mén)的時(shí)候可以玩玩兒，但希望你不要就此不前！

（嘿嘿，再說(shuō)了。人家的軟件中不是都說(shuō)了嘛，不準(zhǔn)對(duì)其進(jìn)行逆向修改。你動(dòng)了人家的身子，怎么能不買(mǎi)帳呢？ ）

偶就不喜歡爆破，做不出注冊(cè)機(jī)也要找出注冊(cè)碼。否則我就不會(huì)去注冊(cè)這個(gè)軟件，既然想不掏錢(qián)，就要靠你自己的本事。（等以后我有錢(qián)了，會(huì)考慮去注冊(cè)那些優(yōu)秀的共享軟件的 ）。所以，從某種意義上來(lái)說(shuō)，我是一個(gè)正人君子。

其實(shí)要找到注冊(cè)碼并不是一件多么難的事，我是指你所針對(duì)的軟件不太那個(gè)的時(shí)候 不過(guò)你無(wú)需懼怕。

剛才我們說(shuō)爆破的時(shí)候不提到過(guò)關(guān)鍵CALL嗎？一般情況下，這個(gè)關(guān)鍵CALL就是對(duì)兩個(gè)注冊(cè)碼（一個(gè)是軟件自身通過(guò)你的注冊(cè)名或機(jī)器什么的計(jì)算出來(lái)的正確的注冊(cè)碼，令一個(gè)就是你輸入的錯(cuò)誤的注冊(cè)碼）進(jìn)行比較。我前邊提到過(guò)，CALL之前一般會(huì)把所用到的數(shù)據(jù)先放到一個(gè)地方，CALL過(guò)去的時(shí)候再?gòu)倪@些地方把先前放入的數(shù)據(jù)取出來(lái)，進(jìn)行相應(yīng)的處理。這個(gè)關(guān)鍵CALL也是這樣，在CALL之前，一般會(huì)把那兩個(gè)注冊(cè)碼放到堆?；蚰硞€(gè)寄存器中。嘿嘿，我們只要在調(diào)試器中，單步執(zhí)行到該CALL，在未進(jìn)去之前通過(guò)CALL之前的指令判斷其將正確的和不正確的注冊(cè)碼放到哪里了。然后再用相應(yīng)指令進(jìn)行查看就成了，我說(shuō)過(guò)不難的。

下面列出兩個(gè)最常見(jiàn)的情況（可參考相關(guān)教程）：

no.1

mov eax [ ] 這里可以是地址，也可以是其它寄存器

mov edx [ ] 同上，該條指令也可以是pop edx

call 00?????? 關(guān)鍵call

test eax eax

jz(jnz)或jne(je) 關(guān)鍵跳轉(zhuǎn)

看明白了吧，在關(guān)鍵CALL之前，軟件會(huì)把兩個(gè)注冊(cè)碼分別放入eax和edx中，你只要在CALL處下d eax或d edx就能看到正確的注冊(cè)碼了。

no.2

mov eax [ ] 這里可以是地址，也可以是其它寄存器

mov edx [ ] 同上，該條指令也可以是pop edx

call 00?????? 關(guān)鍵call

jne(je) 關(guān)鍵跳轉(zhuǎn)

以上兩種情況最為常見(jiàn)，而那些個(gè)不太常見(jiàn)的情況，我們這里就不再提了。到下下一章的時(shí)候，我會(huì)給你講相關(guān)方法的...

關(guān)于查找軟件注冊(cè)碼的部分，就到這里。具體內(nèi)容，下下一章咱們?cè)僬f(shuō)。(不是說(shuō)了嗎？我以經(jīng)可以接到你的磚頭了，干嘛還要丟呢？ )

***，再來(lái)說(shuō)***的所謂的高級(jí)階段，如果你相信自己。并且熱愛(ài)Crack，那么你一定會(huì)熬到這個(gè)階段的，只是時(shí)間因人而異。

其實(shí)分析軟件的算法，是有好多技巧在里面的。呵呵，最起碼我剛開(kāi)始的時(shí)候就摸不著頭腦，那么多CALL，每個(gè)看起來(lái)，都很重要，都追一遍？結(jié)果連好多API都被追了進(jìn)去。等你自己真正用心分析了一個(gè)軟件的算法，并寫(xiě)出了注冊(cè)機(jī)后。你就會(huì)明白其中的道理了 。