【文章标题】: Themida的另类破解
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
大家都知道Themida的强大保护功能，几乎无人能完整的破解它的VM中的handler（最新进展如何？）。我也试图跟踪过它的几个 handler，它为一个简单的入栈操作竟有长达数千行的垃圾代码和无穷的转跳，如果要把它168（？）个handler都清理出来，他一定会疯掉！或累死掉？我曾经下决心不碰Themida了，不知为什么鬼使神差的我又跟踪了几个Themida加密软件，竟然还有新的发现！
附件提供的一个程序是用汇编写的PE信息小工具，用Themida1855加密，加密选择RISC-64 processor，全选加密可选项，并对部分API函数使用VM加密，入口虚拟系数选择15。应该说对该程序用了较强的加密措施。现在介绍用我的脚本，一步步对它破解(绝不暗中使用对原程序已知的信息)，居然还原了所有的代码，请看下面详细过程。

一、介绍一个万能脚本
1.下面的脚本适用于任何用Themida 1.8.5.5版加密的程序，操作十分简单。
————————————————————–
//本脚本适用于Thmida 1.8.5.5版本加密的任何程序

bphwc
bc
jmp Second //第一次运行后,将本行注释掉后保存一次(本)脚本

data:
var mem
var mem1
var temIAT
var temESI
var temAPI
var APIstr
var Addr_0
var Addr_1
var Addr_2
var Addr_3
var Addr_4
var Addr_5
var Rva
Init:
mov Rva,65b970 //用对话框中的值修改该值,并将第一行的jmp Second注释掉
mov Addr_0,Rva-997
mov Addr_1,Rva-809
mov Addr_2,Rva-ea
mov Addr_3,Rva-9d
mov Addr_4,Rva
mov Addr_5,Rva+74c

start:
esto
esto
bphws Addr_0,』x』
esto
bphwc Addr_0
mov [Addr_0],0062e990 //废除监视断点的代码

bp Addr_1
bp Addr_2
bp Addr_3
bp Addr_4
bp Addr_5

First:
run
cmp eip,Addr_1
jz A1
cmp eip,Addr_2
jz A2
cmp eip,Addr_3
jz A3
cmp eip,Addr_4
jz A4
cmp eip,Addr_5
jz A5
jmp First

A1:
mov temAPI,eax //eax 是API函数地址
gn temAPI //显示函数名
log $RESULT
add APIstr,』 『
add APIstr,$RESULT_2 //恢复API函数名(INT表)
jmp First
A2:
mov temIAT,eax
cmp edx,10000
ja next
xor edx,80000000
mov [eax],edx //修复IAT表(写入序列号)
jmp First
next:
mov [eax],temAPI
jmp First

A3:
mov mem1,eax //eax是内存中呼叫API地址
mov temESI,[esi] //获取转跳标记
jmp First

A4:
cmp temESI,AAAAAAAA
jnz step3
mov [mem1],#FF25# //修复代码中转跳地址
mov [mem1+2],temIAT
jmp First

step3:
mov [mem1],#FF15# //修复代码中呼叫地址
mov [mem1+2],temIAT
jmp First

A5:
bc
pause

Second: //查找写IAT地址的一条指令
var memory
var tmp
var temp
var tmpbp
var Str

gmi eip,CODEBASE
mov memory,$RESULT
find memory,#0000000000000000000000000000000000000000000000#
mov tmp,$RESULT
bphws tmp,』w』
esto
esto
esto
bphwc tmp
sto
find memory,#909090909090909090909090909090909090#
mov temp,$RESULT+2
bphws temp,』w』
mov tmpbp,eip
run
cmp eip,tmpbp+2
jnz next2
run
next2:
itoa eip
mov Str,』请用下列数值：』
add Str,$RESULT
add Str,』 修改脚本中的Rva.』
bphwc
msg Str
pause //（脚本完）

本脚本的使用方法是：用OD打开程序后，如果第一次加载本脚本，则会弹出一个对话框，用对话框中的数据修改脚本中的Rva值（第20行，且只有一处），并一定将第3行的jmp Second注释掉，一定将脚本保存一次！这时脚本就是该程序的专用脚本了。重新用OD加载程序后，可以无须任何更改，直接调用本脚本了！
第2次运行脚本，屏幕快速闪动，一会就出现了神奇的效果了。如果想应用于新的程序，则只须将注释掉的jmp Second恢复即可。
—————————————————————————-

2.挖掉Themida的一只监视眼，蒙上它的另一只眼
本脚本的运行原理，请参考我原先的一篇文章《对Themida加密VC++程序的完美脱壳》，当时我初次接触Themida，那个脚本有很多不完善的地方，如不容易进行到底，移植困难等。Themida有很多监视断点的SEH，当时没有采用相应措施，所以被Themida频频发现。它的“监视”方法很多，用得最多的大约有(1)int 1中断，(2)内存访问异常中断，(3)代码扫描等。对于(1)(2)没有任何办法摘除，但脚本的一个循环可与它周旋；对于(3)在我跟踪的代码段中，用脚本将它摘除了。所以脚本运行得非常顺利(使用在其它被Themida加密的程序中也一样)。
(1)脚本中的 mov [Addr_0],0062e990 就是将该地址的“jb”改成了“jmp”，跳过了代码扫描监视。—相当于挖掉了它的一只眼睛—
(2)Thmida的另一(多)只眼睛实在难于发现，不管你是什么类型的断点，很快被发现并单步异常后弹出对话框，然后退出运行。请注意，Themida设置的是单步中断，如果让它自行处理这个中断，就是前面的结果。如果将它拦截下来，自已处理就可以绕过了它的SEH。“拦截”方法就是打开OD“选项–调试设置–异常页”只选“非法访问内存”一项，其余全部不能选取。这样除非法访问内存异常让它自行处理外，其余全部交由OD处理。这样当Themida发现断点后产生的单步异常就被OD拦截了。自行处理的方式就是脚本中“First：”标签部分。(用脚本处理OD拦截下来的中断是非常容易的)
脚本中的First部分(断点循环)就是判断中断地址是不是自己设置的，是则进入相应操作；若不是，则一定是Thmida发现断点后的 SEH中断地址(单步中断)，处理方式就是用“run“。OD的这个run，就是让程序在eip中断地址上继续运行，绕过了Themida的SEH处理程序(陷阱)。—相当于蒙上了它的另一只眼睛—-
脚本中的其余部分无须多说，请参考我的前一篇文章。

3.运行脚本后的神奇效果
用OD打开程序后，加载这个脚本，程序运行得很快。当它暂停后Themida外壳已经被除掉。转到代码段401000，让OD分析代码一次。如果Themida在code段中没有虚拟API函数，则显示在你面前的是一个非常清晰的可读的反汇编程序，各个API函数调用和名称显露无遗。如果你仅仅是想了解原程序的基本结构和思路，这就够了。如果Themida虚拟了部分API，请往下看。如果你一定要dump出来，并去掉垃圾代码，也请往下看。

二、恢复程序的入口代码
如果想进入它的VM(虚拟机)部分，清理它的handler，还原出原代码，我是绝对无能为力了，下决心不碰它了。
那么，我是怎样恢复入口代码的呢？跟踪Themida发现，它对解压出来的代码段并不重视，居然没有设置断点监视？你可以任意设断和修改，我巧妙地利用了它这一弱点。

1.设断技巧（以提供的PeInfo_them.exe为例）
用脚本脱壳后，转到401000代码区，让OD对代码分析一次，来到程序的尾部，API函数都集中在这里(称它为API表)(VC++程序的函数表分散在代码中,相对集中)。

004015FC $- FF25 5820400>jmp dword ptr [402058] ; USER32.wsprintfA
00401602 .- FF25 5420400>jmp dword ptr [402054] ; USER32.DialogBoxParamA jmp dword ptr [402050] ; USER32.EndDialog
0040160E $- FF25 4C20400>jmp dword ptr [40204C] ; USER32.GetDlgItem
00401614 .- FF25 4820400>jmp dword ptr [402048] ; USER32.GetWindowTextLengthA jmp dword ptr [402044] ; USER32.LoadIconA
00401620 .- FF25 4020400>jmp dword ptr [402040] ; USER32.MessageBoxA jmp dword ptr [40203C] ; USER32.SendMessageA jmp dword ptr [402038] ; USER32.SetWindowTextA
00401632 $- FF25 2420400>jmp dword ptr [402024] ; kernel32.CloseHandle
00401638 $- FF25 2820400>jmp dword ptr [402028] ; kernel32.CreateFileA
0040163E $- FF25 2C20400>jmp dword ptr [40202C] ; kernel32.CreateFileMappingA
00401644 .- FF25 3020400>jmp dword ptr [402030] ; kernel32.ExitProcess jmp dword ptr [402020] ; kernel32.FreeLibrary jmp dword ptr [40201C] ; kernel32.GetFileSize
00401656 .- FF25 1820400>jmp dword ptr [402018] ; kernel32.GetModuleHandleA jmp dword ptr [402014] ; kernel32.LoadLibraryA jmp dword ptr [402010] ; kernel32.MapViewOfFile
00401668 $- FF25 0C20400>jmp dword ptr [40200C] ; kernel32.UnmapViewOfFile
0040166E $- FF25 0820400>jmp dword ptr [402008] ; kernel32.lstrcpyA
00401674 $- FF25 0020400>jmp dword ptr [402000] ; comdlg32.GetOpenFileNameA

(1)注意到API表中有“$”的地方(如果全都没有,则再分析一次)，$表示程序中有call在呼叫，若没有则表示没有关联(VC++编写的程序有很多无关联的垃圾函数)。在这里没有关联的函数肯定是被Themida虚拟了call代码。在没有“$”的地址上设F2中断。
明眼一看，本例是一个对话框窗口，它只有DialogBoxParamA，没有CreateWindowEx、消息循环等函数。若是Window窗口，则不能在消息循环函数上设断，否则OD将进入假死状态。
(2)在解压后代码段中浏览，发现了一段连续的乱码，用OD分析也无用，它一般就是入口代码段了。本例是4015B6–4015FB这一段(被虚拟了)。
(3)从401000开始寻找跳进006xxxxx段的jmp，这些jmp都是跳到被VM虚拟后的API代码中(代码E9前面都有一个“-”号)，本例中跳进VM中的8个jmp地址如下：

0040100D .- E9 E0532300 jmp 006363F2
00401029 .- E9 408F2300 jmp 00639F6E
0040103E .- E9 95CC2300 jmp 0063DCD8
00401371 .- E9 4A092400 jmp 00641CC0
00401385 .- E9 F0422400 jmp 0064567A
004013C9 .- E9 B2802400 jmp 00649480
004013DD .- E9 61B52400 jmp 0064C943
0040151B .- E9 39F32400 jmp 00650859
在以上的每个地址都用F2设断。（放心设断,Themida是不来过问的。）

2.操作技巧(以后的操作基本上都是F9或alt-F9，无须shift-F9)
(1)当设置完成后，按F9运行一次，程序中断在
0040165C .- FF25 1420400>jmp dword ptr [402014] ; kernel32.LoadLibraryA
且在堆栈中出现
0013FF90 00654697 /CALL 到 LoadLibraryA
0013FF94 00402060 \FileName = 『RichEd20.dll』
0013FF98 004001C0 ASCII 』 』 <–这是应用程序开始的栈顶，dump堆栈平衡时弹出至此
0013FF9C 0013FFE0 指向下一个 SEH 记录的指针
0013FFA0 005E0DB2 SE处理程序
0013FFA4 7C930738 ntdll.7C930738
堆栈中0013FF98是进入应用程序后的栈顶，13FF94的(00402060)是压入的参数，0013FF90的(00654697)是VM中的呼叫地址。
记录下堆栈中的数据，并将4015B6开始的乱码改写为：(它就是解密出来的入口第一组代码)
push 00402060
call 0040165C jmp dword ptr [402018] ; kernel32.GetModuleHandleA

堆栈中出现
0013FF90 006546A3 /CALL 到 GetModuleHandleA
0013FF94 00000000 \pModule = NULL
这里记下堆栈，接着前面如下修改乱码；
push 0
call 00401656 jmp dword ptr [402054] ; USER32.DialogBoxParamA
堆栈是
0013FF80 006546BB /CALL 到 DialogBoxParamA
0013FF84 00400000 |hInst = 00400000 <–GetModuleHandleA的返回值
0013FF88 000003E8 |pTemplate = 3E8 <–资源ID
0013FF8C 00000000 |hOwner = NULL
0013FF90 00401544 |DlgProc = PeInfo_t.00401544 <–窗口程序地址
0013FF94 00000000 \lParam = NULL

因为程序进入了DialogBoxParamA后，不会退出，但初始化窗口时还会调用其它函数，只有关闭窗口后才退出。
这里将前面3次中断后堆栈中的值，加上必须保存的句柄，将入口处的乱码改写如下：
push 402060
call 0040165C ;LoadLibraryA
mov [xxxxx],eax <—返回RichEdit20A句柄
push 0
call 00401656 ;GetModuleHandleA
mov [xxxxx],eax <—返回GetModuleHandleA句柄
push 0
push 401544
push 0
push 3E8
push [xxxxx] <—它一定是GetModuleHandleA返回的句柄
call 00401602 ;DialogBoxParamA

打开403000全局变量区，每中断一次就会写入一些数据。你会发现LoadLibraryA句柄存入了[403004]，GetModuleHandleA句柄存入了[403000]，这样前面的三个[xxxxx]都解决了(需要一些API函数知识)：即

push 402060 <—查402060是字串RichEd20.dll，原来是装载RichEd20库
call 0040165C ;call LoadLibraryA
mov [403004],eax <—返回RichEdit20A句柄
push 0
call 00401656 ;call GetModuleHandleA
mov [403000],eax <—返回GetModuleHandleA句柄
push 0
push 401544 <–DialogBoxParamA函数的Proc地址
push 0
push 3E8 <–窗口资源ID
push [403000] jmp dword ptr [40203C] ; USER32.SendMessageA
堆栈中是
0013FC14 00641CD7 /CALL 到 SendMessageA
0013FC18 004600B2 |hWnd = 4600B2
0013FC1C 00000080 |Message = WM_SETICON
0013FC20 00000001 |wParam = 1
0013FC24 0C1A027D \lParam = C1A027D
原来401371加密前应该是call 401625(即call SendMessageA)，查看地址401371，参数非常清晰，你不必费力去研究它的参数来源，它是装载图标。
注意，这个call SendMessageA不是接在开局的call DialogBoxParamA后面，因为程序还没有退出DialogBoxParamA。
记下00401371地址，将要修改为call 401625(参数修复前不要修改，可能程序会反复调用它)。
……………………………………
这样反复F9，反复记下中断地址和中断函数，(每中断一个jmp的地址，就关闭它的断点(API表中的F2不能关闭)。这样凡是与初始化有关的被虚拟的API都现身了！若发现再F9，老在API表中的SendMessageA(或其它函数)上中断，这是初始化中的调用，运行时总要进入系统领空，可按alt-F9让其返回(在VM中)，再F9回到用户领空。窗口未出现前可以先关闭SendMessageA的F2断点，但窗口出现后一定要恢复其断点。

(5)如果F9后，OD没有反应，但状态栏提示读取[FFFFFFFF]异常，不管它，这时，窗口已经出现了(看桌面状态条），程序进入了DialogBoxParamA中的消息循环。
到此为止，代码段中还有5个断点没有被访问，它们是窗口运行后才要访问的地址。

(6)按普通程序一样运行窗口，让它随便打开一个.exe文件，它立即中断在某jmp虚拟函数上，按前面同样的方法操作，在API函数表中就发现了它调用的API是谁了，这样就一个个地把Themida虚拟的函数清理完了。当代码段中的F2中断地址关闭完后。被VM虚拟的全部函数都现身了。（如何恢复参数，后面再说）

(7)反复运行窗口发现在代码中设置的断点0040151B9(jmp 00650859)始终没有被调用，而API表中的 MessageBoxA也没有被调用，可以肯定0040151B9(jmp 00650859)是虚拟了call MessageBoxA。原来它是一个出错对话框，当你打开一个非exe文件时，对话框就出现了。在堆栈中也可以找到它全部参数。

(8)入口的后半部
当清理完代码段中的所有jmp断点后(被虚拟的API)，可以关闭窗口了，按下关闭钮，立即中断在
0040164A .- FF25 2020400>jmp dword ptr [402020] ; kernel32.FreeLibrary
堆栈是
0013FF90 006546CA /CALL 到 FreeLibrary
0013FF94 74D90000 \hLibModule = 74D90000 0040100D .- E9 E0532300 jmp 006363F2 00401029 .- E9 408F2300 jmp 00639F6E 0040103E .- E9 95CC2300 jmp 0063DCD8 <–应该是call SendMessageA
00401043 . 46 inc esi
00401044 . 6F outs dx, dword ptr es:[edi]
00401045 . C2 0400 retn 4

(1)第一个call GetWindowTextLengthA，参数只有一个push [40300C]，前面已知这是RichEdit20A的句柄，显然它是获取编辑软件RichEdit20A中的字符数，结果应该暂存，eax怎样操作？
(2)第2个是call SendMessageA，消息发往RichEdit20A，堆栈中的表示是：
0013F798 00639F81 /CALL 到 SendMessageA
0013F79C 00450292 |hWnd = 450292
0013F7A0 00000437 |Message = MSG(437)
0013F7A4 00000000 |wParam = 0
0013F7A8 0013F7CC \lParam = 13F7CC <–移动光标或选择范围的操作是该参数指向一个CHARRANGE结构(8字节)

这下难了，必须弄清RichEdit20A是干什么的？原来它是一个大型文本编辑软件，操作十分复杂，这里是大才小用，只用它来显示数据，并不对数据编辑。对RichEdit20A的操作主要是靠SendMessageA发送消息。它操作前，一定要确定光标位，确定光标位消息中的 lParam参数指向一个CHARRANGE结构(2个dword)，这两个值相等，其值是光标位置；若不等则表示选择一个区间。
清楚了，GetWindowTextLengthA获取屏幕上字符长度，第1个SendMessageA应该将光标定于尾部，好让第2个 SendMessageA向它添加字符。那么第1个SendMessageA的参数13F7CC就一定是指向CHARRANGE结构，从ebp的值知 13F7CC是指向[ebp-8]，[ebp-4]即一个CHARRANGE结构，两个dword值应该相等且就是当前的字串长度。
这样，显然应该有：mov [ebp-8],eax；mov [ebp-4],eax。所以，代码应该如下：
call GetWindowTextLengthA
mov [ebp-8],eax
mov [ebp-4],eax
lea eax,[ebp-8]
push eax <—取CHARRANGE结构地址
push 0
push 437
push [40300C]
call SendMessageA

第2个SendMessageA一定是将buffer中的字串添加上去。它的参数lParam应该指向一个buffer。堆栈中参数是
0013F798 0063DCE9 /CALL 到 SendMessageA
0013F79C 00E20202 |hWnd = 450292
0013F7A0 000000C2 |Message = EM_REPLACESEL <– EM_REPLACESEL=C2
0013F7A4 00000000 |wParam = 0
0013F7A8 0040222F \Text = "————————————–
MSG消息EM_REPLACESEL也表示向RichEdit20A添加字符，参数lParam指向40222F，是直接push 40222F还是由调用程序带来？查调用401000的呼叫，知道它有多个地方调用，它的参数一定得由调用程序带来。
这样，接着的代码是
push [ebp+8] <–唯一的带来参数
push 0
push 0C2 <– 0C2=EM_REPLACESEL
push [40300C]
call SendMessageA

(4)SendMessageA没有返回值，最后还有乱码46 6f的原码是什么？观察程序，前面有pushad，后面一定要有popad，又汇编程序是堆栈自动平衡方式，最后一般都有leave，最后这个C2 0400 (retn 4)是否是原码呢？应该说是，Themida一般不去惹 call ebx、jmp eax、retn等代码，因为它的转跳是不定的，themida操作起来很复杂。
至此，这段代码被还原了。有的地方说法可能很勉强(因为有原码参考，所以我说得很肯定)，用在其它地方可能就不正确了。不管怎么说，分析起来虽然很困难，但肯定比从VM虚拟代码中还原要容易得多了。
本方法有个致命的弱点是，一些与被虚拟的函数无关的代码，如add eax,6，mov ecx,edi等是永远找不回来的。好在是已经编译过的.exe文件再用Themida加密，如果不提供原编译文件，则只能对API虚拟了，包含它附近的几个代码。有关API的参数代码相对简单一些，很少有前面说到的那些代码形式，退后一步说，即使有，且被漏掉了，但所有的API都被还原了，关系清楚了，虽然dump后的程序不能运行，但破解的欲望达到了！

四、可能出现的问题
1.如果你用OD打开文件后加载脚本，OD象没有反应一样直接就运行到了窗口出现。
结论：你可能是第1次将脚本用到其它程序上而又忘记了将脚本中的jmp Second恢复过来，或者你忘记了存盘。
2.用脚本第1次弹出对话框没问题，第2次按要求修改也存了盘，但就是不出现任何结果。
结论：Themida版本可能不是1.8.5.5版。或者“调试设置–异常页”的选项选得太多，特别是选择了“忽略特权指令或无效指令”。
3.脚本不能运行到底，Themida弹出警告框后退出。
结论：“调试设置–异常页”的选项选得太多，特别是选择了“忽略单步异常”。

我说话很啰索，谢谢你耐心读完。

————————————————————————–
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

（二）加殼軟件最常見的加殼軟件
ASPACK ，UPX，PEcompact 不常用的加殼軟件WWPACK32；PE-PACK ；PETITE NEOLITE

（三）偵測殼和軟件所用編寫語言的軟件
因為脫殼之前要查他的殼的類型。
1.偵測殼的軟件fileinfo.exe 簡稱fi.exe（偵測殼的能力極強）。
2.偵測殼和軟件所用編寫語言的軟件language.exe（兩個功能合為一體，很棒），推薦language2000中文版（專門檢測加殼類型）。
3.軟件常用編寫語言Delphi，VisualBasic（VB）—最難破，VisualC（VC）。

（四）脫殼軟件
軟件加殼是作者寫完軟件後，為了保護自己的代碼或維護軟件產權等利益所常用到的手段。目前有很多加殼工具，當然有盾，自然就有矛，只要我們收集全常用脫殼工具，那就不怕他加殼了。軟件脫殼有手動脫和自動脫殼之分，下麵我們先介紹自動脫殼，因為手動脫殼需要運用彙編語言，要跟蹤斷點等，不適合初學者，但我們在後邊將稍作介紹。
加殼一般屬於軟件加密，現在越來越多的軟件經過壓縮處理，給漢化帶來許多不便，軟件漢化愛好者也不得不學習掌握這種技能。現在脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水準要求，涉及到很多彙編語言和軟件調試方面的知識。而自動就是用專門的脫殼工具來脫，最常用某種壓縮軟件都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要 UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付目前各種壓縮軟件的壓縮檔。在這裡介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道檔的加密方式，就可以使用不同的工具、不同的方法進行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施，供大家參考：脫殼的基本原則就是單步跟蹤，只能往前，不能往後。脫殼的一般流程是：查殼 ->尋找OEP->Dump->修復找OEP的一般思路如下：先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常，找到對應的popad後就能到入口，跳到入口的方式一般為。我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼，脫殼處理的方法都不相同。

常用脫殼工具：
1、文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan。
2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 。
3、dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE。
4、PE文件編輯工具PEditor，ProcDump32，LordPE。
5、重建Import Table工具：ImportREC，ReVirgin。
6、ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid 。
（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了。
（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。
（3）Upx： 可以用UPX本身來脫殼，但要注意版本是否一致，用-D 參數。
（4）Armadill： 可以用SOFTICE+ICEDUMP脫殼，比較煩。
（5）Dbpe： 國內比較好的加密軟件，新版本暫時不能脫，但可以破解。
（6）NeoLite： 可以用自己來脫殼。
（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脫殼。
（8）Pecompat： 用SOFTICE配合PEDUMP32來脫殼，但不要專業知識。
（9）Petite： 有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。
（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合 PEDUMP32脫殼。

======================================================
EDIT by john0312:

轉貼自: http://www.pediy.com/bbshtml/BBS5/pediy50555.htm

方法一：　　
1.用OD載入，不分析代碼！　　
2.單步向下跟蹤F8，是向下跳的讓它實現。　　
3.遇到程式往回跳的（包括循環），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點??運行到所選）。　　
4.綠色線條表示跳轉沒實現，不用理會，紅色線條表示跳轉已經實現！　　
5.如果剛載入程式，在附近就有一個CALL的，我們就F7跟進去，這樣很快就能到程式的OEP。
6.在跟蹤的時候，如果運行到某個CALL程式就運行的，就在這個CALL中F7進入。　　
7.一般有很大的跳轉，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就會到程式的OEP。

方法二：　　
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬體訪問斷點，就會一下來到程式的OEP了！）　　
1.開始就點F8，注意觀察OD右上角的寄存器中ESP有沒出現。　　
2.在命令行下：dd 0012FFA4(指在當前代碼中的ESP地址)，按回車！　　
3.選種下斷的地址，下硬體訪問WORD斷點。　　
4.按一下F9運行程式，直接來到了跳轉處，按下F8，到達程式OEP，脫殼

方法三：　　
內存跟蹤：　　
1：用OD打開軟體！　　
2：點擊選項』調試選項』異常，把裡面的忽略全部√上！CTRL+F2重載下程式！　　
3：按ALT+M，打開內存鏡象，找到第一個.rsrc.按F2下斷點，然後按SHIFT+F9運行到斷點，接著再按ALT+M，開內存鏡象，找到.RSRC上面的CODE，按F2下斷點！然後按SHIFT+F9，直接到達程式OEP，脫殼

方法四：　　
一步到達OEP（前輩們總結的經驗）　　
1.開始按Ctrl+F,輸入：popad（只適合少數殼，包括ASPACK殼），然後按下F2，F9運行到此處　　
2.來到大跳轉處，點下F8，脫殼它！

方法五：　　
1：用OD打開軟體！　　
2：點擊選項』"調試選項』"異常，把裡面的√全部去掉！CTRL+F2重載下程式！　　
3：一開是程式就是一個跳轉，在這裡我們按SHIFT+F9，直到程式運行，記下從開始按F9到程式　　運行的次數！　　
4：CTRL+F2重載程式，按SHIFT+F9（次數為程式運行的次數-1次　　
5：在OD的右下角我們看見有一個SE 句柄，這時我們按CTRL+G，輸入SE 句柄前的地址！　
6：按F2下斷點！然後按SHIFT+F9來到斷點處！　　
7：去掉斷點，按F8慢慢向下走！　　
8：到達程式的OEP，脫殼！

　　手動脫殼就是不借助自動脫殼工具，而是用動態調試工具SOFTICE或TRW2000來脫殼。這課談談一些入門方面的知識，如要瞭解更深的脫殼知識

　　工具

　　*調試器：SoftICE 、TRW2000

　　*記憶體抓取工具：Procdump等；

　　*十六進位工具：Hiew、UltraEdit、Hex Workshop等；

　　*PE編輯工具： Procdump、PEditor等； 　

　　名詞概念

　　★PE文件：Microsoft設計了一種新的檔格式Portable Executable File Format(即PE格式)，該格式應用於所有基於Win32的系統：Windows NT、Windows 2000、Win32s及Windows 95/98。 　

　　★基址（ImageBase ）:是指裝入到記憶體中的EXE或DLL程式的開始位址，它是Win32中的一個重要概念。 在Windows NT中，缺省的值是10000h;對於DLLs，缺省值為400000h。在Windows 95中，10000h不能用來裝入32位的執行檔，因為該位址處於所有進程共用的線性位址區域，因此Microsoft將Win32可執行檔的缺省基底位址改變為400000h。 　

　　★RVA：相對虛擬位址（Relative Virual Address），是某個項相對於檔映象位址的偏移。例如：裝載程式將一個PE檔裝入到虛擬位址空間中，從10000h開始的記憶體中，如果PE中某個表在映射中的起始地址是10464h,那麼該表的RVA就是464h。虛擬位址(RVA)＝偏移位址＋基址（ImageBase ) 　

　　★Entry Point：入口點，就是程式在完成了對原程式的還原後，開始跳轉到剛還原的程式執行，此時的位址就是入口點的值。

　　2、步驟 　

　　★確定殼的種類 　

　　一般拿到軟體後，可用工具FileInfo、gtw、TYP32等偵測文件類型的工具來看看是何種殼，然後再採取措施。 　

　　★入口點（Entry Point）確定 　

　　對初學者來說定位程式解殼後的入口點確定較難，但熟練後，入口點查找是很方便的。 決大多數 PE 加殼程式在被加密的程式中加上一個或多個段。 所以看到一個跨段的 JMP 就有可能是了。如：UPX 用了一次跨段的 JMP ， ASPACK 用了兩次跨段的 JMP 。 這種判斷一般是跟蹤分析程式而找到入口點，如是用TRW2000也可試試命令：PNEWSEC，它可讓TRW2000中斷到入口點上。

　　PNEWSEC：執行直到進入一個 PE 程式記憶體的新的 section時產生中斷點。（如不懂，以後到脫殼高級篇自會明白） 　

　　另外也可用D.boy的衝擊波2000,它能輕易的找到任何加密殼的入口點， 　

　　★dump取記憶體己還原檔 　

　　找到入口點後，在此處可以用 Procdump的FULL DUMP功能來抓取記憶體中整個檔，

　　如是用TRW2000也可用命令： 　

　　makepe命令含義：從記憶體中整理出一個指令名稱的PE格式的exe檔， 當前的 EIP 將成為新的程式入口，生成檔的 Import table 已經重新生成過了。生成的PE檔可執行任何平臺和微機上。 　

　　pedump命令含義：將PE檔的記憶體映射直接映射到指定的檔裏。生成的檔只能在本機執行，不能在其他系統平臺或微機執行。 　　

　　★修正剛dump取的檔 　

　　如是用 Procdump的FULL DUMP功能脫殼的檔，要用 Procdump或PEditor等PE編輯工具修正入口點（Entry Point）。

1. 斷點︰所謂斷點就是程式被中斷的地方，這個詞對於解密者來說是再熟悉不過了。那麼什麼又是中斷呢？中斷就是由於有特殊事件（中斷事件）發生，計算機暫停當前的任務（即程式），轉而去執行另外的任務（中斷服務程式），然後再返回原先的任務繼續執行。打個比方︰你正在上班，突然有同學打電話告訴你他從外地坐火車過來，要你去火車站接他。然後你就向頭家臨時請假，趕往火車站去接同學，接著將他安頓好，隨後你又返回公司繼續上班，這就是一個中斷過程。我們解密的過程就是等到程式去獲取我們輸入的註冊碼並準備和正確的註冊碼相比較的時候將它中斷下來，然後我們透過分析程式，找到正確的註冊碼。所以我們需要為被解密的程式設定斷點，在適當的時候切入程式內部，追蹤到程式的註冊碼，從而達到crack的目的。

2. 領空︰這是個非常重要的概念，但是也初學人是常常不明白的地方。我們在各種各樣的破解文章裡都能看到領空這個詞，如果你搞不清楚到底程式的領空在那裡，那麼你就不可能進入破解的大門。或許你也曾破解過某些軟體，但那只是瞎貓碰到死老鼠而已（以前我就是這樣的^_^,現下說起來都不好意思喔﹗）。所謂程式的領空，說白了就是程式自己的地方，也就是我們要破解的程式自己程式碼所處的位置。也許你馬上會問︰我是在程式營運的時候設定的斷點，為什麼中斷後不是在程式自己的空間呢？因為每個程式的編寫都沒有固定的模式，所以我們要在想要切入程式的時候中斷程式，就必須不倚賴具體的程式設定斷點，也就是我們設定的斷點應該是每個程式都會用到的東西。在DOS時代，基本上所有的程式都是工作在中斷程式之上的，即幾乎所有的DOS程式都會去調用各種中斷來完成任務。但是到了WINDOWS時代，程式沒有權力直接調用中斷，WINDOWS系統提供了一個系統功能調用平台（API），就向DOS程式以中斷程式為基礎一樣，WINDOWS程式以API為基礎來實現和系統打交道，從而各種功能，所以WINDWOS下的軟體破解其斷點設定是以API函數為基礎的，即當程式調用某個API函數時中斷其正常營運，然後進行解密。例如在SOFTICE中設定下面的斷點︰bpx GetDlgItemText（獲取對話框文本），當我們要破解的程式要讀取輸入的數據而調用GetDlgItemText時，立即被SOFTICE攔截到，從而被破解的程式停留在GetDlgItemText的程式區，而GetDlgItemText是處於WINDWOS自己管理的系統區域，如果我們擅自改掉這部分的程式代碼，那就大禍臨頭了^_^﹗所以我們要從系統區域返回到被破解程式自己的地方（即程式的領空），才能對程式進行破解，至於怎樣看程式的領空請看前面的SOFTICE圖解。試想一下︰對於每個程式都會調用的程式段，我們可能從那裡找到什麼有用的東西嗎？（怎么樣去加密是程式自己決定的，而不是調用系統功能實現的﹗）

3. API︰即Application Programming Interface的簡寫，中文叫應用程式編程界面，是一個系統定義函數的大集合，它提供了訪問作業系統特徵的方法。 API包含了幾百個應用程式調用的函數，這些函數執行所有必須的與作業系統相關的操作，如內存分發、向螢幕輸出和創建視窗等，用戶的程式透過調用API界面同WINDOWS打交道，無論什麼樣的應用程式，其底層最終都是透過調用各種API函數來實現各種功能的。通常API有兩中基本形式︰Win16和 Win32。 Win16是原來的、API的16位版本，用於Windows 3.1；Win32是現下的、API的32位版本，用於Windows 95/98/NT/ME/2000。Win32包括了Win16，是Win16的超集，大多數函數的名字、用法都是相同的。16位的API函數和32位的 API函數的區別在於最後的一個字母，例如我們設定這樣的斷點︰bpx GetDlgItemText、bpx GetDlgItemTextA和bpx GetDlgItemTextW，其中 GetDlgItemText是16位API函數，GetDlgItemTextA和GetDlgItemTextW是32位API函數，而 GetDlgItemTextA表示函數使用單位元組，GetDlgItemTextW表示函數使用雙位元組。現下我們破解中常用到的是Win32單位元組API函數，就是和GetDlgItemTextA類似的函數，其它的兩種（Win16 API和Win32雙位元組API函數）則比較少見。 Win32 API函數包含在動態鏈接庫（Dynamic Link Libraries，簡稱DLLs）中，即包含在kernel32.dll、user32.dll、gdi32.dll和comctl32.dll中，這就是為什麼我們要在softice中用exp=C:\windows\system\kernel32.dll等命令行將這些動態鏈接庫匯入 softice中的原因。因為不這樣做的話，我們就無法攔截到系統Win32 API函數調用了。

4. 關於程式中註冊碼的存在模式︰破解過程中我們都會去找程式中將輸入的註冊碼和正確的註冊碼相比較的地方，然後透過對程式的跟蹤、分析找到正確的註冊碼。但是正確的註冊碼通常在程式中以兩種形態存在︰顯式的和隱式的，對於顯式存在的註冊碼，我們可以直接在程式所處的內存中看到它，例如你可以直接在 SOFTICE的數據視窗中看到類似』297500523″這樣存在的註冊碼（這裡是隨意寫的），對於註冊碼顯式存在的軟體破解起來比較容易；但是有些軟體的程式中並不會直接將我們輸入的註冊碼和正確的註冊碼進行比較，比如有可能將註冊碼換算成整數、或是將註冊碼拆開，然後將每一位註冊碼分開在不同的地方逐一進行比較，或者是將我們輸入的註冊碼進行某種變換，再用某個特殊的程式進行驗証等等。總之，應用程式會採取各種不同的複雜運算模式來迴避直接的註冊碼比較，對於這類程式，我們通常要下功夫去仔細跟蹤、分析每個程式功能，找到加密算法，然後才能破解它，當然這需要一定的8086彙編編程功底和很大的耐心與精力。

5. 關於軟體的破解模式︰本人將破解模式分為兩大類，即完全破解和暴力破解。所謂完全破解主要是針對那些需要輸入註冊碼或密碼等軟體來說的，如果我們能透過對程式的跟蹤找到正確的註冊碼，透過軟體本身的註冊功能正常註冊了軟體，這樣的破解稱之為完全破解；但如果有些軟體本身沒有提供註冊功能，只是提供試用（DEMO），或是註冊不能透過軟體本身進行（例如需要獲取另外一個專用的註冊程式，透過INTERNET的註冊等等），或者是軟體本身的加密技術比較複雜，軟體破解者的能力、精力、時間有限，不能直接得到正確的註冊碼，此時我們需要去修改軟體本身的程式碼，即人為改淙砑 腦誦蟹較 庋 鈉平獬浦 ζ平狻?

6. 關於破解教程中程式代碼位址問題︰破解教程中都會放上一部分程式代碼以幫助講解程式的分析方法，例如下面的一段程式代碼︰
……
0167:00408033　PUSH　00
0167:00408035　PUSH　EBX
0167:00408036　CALL　[USER32!EndDialog]
0167:0040803C　JMP　0040812C
……
在這裡程式中的代碼位址如0167:00408033，其代碼段的值（即0167）有可能根據不同的電腦會有區別，不一定一模一樣，但偏移值應該是固定的（即00408033不變），所以如果看到破解文章裡的程式代碼的位址值和自己的電腦裡不一樣，不要以為搞錯地方了，只要你的程式代碼正確就不會有問題。

7. 關於如何設定斷點的問題︰正確恰當的設定好斷點對於快速有效的解密非常重要，好的斷點設定可以使我們迅速找到關鍵的程式段，而不恰當的斷點則會對解密造成不必要的精力消耗，甚至根本就不能攔截到程式的營運。但是具體什麼時候用什麼斷點比較合適很難說，這需要自己用經驗去累積，總的說來bpx hmemcpy這個萬能斷點對大多數註冊碼模式的軟體都有用，初學人不妨多試試這個斷點（通常我也是用這個斷點設定，懶嘛^_^，哈哈。。。）。對於那些需要暴力破解的非註冊碼模式的軟體，通常我們應該攔截對話框（如bpx DialogBox）和消息框（如bpx MessageBox(A)）等。不論對於哪一類軟體，當我們設定的斷點均沒有效果時，可是試一下bpx lockmytask，這個斷點的作用是攔截任何一個按鍵的動作，具體常用的一些斷點設定請參考』破解常用斷點設定』一文。另外，在註冊碼的破解中通常需要輸入用戶名和註冊碼，一般說來用戶名和密碼都可以隨意輸入，但是根據我自己的經驗，很多軟體對於註冊碼都會逐位的進行處理，假如輸入』78787878″這串數字，那麼在跟蹤程式的時候我們就無法知道我們當時所看到的』78″倒底是哪一個』78″，所以我比較喜歡用』12345678″這樣的註冊碼輸入模式，這樣的話就就能知道程式是在對註冊碼的哪一位進行運算，同樣的對於那些需要輸入較長序列號的軟體，輸入類似』12345-67890-ABCDEF』這樣的序列號較好。 不過有一點大家需要特別的注意︰上面講的註冊碼輸入模式』12345678″是針對攔截WIN32 API函數來說的，假如有些時候直接攔截WIN32 API函數難以找到程式的突破口，而要借助於』S』指令在內存中尋找我們輸入的用戶名或註冊碼時，就最好不要採用』12345678″作為註冊碼，因為內存中很可能有許多的』12345678″字元串，這樣我們沒有辦法知道倒底我們要破解的程式使用的是哪一個』12345678″，所以我們應該選擇一個不易和內存數據相同的註冊碼，比如︰74747474（本人喜歡用，意思嘛︰去死去死。。。哈哈哈^_^），對應的搜索指令為︰ S 30:0 L FFFFFFFF ’74747474′ 。當然，以上只是我個人的習慣而已，具體用什麼樣的輸入形式可以根據本人的愛好、習慣來定，不必拘泥於某一固定的模式。

——————————————————————————–

跳轉命令

——————————————————————————–

根據條件作出是否跳轉的決定,通常前面會有一個判斷語句,例如: CMP AX,BX JZ XX 上面兩條命令意為用AX減BX,它的值如果為0則跳轉到XX的標號行. 常用的跳轉命令有: JZ/JE 相等或為零為則跳轉
JNZ/JNE 不相等或不為零則跳轉
JL/JLE 小於/小於或等於則跳轉
JG/JGE 大於/大於或等於則跳轉
JMP 無條件跳轉

——————————————————————————–

比較語句

——————————————————————————–

CMP AX,BX AX 寄存器減去BX寄存器的內容
AND AX,BX AX 與BX做』與運算』
OR AX,BX AX 與BX做』或運算』
TEST AX,BX 與 AND AX,BX 命令有相同效果
XOR AX,AX 使AX的內容清零,每個寄存器與自己作異或運算等於清零動作.

——————————————————————————–

子程式

——————————————————————————–

一個子程的模樣長得像這個樣子 CALL 15F:334422 子程式是個很重要的概念,它是主程式的一個分支,用來做特定動作. 打個比方: 你要上班,先你是走路到車站,然後上車,然後下車,然後走到自己的辦公室. 這里如果要把上班編為一段程式的話,那麼就可以把』走路』,』搭車』,』走到辦公室』做為分支程式來處理. 說得再通俗一點就是: 你要破解的程式不可能就是一條主程式到底,肯定會呼叫下面的子程式,由子程式來處理你送出的注冊資訊,然後比較,然後標記是否注冊正確,這些都是靠它來完成的. 所以說,破解的關鍵在於,你找準程式在哪兒將會作注冊判斷,並進入那個注冊子程式,仔細觀察,你就成功了.子程式的返回碼是 RET

——————————————————————————–

算術運算

——————————————————————————–

ADD AX,BX 加法運算 AX=AX+BX
SUB AX,BX 減法運算 AX=AX-BX
INC AX 寄存器加一 AX=AX+1
DEC AX 寄存器減一 AX=AX-1
MUL 乘法運算
DIV 除法運算

——————————————————————————–

資料操作

——————————————————————————–

MOV AX,BX 資料傳送指令,將BX的值移送到AX中
XCHG AX,BX 將AX與BX的值互換

2.破解的工具介紹

修改檔案的工具: PCTOOLS, HVIEW, PSE等,這些都是DOS下的修改程式,如今是WINDOWS的天下,當然應該選用 ULTRA-EDIT了,它的功能可是非常強大哦,我會在下期將它放在破解工具區中.

除錯程式的工具: DEBUG, SYMDEB, GAMETOOLS, CM386等,太多了,但是這些都只能調試實模式下的程式,所以如果要破WINDOWS下的 軟體,必須備上: SOFT-ICE, TR, 等.

編碼相關工具: UNP, PKLITE, GT, WWPACK, UNWWPACK等是一些壓縮及解壓縮的工具,一個程式被壓縮的目的是防止有人破解它,它通過一定的運算法編輯,執行的時候用自己的壓縮算法 在記憶體中開辟一塊區域,解碼後再執行,所以如果你要破解一個被壓縮了的軟體時,在記憶體中看到的機械碼會與軟體本身不一樣,從而使你不能修改它. 所以另一類常駐式的修改工具相應而生,如 TSRCRACK.

檔案回寫工具: EXEWRITE, EXESHAPE等,這些工具的目的也是為了解壓縮程式,它通過害記憶體中追蹤到的一毓的寄存器的位址,加上一些運算來重新產生一個新的沒有編碼的軟體.

破解強手之路: SOFT-ICE

鬼佬的SOFT-ICE,功能非常強大,防當能力也是一流,所以幾乎沒有什麼程式它不能夠追不下去的. 說起來就有點讓人激動,確實如此,下面簡單地介紹一些它的常用指令:

命令代碼 命令意義 示例
S 在記憶體中搜尋指定字符串 S 0:F L30 ’7979′ 在0:F至0:F+30的記憶體中搜尋’7979′字符
D 看記憶體內容 D EAX 查看EAX的記憶體內容
E 編輯記憶體內容 E DS:EAX 編輯DS:EAX的記憶體
R 修改寄存器內容 R EAX 1 修改EAX寄存器值為1
A 反匯編指令 A 11:22 在11:22的記憶體中直接反匯編機器指令
BPM/BPX 下中斷點指令 BPX HMEMCPY 下中斷點在’Hmemcpy’
BL 列出當前所有中斷點 BL
BC/BD 清除/禁止中斷點 BC * 清除所有的中斷點

另外,再介紹 ICE 常用的幾條快捷指令鍵,必須熟悉掌它們.

F4鍵 看USER的畫面
F5鍵 返回USER程式
F6鍵 游標在命令與記憶體區切換
F7鍵 讓程序執行到游標所在處
F8鍵 單步執行,遇到CALL則進入執行
F9鍵 在游標所在代碼處下中斷點
F10鍵 單步執行,遇到CALL則跳過執行
F12鍵 相當於指令P RET,返回主程式
CTRL-D鍵 呼叫ICE
F1鍵 ICE的幫助資訊,請詳細參看

3.KANJIWEB V3.0注冊實例破解

各位破解愛好者們,你們好.相信大家都盼這一集盼了很久吧?不錯,真刀實槍上戰場的時候到了,不要掉頭跑開哦.

這次拿來開刀的程式是我比較喜歡用的內碼識別及轉換工具,它也是我的破解處女作.這個小程序功能很不錯,不過不注冊的話,只能用一個月左右. 它每次安裝都會產生一個隨機數字,然後根據這個數字來算出注冊碼,所以每次安裝的注冊碼都不會完全相同.

首先,請準備一本草稿紙及一支筆,然後就可以開始了.

將 KanJiWeb V3.0的主程式 MultiWord 程式打開,然後單擊』X』形功能表,選擇』Register…』功能表,出現一個對話框: 最下面寫著: REGISTERED NO: 521608708 ,當然我們看到的數字肯定不一樣,因為是隨機的嘛!程式會根據這9個數字來重新算出9個字符的注冊碼來. 好,廢話少說,單擊 Register 按鈕,在 Serial NO: 中填入: 79797979. 第一步: 填好以後,記住不要急著按OK按鈕,因為我們先要進到 ICE 里面把中斷設好,不然的話怎麼攔它呀?按 CTRL-D組合鍵呼出 ICE 來. 在命令區內輸入: BPX MESSAGEBOX . 第二步: 現在按 F5鍵返回原程式,按下剛才未按下的 OK 按鈕. 第三步: 發生了什麼事? 看到了吧,厲害的ICE馬上攔到了,看看你現在在什麼地方:
User !messagebox
從此處開始 按 F10鍵單步跟蹤程式…
178F:0000 POP EAX
178F:0002 XOR EBX,EBX
178F:0005 POP DX
178F:0006 AND BX,BF7F
178F:000A PUSH EBX
178F:000C PUSH 00
178F:000E PUSH EAX
178F:0010 JMP 0013
178F:0013 PUSH BP
178F:0014 MOV BP,SP
178F:0016 PUSH 6B
178F:0019 MOV BX,[BP+14]
178F:001C TEST BX,BX
178F:001E JNZ 0025
178F:0020 XOR EAX,EAX
178F:0023 JMP 0028
178F:0025 CALL 00A0
178F:0028 PUSH EAX
…(略)
178F:0043 CALL 0119
178F:0046 MOV AX,[BP+08]
178F:0049 MOV CX,[BP+0A]
178F:004C TEST AX,0C08
178F:004F JNZ 0057
178F:0051 TEST CX,FFFE
178F:0055 JZ 005D
178F:0057 MOV BX,F005
178F:005A CALL 0105
178F:005D PUSH CX
178F:005E PUSH AX
178F:005F PUSH WORD PTR[BP+06]
178F:0062 PUSH CS
178F:0063 CALL 1DE2
當程式走到 178F:0063 CALL 1DE2 處時會出現注冊碼錯誤的資訊框,我們重新注冊一遍, 當再次走到此地時按F8鍵進入觀察:
178F:1DE2 Enter 0024,00
178F:1DE6 PUSH ESI
178F:1DE8 PUSH DS
178F:1DE9 MOV AX,1087
178F:1DEC MOV DS,AX
178F:1DEE MOV ESI,[BP+14]

當走到此處時,下命令: D BP+14 ,在記憶體區會看見一組數字: D0980200(4 BYTES), 你的數字和我寫的可能不一樣,再次下命令如下格式: D 000298D0 ,在記憶體區右邊欄里會看見一組9個字符,對了,這就是注冊碼了. 趕快用筆抄下來,那麼這個軟體就破解完成了,是不是很簡單啊?!

另外說明一下: 為什麼 D0980200 在用 D 命令查看時會是 000298D0 呢?因為在匯編中寄存器的位置是高位在後,低位在前, 所以變成 0200為第一個高字組,而排列時又為: 0002了,D098的排列一樣,排到 0200 的後面,變成是: 98D0.嗯,是有點復雜,不過習慣了就好了.

也許又有人問: 為什麼我會知道剛才那處是注冊碼露頭的地方呢? 老實說,要靠判斷及經驗的積累,光靠一處處的死看是看不出來的, 有個重要的概念給你們先提出來: 破解的時候,眼睛緊盯著很有問題的 CMP (比較命令)和 JNZ(跳轉命令)之類的語句,另外,像EAX,EDX,ESI,EDI,在算注冊碼的CALL處都會發生變化,注意它們的變化對你的破解會很有幫助.當進入一個CALL時,你要注意EBP的變化,它是隱藏真正注冊碼和你輸入的注冊碼的最後基地

KANJIWEB V3.0注冊實例破解
今天我再來給大家講一講KANJIWEB V3.0的破解,與上一個不同的是: 這次換用另一個中斷點,會有什麼不同呢?往下看看就知道了.
第一步,將KanJiWeb啟動,然後將注冊框敲出來,輸入注冊碼: ’79797979′.輸入完了,不要急著按OK鍵.
第二步,切換到ICE中(知道怎麼切換吧:按CTRL-D鍵),下中斷: Bpx GetDlgItemText ,然後按F5鍵返回注冊程式.
第三步,按下注冊框的OK鍵,發生什麼事了,對,被ICE攔下來了,到此步,我們已經成功一半了.也許有的網友表示懷疑,但是你要給自己一點自信心嘛!不然,我怎麼教你也白搭.
第四步,將中斷暫時屏蔽,用什麼命令呢?對了: Bd * ,星號代表所有的中斷.
第五步,按一下F12鍵,在我的機器上是一次就夠了,你自己要試按.停下後,按F10鍵開始追蹤了…

10C7:3900 LEA AX,[BP+FF52]
… 略過
10C7:39C9 XOR BYTE PTR [SI],86
10C7:39CC INC SI
10C7:39CD LEA AX,[BP+FE2F]
10C7:39D1 CMP SI,AX
10C7:39D3 JB 39C9
程式在此循環九遍
10C7:39D5 LEA DI,[BP+FE26]
10C7:39D9 LEA SI,[BP-4A]
在此下命令: D SI /D DI
看見什麼了: SI=自己輸入的注冊碼
DI=真正的注冊碼
… 略過
10C7:39F4 OR AX,AX
10C7:39F6 JNZ 3A3A
… 略過
10C7:3A32 JMP 3A53
10C7:3A34 MOV SI,[BP-08]
10C7:3A37 JMP 3A6D
10C7:3A39 NOP
10C7:3A3A MOV SI,0001
10C7:3A4E CALL USER!MESSAGEBOX
當程式走到 10C7:3A4E 處就會出現注冊失敗的資訊框,那怎樣避免呢?很簡單,往上面看看有什麼地方可跳過此CALL呢? 找到了嗎?對了,它在: 10C7:3A32 JMP 3A53 處,但剛才為何沒走到此處呢?當你重新追蹤一遍會發現問題出在: 10C7:39F6 JNZ 3A3A 處, 知道了吧,如果沒有那個跳轉命令,就不會出現討厭的注冊失敗的資訊了.知道該怎麼辦呢?當然是動手干掉它了,將它NOP掉就可以了. NOP的機器碼是: 90. 下 CODE ON 命令,將 JNZ 3A3A 的兩個BYTE改為 9090 即可.

DEBUG 在每個人的機器里都會有,只是很多人對它都很陌生,如果你掌握了它的用法,對你的日常使用及維護工作會帶來很大的方便,下面介紹一些它的基本指令用法:

指令 格式 功能 註解
A A [記憶體位址] 組譯匯編語言指令 A 100
C C [區段1] [區段範圍] [區段2] 將兩塊記憶體作比較 C 100 L20 200
D D [記憶體拉址] 顯示記憶體的內容 D 100
E E [記憶體位址] 編輯記憶體資料 E 100
F F [指定區段範圍] 填充指定記憶體區塊內容 F 100 L10 90
G G [區段:區址] 帶有任選斷點執行 G 100(現在不要試用)
H H [運算子] [運算子] 十六進制加減運算 H 44 33
I I [連接埠] 讀/顯示輸入位元組
L L [記憶位址]或[磁碟,磁軌,磁區] 裝入文件或磁區 L 100 2 1 2
M M [區段範圍] [記憶體位址] 傳送記憶體區塊 M 100 L10 110
N N [檔案名稱] 定義文件及參量 N bb.com
O O [連接埠位址] 輸出位元組到連接埠
P P [區段:區址] 在下一指令上停止 P 2
Q Q 退出DEBUG界面 Q
R R [寄存器] 顯示修改寄存器/標志 R AX
S S [記憶區段範圍] 對字符進行檢索 S 100 L70 ‘j’
T T [=記憶區段]或[數值範圍] 單步追蹤 T
U U [記憶位址] 對指令進行反匯編 U 100
W W [記憶區段]或[指定範圍] 寫入文件或磁盤扇區 W 100 0 1 1

下面對一些常用指令進行詳細剖析:
A (Assemble) 匯編指令
1,輸入匯編語句被匯編到記憶體的指定區段,此區段在開始時用A address 指定.
2,所有語句輸入完成後,按ENTER鍵返回
3,完成輸入後,可以用U命令觀看它的機械碼
D (Dump) 顯示命令
1,從指定的地址開始顯示內容,如果沒有指定地址,則從前一個D命令繼續顯示.
2,如果沒指定地址並是第一次,則從DS:100處開始顯示.

G (Go) 轉移命令
1,執行正在調試的程序,當執行到指定的地址時停止,並顯示寄存器樗和下一條要執行的命令
2,G [=address].用於執行正在調試沒有斷點的程式.
3,程序運行結束,DEBUG顯示』Porgram terminated normally』

R (Register) 寄存器命令
1,顯示一個寄存器的十六進制內容,並可根據需要改變它們.
2,顯示8個字母的狀態標志,並可根據需要更改它們之中的任一個或全部

U (Unassemble) 反匯編命令
1,對指令進行反匯編,它們的地址和十六進制以類似於匯編語言的語句一起顯示出來.
2,單獨用U命令從CS:100處開始反匯編
3,U命令預設段地址包含CS寄存器中.

DEBUG 技巧應用
1,用DEBUG對子目錄加密 DOS在管理文件目錄時,用32個位元組來保存根目錄和子目錄的資訊,對子目錄而言,0~10位元組為子目錄域,第11位元組為屬性.我們只要將子目錄屬性位元組的值從10H改為13H時,子目錄即具有拒絕DIR,TREE等命令的性能.例如:
對A盤的SUBDIK子目錄進行加密:
C:\>DEBUG
-L 100 0 5 7 (將A盤中目錄讀入記憶體)
-S 100 FFF 『SUBDIK』 (搜索子目錄)
-38EB:07c0 (搜索到的子目錄地址)
-E 07CB (07C)+0B=07CB 為屬性位元組位址)
38EB:07CB 10.13 (修改完成)
-W 100 0 5 7 (目錄寫回A盤中)
-Q (退出)

2,解除BIOS密碼
C:\>DEBUG
-O 70 10
-O 71 11
重新啟動,BIOS密碼已被攻破

3,冷啟動實現
C:\>DEBUG RESET.COM
-A 100
JMP FFFF:0000
INT 20
-RCX
00007
-W
-Q

4,熱啟動實現
C:\DEBUG BOOT.COM
-A 0100
MOV AX,0040
MOV DS,AX
MOV AX,1234
MOV SI,0072
MOV [SI],AX
JMP FFFF:0
INT 20
-RCX
0014
-W
-Q

這一集里,我就一些網友提出的問題作一個系統的整理,我會從ICE的安裝開始一步步地說起,到ICE的使用界面介紹,及一些我的破文中的疑難之處.有許多問題都還弄不懂的朋友千萬要記住來看哦.
Soft-ICE的安裝
在下載本站的ICE後,用ZIP打開,選擇SETUP.EXE即直接進行安裝了
第一步,出現軟體的版本相關資訊,按NEXT進行下一步.
第二步,出現版權資訊,選擇YES,同意啦.
第三步,出現注冊碼,因為是已經破解版,所以不用輸注冊碼,有很多網友寫信來問注冊碼,其實不用管它啦.直接NEXT了.
第四步,選擇安裝目錄,預設為:C:\SIW95下,選擇完畢後按NEXT.
第五步,在Manufacturer中選擇合適的顯示器,在Model中選擇相應的類型,預設為:Standard VGA,一般不用更改,選擇好以後,按一下TEST再NEXT.
第六步,選擇滑鼠的連接埠配置,一般預設為:COM1,自己看著辦,再NEXT.
第七步,系統配置,有三個選擇,選擇第一個,讓ICE來配置AUTOEXEC.BAT文件,第三個不做任何改動.
第八步,同意以上幾種配置嗎?同意就按NEXT開始安裝了.
注: 有的網友寫信來說ICE經常死機,即出現’R'/’C'字樣,按’R'返回ICE的界面,打EXIT即可脫離ICE的環境,出現這種情況多半是因為 WINDOWS出現記憶體中的非法操作而導致的.建議的做法是:平時不使用它時,在AUTOEXEC.BAT文件中用REM語句屏掉ICE的啟動,需要時再讓它啟動.我就是這麼做的.

Soft-ICE界面講述
現在很多網友來信,問我的講座中的記憶體區指什麼地方? 下面做一個系統的介紹.
首先,在ICE啟動的情況下,按CTRL-D組合鍵呼出ICE,打入』R』指令,這時你看見的像: EAX=00000003 EBX=00300040 ECX=20783303 EDX=A0F23300 等,這就是寄存器顯示資訊,它會對你的破解很有幫助的.
第二欄長得像這個樣子: 0028:C000C0E7 JECXZ C000C0F4 ,這里你看到的就是程式的流程碼了,破解時也是要盯在這里,其中0028:C000C0E7是程式的區段:偏移址,你可以把它看作是命令: JECXZ C000C0F4的家,每條命令都有一條位址’家’.我把這一欄叫做程式流程區,如果敲入CODE ON即可看到該程式命令的機械碼了.
第三欄就是ICE的最底部,當你切入ICE時,游標停在那里,等待你輸入命令,我把它叫做命令區,如果你第一次操作,可打入HELP來看看ICE的一些命令介紹.
第四欄當你在命令區敲入D命令時,會出現如: 0030:00000000 9E0FC90065047000 – 1600DF0C65047000 …..e.p…..e.p. 這樣的東東,它就是我常說的記憶體區了.它分為左邊欄和右邊欄,右邊欄是記憶體中的ASCII碼,不過大部分你看到的都是亂碼.可使用E 位址 命令來修改左邊欄.

Soft-ICE中斷選擇
很多網友來信問為什麼他的中斷開的都不行呢?原因很簡單,其實開中斷也有一些技巧可言,很多中斷都是破解前輩們摸索出來的,我們現在只需要照做就行了,是不是幸福多了.一個中斷點的選擇好坏直接關係到程式破解力度的強弱,有的網友問我其中有什麼區別呢?關於這一點,我也只能簡單地說一說,因為本人的水平有限.
BPX HMEMCPY 注冊碼破解的萬能中斷點
BPX CREATEWINDOWEX 開窗攔截中斷,可用來破解時間過期程式
BPX LOCKMYTASK ErrorFree 試出來的,當你找不到合適的中斷時,可試試它,它是攔截你按一個按鈕的動作
BPX GETDLGITEMTEXT 注冊碼攔截中斷,對於有的程式並不生效,它在取碼時發生中斷.
BPX DIALOGBOX 攔截對話框中斷,16位程式
BPX DIALOGBOXPARAM 攔截對話框中斷,32位程式
BPX MESSAGEBOX 攔截送出資訊中斷
BPX UPDATEWINDOW 我試出來的中斷之一
BPX GETMESSAGE 我試出來的中斷之二

另外,本人曾遇到過任何中斷無效的東東,怎麼辦呢?這時候可以使用ICE附帶的Symbol Loader程式來載入.

目標軟體: 心奕1.0
首先打開程序,選擇』幫助』=>』注冊心奕』 然後在注冊名框中輸入coolfly,在注冊碼框中輸入』79797979″.這是我的習慣,你也可以輸入任意數字.
按CTRL-D鍵呼出ICE,下中斷: bpx hmemcpy. 記住,下完中斷後,按F5鍵返回程序,然後才可以按下注冊畫面的確認鍵.這時被ICE攔下,試按F12鍵,看多少次會出現失敗畫面. 記住你剛才的按下,如N次.再次重復動作,被攔下時,按N-1次F12鍵,停下後開始按F10鍵單獨追蹤程式:
15F:00403B9D CMP EAX,01
15F:00403BAD JNZ 00403C95 … 15F:00403C53 CALL [ECX+10] =>按F10鍵帶過此CALL時會出現失敗窗. 15F:00403C56 TEST EAX,EAX 15F:00403C58 JZ 00403C77 判斷15F:00403C53的那個CALL必定有問題,在此設斷(將游標放到那一行,然後按下F9鍵即可).重新注冊會被直接在此攔到,按F8鍵進入這個CALL:
…
15F:10001722 CALL 10001880 當程式走到此處時,停下來.
15F:10001727 TEST EAX,EAX 此時如果你輸入的注冊碼不對,則EAX的值肯定為0,正確則為1
15F:10001729 JZ 10001830
重新注冊,進入15F:10001722的CALL:
15F:10001880 PUSH FF
…
15F:1000189B MOV EDI,[EBX+28] 在此用D EDI可看到自己的注冊名 …
15F:100018AC MOV EAX,[EAX-08] 在此用D EAX可看到自己的注冊碼 …
15F:100018C8 MOVSX EDX,BYTE PTR[ECX+EDI] 15F:100018CC LEA EAX [EAX*4+EAX] 15F:100018CF INC ECX 15F:100018D0 CMP ECX,ESI ESI中存有注冊名的個數N 15F:100018D2 LEA EAX,[EAX*2+EDX] 15F:100018D5 JL 100019C8 程式在此會有N個循環,由注冊名來算出注冊碼. … 15F:100018FF CALL 10001AE8 15F:10001904 MOV EAX,[EBX+24] 用D EAX可看到自己輸入的注冊碼 15F:10001907 MOV EDX,[ESP+18] 用D EDX可看到真正的注冊碼:bbdb0b92 抄下它吧,大功告成,下結論吧:
Name: coolfly S/N: bbdb0b92
到此為止,是不是覺得很簡單,不要害怕,有什麼不懂的可以來問我,共同學習,不要不懂裝懂哦,年輕人要以學習為重.
目標軟體: IP搜索客V1.0
首先用右鍵單擊該程序圖標,選擇注冊
在注冊框里面輸入: 79797979
按CTRL-D鍵切換到ICE,輸入: bpx hmemcpy 下中斷,然後按F5鍵回到程序中,按程序的注冊按鈕,這時被ICE攔到,開始按F12慢慢走,同時要記住數按F12的次數,直到出現失敗畫面出現.
此為一按.
再次重復上面的步驟,不過按F12的次數為上一次按數減1.
此為二按!
二按後,在此停下:
15F:0040327B MOV ESI,[ESP+14]
15F:0040327F MOV EAX,[EDI+5C]
15F:00403282 MOV DL,[EAX] 在此下D EAX命令可以看到真正的注冊為:268279.此號因程序給出的序號不同而不同.
15F:00403284 MOV BL,[ESI] 在此下D ESI命令可以看到79797979,是自己下的注冊碼

…
下面的程式都是一些判斷注冊碼是否正確的程式,只要將EAX中的東東抄下即可完成破解了.

密碼常用中斷
Hmemcpy (win9x專用)
GetDlgItemTextA
GetDlgItemInt
vb:
getvolumeinformationa 　
vbastrcomp (trw)
Bpx __vbaStrComp (記得是兩個 ‘;_’;)
MSVBVM60!_vbastrcomp|sofice
MSVBVM50! |　
VBAI4STR　
Ctrl+D
bpx msvbvm60!__vbastrcomp do 『d *(esp+0c)』(softice)
按幾次F5出冊碼出來了。
bpx regqueryvalueexa do 「d esp－>8」(trw)　
vbaVarTstEq 判斷是否註冊的函數
(0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], ax
改為0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], bx)

時間常用中斷
GetSystemTime
GetLocalTime
GetTickCount
vb:
rtcGetPresentDate //取得當前日期　
殺窗常用中斷
Lockmytask (win9x專用)
DestroyWindow
mouse_event (鼠標中斷)
postquitmessage (Cracking足彩xp,很有用^_^)
vb:
_rtcMsgBox　
ini文件內容常用中斷
GetPrivateProfileStringA
GetPrivateProfileProfileInt　
key文件:
getprivateprofileint
ReadFile
CreateFileA　

註冊表常用中斷
RegQueryvalueA
RegQueryvalueExA　

狗加密中斷
BPIO -h 278 R
BPIO -h 378 R 　

其它常用函數斷點
CreateFileA (讀狗驅動程序),
DeviceIOControl,
FreeEnvironmentStringsA (對付HASP非常有效).
Prestochangoselector (16-bit HASP’;s), ‘;7242′; 查找字符串 (對付聖天諾).具體含義參考下面的範例。　

光盤破解中斷
16:
getvolumeinformation
getdrivetype
int 2fh (dos)
32:
GetDriveTypeA
GetFullPathNameA
GetWindowsDirectoryA　

讀磁盤中斷
GETLASTERROR 返回擴充出錯代碼 　

限制中斷
EnableMenuItem 允許、禁止或變灰指定的菜單條目
EnableWindow 允許或禁止鼠標和鍵盤控制指定窗口和條目（禁止時菜單變灰） 　

不知道軟盤中斷是什麼了？還有其它特殊中斷，不知道其他朋友可否說一下了？
如:Lockmytask and mouse_event，這些就不是api32函數？
win9x 與 win2k進行破解，以上中斷有部分已經不能用了？
不知道在win2k上，以上常用中斷函數是什麼了？
也就是問密碼、時間、窗口、ini、key、註冊表、加密狗、光盤、軟盤、限制等！
瞭解常用的中斷，對破解分析可以做到事半功倍！
請大家說一下！還有如何破解了某個軟件時，一重啟就打回原形？
不知道下什麼中斷了？可以分為三種情況：
1.比較可能在註冊表中
2.比較在特殊文件(*.key *.ini *.dat等)
3.比較在程序中，沒有任何錯誤提示或者反譯也找不到明顯字符(這個就是我想問的)　
還有一個是最難的，就是去掉水印！
也可以三種情況：
A.水印是位圖文件(bitblt,creatBITMAP等位圖函數)
B.水印是明顯字符(反譯分析)
C.水印不是明顯字符(如：This a demo!它只是顯示在另一個製作文件上,可是*.htm *.exe等)
C.才是最難搞，也是很多人想知道的！包括我在內。不知道高手們有何提示了？　

廣告條：
可以分兩種情況:
A.從創建窗口進手,可以用到movewindow或者其它窗口函數!
B.從位圖進手,也可以用到bitblt或者其它位圖函數!
最後可以借助一些現有工具(如:api27,vwindset,freespy之類的工具)　
葡萄雖無樹，藤生棚中秧。
人處凡塵中，豈不惹塵埃?　

小球[CCG]
那要看是在哪作的標記，通常是在註冊表中留下信息！
在softice中就要用bpx regqueryvalueexa do 『d esp->8″來中斷看看，
在trw中要用bpx regqueryvalueexa do 『d*(esp+8)』來中斷看看。
還有的是在本目錄下留下註冊信息，常見的有.dat .ini .dll等等，
我是用bpx readfile來中斷的，還有的是在windows目錄下留下註冊信息。
你可以借助專用的工具幫助你查看，入filemon等！ 　
vb:　
1、__vbaVarTstNe //比較兩個變量是否不相等
2、rtcR8ValFromBstr //把字符串轉換成浮點數
3、rtcMsgBox 顯示一信息對話框
4、rtcBeep //讓揚聲器叫喚
5、rtcGetPresentDate //取得當前日期 　

針對字串:
__vbaStrComp
__vbaStrCmp
__vbaStrCompVar
__vbaStrLike
__vbaStrTextComp
__vbaStrTextLike

針對變量:
__vbaVarCompEq
__vbaVarCompLe
__vbaVarCompLt
__vbaVarCompGe
__vbaVarCompGt
__vbaVarCompNe 　

VB的指針:
THROW 　
VB DLL還調用了oleauto32.dll中的部分函數。oleauto32.dll是個通用的proxy/stub DLL，其每個函數的原型在 中定義，並在MSDN中有詳細描述。這也有助於理解VB DLL中的函數的作用。 　
舉例： 　
LEA EAX, [EBP-58]
PUSH EAX
CALL [MSVBVM60!__vbaI4Var] 　
執行call之前敲dd eax+8，得到的值為3；
執行完call之後，eax = 3
從而可知__vbaI4Var的作用是將一個VARIANT轉換為I4（即一個長整數）。　
__vbaVarTstNe似乎是用來進行自校驗的，正常情況下返回值為0。
已知適用的軟件有：網絡三國智能機器人、音樂賀卡廠。當這兩個軟件被脫殼後都回出錯，網絡三國智能機器人會產生非法*作，而音樂賀卡廠會告訴你是非法拷貝，通過修改__vbaVarTstNe的返回值都可讓它們正常運行。
所以當您遇到一個VB軟件，脫殼後無法正常運行，而又找不出其它問題時，可試試攔截這個函數，說不定會有用哦。8-）　
API不太知道,也許可以通過BIOS在98平台上讀寫扇區,不過在2000/NT下可以通過內黑ATAPI,HAL寫扇區

machoman[CCG]
bpx WRITE_PORT_BUFFER_USHORT
NT/2000下這個斷點,當edx=1f0h,時,可以看見EDI地址內數據為扇區位置數據,必須先 在winice.dat 中裝入hal.sys 詳細內容看ATAPI手冊 　

補充篇:
關於對VB程序和時間限制程序的斷點
CrackerABC
先給出修改能正確反編譯VB程序的W32DASM的地址：
======================
offsets 0x16B6C-0x16B6D 　
修改機器碼為： 98 F4
====================== 　

VB程序的跟蹤斷點： 　
============
MultiByteToWideChar,
rtcR8ValFromBstr,
WideCharToMultiByte,
__vbaStrCmp
__vbaStrComp
__vbaStrCopy
__vbaStrMove
__vbaVarTstNe
rtcBeep
rtcGetPresentDate (時間API)
rtcMsgBox
========= 　

時間限制斷點： 　
================
CompareFileTime
GetLocalTime
GetSystemTime
GetTimeZoneInformation
msvcrt.diffTime()
msvcrt.Time()
================ 　

一般處理
bpx hmemcpy
bpx MessageBox
bpx MessageBoxExA
bpx MessageBeep
bpx SendMessage　
bpx GetDlgItemText
bpx GetDlgItemInt
bpx GetWindowText
bpx GetWindowWord
bpx GetWindowInt
bpx DialogBoxParamA
bpx CreateWindow
bpx CreateWindowEx
bpx ShowWindow
bpx UpdateWindow　
bmsg xxxx wm_move
bmsg xxxx wm_gettext
bmsg xxxx wm_command
bmsg xxxx wm_activate 　

時間相關
bpint 21 if ah==2A (DOS)
bpx GetLocalTime
bpx GetFileTime
bpx GetSystemtime 　
CD-ROM 或 磁盤相關
bpint 13 if ah==2 (DOS)
bpint 13 if ah==3 (DOS)
bpint 13 if ah==4 (DOS)
bpx GetFileAttributesA
bpx GetFileSize
bpx GetDriveType
bpx GetLastError
bpx ReadFile
bpio -h (Your CD-ROM Port Address) R 　

軟件狗相關
bpio -h 278 R
bpio -h 378 R 　

鍵盤輸入相關
bpint 16 if ah==0 (DOS)
bpint 21 if ah==0xA (DOS) 　

文件訪問相關
bpint 21 if ah==3dh (DOS)
bpint 31 if ah==3fh (DOS)
bpint 21 if ah==3dh (DOS)
bpx ReadFile
bpx WriteFile
bpx CreateFile
bpx SetFilePointer
bpx GetSystemDirectory 　

INI 初始化文件相關
bpx GetPrivateProfileString
bpx GetPrivateProfileInt
bpx WritePrivateProfileString
bpx WritePrivateProfileInt 　

註冊表相關
bpx RegCreateKey
bpx RegDeleteKey
bpx RegQueryvalue
bpx RegCloseKey
bpx RegOpenKey 　

註冊標誌相關
bpx cs:eip if EAX==0 　

內存標準相關
bpmb cs:eip rw if 0×30:0x45AA==0 　

顯示相關
bpx 0×30:0x45AA do 『d 0×30:0x44BB』
bpx CS:0x66CC do 『? EAX』

6. KiKiVac: // 533b7d
7. mov edx,[7cd55c] //把[7cd55c]位址的內容複製到edx
8. lea edx,[edx+35c] //把[edx+35c]的地址給edx
9. mov ecx,[edx] //把edx位址的內容複製到ecx
10. mov edx,[7cd55c]
11. lea edx,[edx+358]
12. lea eax,[edx] //把[edx]的地址給eax
13. mov eax,[eax]
14. jmp KiKiReturn //跳到 KiKiReturn 執行
15. KiKiReturn:
16. jmp 53B852 //跳到 53B852 執行
17. [disable]
18. unregistersymbol(KiKiVac) //註銷變數
19. dealloc(KiKiVac) //釋放記憶體
//mov 傳遞變數數值
//lea 傳遞變數地址

基本上來說, 這段程式碼是作一個Detour Hook. 有許多外掛的核心運作原理就是Hook.

一般來說, 如果需要更改一個程式的行為, 我們可以有兩種主要的方法來達成, 一種就是更改那個程式運行時候的變數. ( CE 裡面加入地址跟值的那種 ) 另一種就是改變程式的程式碼.

有時候, 我們需要改變一段程式碼, 例如說, 程式碼原本是 0xAA 0xBB 0xCC 0xDD 0×11 0×22, 那我們要把他改成0xAA 0xBB 0xFF 0xDD 0×11 0×22, 原本的0xCC變成0xFF, 程式的行為就改變了. 但是, 時常出現的問題是, 我們要改的東西比原本的大, 例如說, 我們要把0xCC改成0×77 0×88 0×99, 那空間不夠, 怎麼辦呢? 我們就再取得一塊記憶體( alloc(KiKiVac,256) ), 然後寫我們要的程式碼進去, 然後, 再將原本的地方改成跳至我們取得的那塊記憶體執行即可, 這種方式就是Hook. 那特別是使用jmp的方法改變執行順序的Hook方式, 我們叫他Detour Hook.

—————————————————–

如果想要真正了解這段程式碼, 我建議你一定要熟讀x86的指令集, 這是最基本的, 然後在了解CE的Auto assembly的指令( [enable], [disable], alloc, dealloc, registersymbol, unregistersymbol, label ), 最後要了解遊戲程序裡面, 靠近你Hook的程式碼附近是什麼意義, 那就可以了解這段程式碼真正的意義.

參考: x86 指令集官方參考資料 http://www.intel.com/products/processor/manuals/ ( 詳見Volumn 2 )

【標 題】：Cheat Engine 各個模組原碼分析以及運作原理
【作 者】：john0312
【時 間】：2006-12-17 10:45 PM
【連 結】：http://bbs.twshare.net/viewthread.php?tid=122985

我中文不好,若有詞不達意,請各位見諒.
小弟在此獻醜,希望這裡的大大們不嫌棄.

1. 簡介
『工欲善其事,必先利其器』, 當我們要搞外掛, 就要對我們的工具 — Cheat Engine 瞭如指掌. Cheat Engine
是由荷蘭人 Dark Byte (它的暱稱) 寫的. 至今, Dark Byte 已將五年的心血花在 Cheat Engine 上,
這程式的規模自然不小, 因此我今天將為大家解釋 Cheat Engine 的各個模組, 以及他內部的運作.

2. 必要的知識,以及用詞的定義
一. 從 CPU 說起
我們目前用的 x86 CPU ( x86 就是一般 Intel 和 AMD 的 32位元 CPU ) 有4個權限層次 ( 英文裡叫做
Ring ) — Ring 0, Ring 1, Ring 2, Ring 3.
Ring 0 是甚麼指令都可以執行,甚麼記憶體都可存取.
Ring 3 是最受限制的層次, 也不可以存取非Ring3以外的記憶體

我們用的 Windows 作業系統只用到Ring3以及Ring0, 分別是 User-mode 以及 Kernel-mode.
一般程式執行於 Ring3 ( User-mode ). 則作業系統核心以及驅動程式執行於 Ring0 ( Kernel-Mode ).

二. 虛擬記憶體

我們的 CPU 有一個功能,那就是將任何一塊實體記憶體貼在虛擬記憶體上,當存取那塊虛擬記憶體時,就像存取那塊實體記憶體一樣.
正確一點來說,作業系統可以規定哪一塊實體記憶體對應虛擬記憶體的哪一個位置,例如:作業系統說0×00001000到0×00002000的實體記憶體貼到0×00401000的記憶體,那程式存取0x004018FF,就等於存取實體記憶體的0x000018FF,若程式存取0x00403E66,那也會存取對應的實體記憶體.
另外一點,虛擬記憶體的觀念是由CPU和作業系統管理的,一般的程式是不知道的,程式中的地址也是虛擬記憶體的地址(你們的代碼也是虛擬記憶體的地址)
在Windows作業系統裡,虛擬記憶體地址0×00000000~0x7FFFFFFF是Usermode記憶體
0×80000000~0xFFFFFFFF是KernelMode記憶體.
在每個程序間,KernelMode的記憶體都是相同的,但UserMode記憶體卻對應著不同的實體記憶體.

3. 外掛運行的原理
外掛主要分兩種: 1. 記憶體修改 ( 包括: Debug Register ) 2. 人工智慧練功 ( 如: 達人, MSBot.. etc )
Cheat Engine 屬於記憶體修改, 我們用的地址, 是遊戲程式用來決定一些事情的指令 ( 例如: 無敵地址是決定你有沒有被打中 )
由於大家都是執行於UserMode. 而UserMode的程式又不能存取實體記憶體,所以需要透過一些系統的API來達成修改遊戲程式的記憶體.

4. 模組間的關係,以及Cheat Engine整體運作原理

Windows 本身有提共一些外掛用得到的API,例如: OpenProcess(), ReadProcessMemory(),
WriteProcessMemory()… 等.
由於一些可惡(又可愛 XD)的防外掛軟件,用Hooking技術,導致這些API不能使用. 因此Dark Byte寫了一些代替的API.
Cheat Engine 內的選項允許你選擇使用Windows的API(透過kernel32.dll)或是用Cheat
Engine本身的API(部分跟Windows相同)
CheatEngine的API都是由dbk32.sys處理. CheatEngine.exe 本身不呼叫 dbk32.sys,
但是他載入dbk32.dll,而dbk32.dll呼叫dbk32.sys
CheatEngine還有許多模組,例如: cehook.dll, stealth.dll, dxhook.dll… 等,
但他們不常用到,因此這次就不提了.

5. CheatEngine.exe 分析
CheatEngine.exe主要是由Pascal(Delphi)語言寫的, 是原碼中的CheatEngine.dpr編譯成的.
CheatEngine.dpr 使用(Include/use)原碼中主目錄下面大多的檔案. CheatEngine.dpr
的檔案主要有兩種,一種主要與你溝通,這種檔案每一個 .pas 檔和 .dfm 檔組成一個視窗 ( 如:
MemoryBrowserFormUnit.pas 以及 MemoryBrowserFormUnit.dfm 組成我們用的 Memory
View ) 另一種是與下面一層的API溝通,如Debuger.pas, Debuger2.pas,
NewKernelHandler.pas… 等
NewKernelHandler.pas直得我們得關注,他與dbk32.dll溝通. 不像一般程式載入DLL,
newkernelhandler.pas用LoadLibrary()及GetProcAddress(), 手動載入DLL.
….
DarkByteKernel:= LoadLibrary(dbkdll);
if DarkByteKernel=0 then exit;
KernelVirtualAllocEx:=GetProcAddress(darkbytekernel,’VAE’);
KernelOpenProcess:=GetProcAddress(darkbytekernel,’OP’);
KernelReadProcessMemory:=GetProcAddresS(darkbytekernel,’RPM’);
KernelWriteProcessMemory:=GetProcAddress(darkbytekernel,’WPM’);
….
NewKernelHandler.pas 同時也會跟 Windows 本身的 API 講話.
….
WindowsKernel:=LoadLibrary(‘Kernel32.dll’);
if WindowsKernel=0 then Raise Exception.create(‘Something is really
messed up on your computer! You don』t seems to have a kernel!!!!’);
ReadProcessMemory:=GetProcAddress(WindowsKernel,’ReadProcessMemory’);
WriteProcessMemory:=GetProcAddress(WindowsKernel,’WriteProcessMemory’);
OpenProcess:=GetProcAddress(WindowsKernel,’OpenProcess’);
VirtualQueryEx:=GetProcAddress(WindowsKernel,’VirtualQueryEx’);
….

6. dbk32.dll 的分析
dbk32.dll 可以說是今天說到的幾個最小的模組, 是原碼在dbk32目錄下. 少的只有兩個檔案 — dbk32.dpr and
dbk32functions.pas.
dbk32.dll 與 dbk32.sys 溝通.
在我分析dbk32.dll的原碼之前,我要先說明KernelMode的驅動程式和Usermode的程式是如何溝通的. Kernelmode
與 Usermode 之間有 n 種溝通方式,
但最常用的是DeviceIOControl,UserMode程式一般先對KernelMode驅動程式提出要求(並提共一個要求代碼(CTL_CODE),這代碼是兩邊都懂的),並準備一個緩衝區(Buffer).
KernelMode驅動程式收到要求,就從緩衝區讀出資料,做該做的動作,再將結果寫回緩衝區.
我們來看看dbk32functions.pas中是如何做的:
….
const IOCTL_CE_READMEMORY = (IOCTL_UNKNOWN_BASE shl 16) or
($0800 shl 2) or (METHOD_BUFFERED ) or (FILE_RW_ACCESS shl 14);
const IOCTL_CE_WRITEMEMORY = (IOCTL_UNKNOWN_BASE shl 16) or
($0801 shl 2) or (METHOD_BUFFERED ) or (FILE_RW_ACCESS shl 14);
const IOCTL_CE_OPENPROCESS = (IOCTL_UNKNOWN_BASE shl 16) or
($0802 shl 2) or (METHOD_BUFFERED ) or (FILE_RW_ACCESS shl 14);
….
以上是KernelMode驅動程式以及Usermode的dbk32.dll約定好的要求代碼,我在以GetIDTCurrentThread做一個例子
….
function GetIDTCurrentThread:dword;
var cc,br: dword;
idtdescriptor: packed record
wLimit:word;
vector: dword;
end;
begin
if hdeviceINVALID_HANDLE_VALUE then
begin
cc:=IOCTL_CE_GETIDT;
deviceiocontrol(hdevice,cc,nil,0,@idtdescriptor,6,br,nil);
result:=idtdescriptor.vector;
end else result:=0;
end;
….
他先檢查dbk32.sys是否已連接上
要求代碼存在cc中,之後傳到DeviceIOControl Function上. idtdescriptor 則是緩衝區

7. dbk32.sys 分析
由於dbk32.sys執行於KernelMode,幾乎所有外掛的動作皆是由dbk32.sys執行的. 因此,我個人認為dbk32.sys是最精華的一部分.
dbk32.sys 在原碼的DBKKernel目錄下, 程式的進入點在DBKDrv.c.
DBKDrv.c 主要跟 dbk32.dll 溝通. 一些要求當場在DBKDrv.c處理,一些則交給其他檔案處理.
DBKDrv.c 的 MSJDispatchIoctl 處理dbk32.dll的DeviceIOControl要求
由於dbk32.sys中的原碼比較難,所以我就不多說.

8. 附錄: 推薦閱讀
I.
II.
III.
IV.