软件破解常见问题

韩冰

来源:看雪学院

) H3 N, H1 Q+ {

5 w# \' P. d6 ]2 V0 s2 q" I9 v( ^9 S. ~3 m- _: t& B% ]! B. ]4 n- j' }& d% Y* S0 R ]* u4 _8 `4 o" B

我系统是win9x,每次SOFTICE都自动装载，在windows下一按CTRL+D自动激活它，有什么办法解决？

这是SOFTICE安装时默认时改变了AUTOEXEC.BAT，自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载，你只要去掉这一行，问题就解决了。在你需要用SOFTICE时，在纯DOS环境下，在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。

8 ^9 h" t/ [ b4 Z % X) x- X' \9 K1 O( @& W2 V3 k1 u- l0 F5 `6 N* j

2、如何知道软件是被什么加的密？

用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 .

. Y* \- Y/ n2 x- X/ y ; v) V: d# T* k a8 }8 u$ t4 G( q5 | P% `( ?8 _, R, a. D

3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义，我的SOFTICE怎么拦不住？

在 softice 的目录下有一个文件叫 winice.dat 其实是个文本文件,将这文件的最后几行把他改成如下 ： 前面有分号的就是注解，把后面有 *32.dll 的方号去掉就行了 $ \- z, Z: N! q- E顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 $ ?# D9 b. ?7 R) z* S EXP=c:\windows\system\kernel32.dll EXP=c:\windows\system\user32.dll EXP=c:\windows\system\gdi32.dll ! \" ?* F4 ], D% r) e1 K4 mEXP=c:\windows\system\comdlg32.dll 0 J( X- e, G1 z0 o$ P; yEXP=c:\windows\system\shell32.dll EXP=c:\windows\system\advapi32.dll 1 a. A8 e6 e* W1 n! [% k# eEXP=c:\windows\system\shell232.dll ! m8 x2 ?9 Z! J# VEXP=c:\windows\system\comctl32.dll 3 E# l: y6 f6 | n- `;EXP=c:\windows\system\crtdll.dll $ ?% x _+ s9 x6 F# U' ~$ };EXP=c:\windows\system\version.dll 3 Z1 h0 v, w# ~EXP=c:\windows\system\netlib32.dll 4 \4 X% U7 `2 s% z6 Q$ x' ?6 w;EXP=c:\windows\system\msshrui.dll 3 S! W A0 T$ g% T. DEXP=c:\windows\system\msnet32.dll , `* \# k# k0 x3 ?EXP=c:\windows\system\mspwl32.dll % C, v0 }" c9 h9 T% q/ F; P;EXP=c:\windows\system\mpr.dll 3 e/ k; {3 {! c# w u, v$ iexp=c:\soft\95logo3\vb40032.dll exp=c:\windows\system\msvbvm50.dll 4 ~3 s( g# _5 v# I# rexp=c:\windows\system\msvbvm60.dll

; S0 J2 n5 r# J, [1 o

4、我在调试软件时，经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等，这是怎么回事？ ( q" J- Z/ c( }9 C因为win9x系统是一个16位和32位混合的操作系统，在这系统上能运行16位和32位的应用软件，所以你如调试不同位数的软件时，在寄存器上就反应出来了，EAX、EBX、ECX等是32位寄存器，而AX、BX、CX等是来表示16位寄存器。

! z/ F( u* g8 k; Y

5、如何在TRW2000下拦截VB运行库中的函数？

1 Z `# l' R- S" X, C8 w7 _- u$ G7 z

你要用TRW2000拦截Vb程序，需要用1.15版以上，将相应的VB运行库复制到TRW2000的DLL目录下，你也可用此法装载其它DLL文件。

6、问：我只会用bpx hmemcpy来下断点，也看过看雪先生的教学文章，但对其他断点一直是一知半解，所以现在问题来了。 某些程序并没有输入注册码的地方，只在开始运行时弹出一个对话框，告诉你还剩多少天了，有延迟，这种软件一般怎么破解。如：LView pro、PaintShop pro等

答： ) P/ a4 M2 J& v5 V8 K R8 g8 ]& e2 ^! [程序像一条竹竿，断点就是上面的结（当然是我们设定的）。选择一个好的断点有助于我们少走弯路。其实你说的情况，没有注册窗口，只有nag. 此时可能仍可以用bpx hmemcpy。此外，你可以采用其它方法。 以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。 9 K# N Z: g. m( W1. 当nag窗口出现后，激活trw or softice，下断点bpx lockmytask（或bpx destroywindow)，回到psp.exe，按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 / ^9 v1 K: n/ y4 N: b/ f A5 \- F这时按下F6，你就可以找到这个call前的code，并在其上下断点。若在这之前有跳转，如jz,jnz等，你就可以想办法使nag窗口不出现。

" C* e. U/ Y+ J7 l" g

2. 在这个nag窗口中，你会见到一些"版权宣言"及"你已经试用了*天，还有**天可以用"等的话。将之抄下，叫出trw 或softice,用 s 0 ffffffff "抄下的话"(trw) 或 s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截，余下的同例1。

3. 若程序主窗口完全出现后再有延迟窗口出现，你可以在主窗口出现，而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走，直到你确定了延迟窗口出现的那行code.

0 M! D4 W% `8 d2 `9 G+ h c

4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法，在string reference中找到延迟窗口中的话，在这代码前下断点拦截。

5 X; C* |; t( |1 i' D* d6 r5 I& k

以上简单介绍了几种方法，不知对你是否有帮助。

6 I* ]: a' h6 |1 Q, K' w7 a# _

7、问：命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂，您能给讲一下吗？多谢。

' ~' E4 H3 D1 S, R' Z

答：这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. + X$ ?) z# e4 I% z8 c, x当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. 否则每次程序call regqueryvalueexa时都会被拦. 2 v. g9 P$ t6 B, o. L0 I% T8 Y' b拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, ->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.

4 _8 q! b3 [: ^0 I ~. p

8、问：为什么用W32DASM反汇编不能显示中文信息？

3 l" H- R% l% L# v5 ]

答：wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编.

; T, x5 h) M! H1 G9 m" {% p

9、问：请问如何修改TRW2000的字体颜色？

6 F" C2 g4 j1 \6 }. u/ Z

答：在TRW2000命令下用ver blue。

10、问：介绍一下Launcher Generator补丁制作工具

4 ^3 P/ i4 p0 ?# C

答：LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.

11、问：我在用hiew改如下代码时： 5 B) i k& N- A, S00469206 e877d5f9ff call 00406782 0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx * A" ^1 j6 S8 x3 L1 A: Y我想屏蔽掉第一行：是否用 nop指令？我试了试，但修改后，发现第二行 变成了： 00469207 f4 hlt 是否对程序有影响，修改时必须保证源字节数？

$ u. u( C+ W L w G, A$ c

答：当然有影响，你修改必须保证nop的字节＝e877d5f9ff的字节： 1 v" C' L6 c& {9 k& Q4 g

00469206 e877d5f9ff call 00406782 这行要5个nop来填充即： 9090909090代替e877d5f9ff

# f/ `7 L' L& ?3 `

你在hiew中连续改5行后，这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx

12、问：我在破解时，追到一行这样的代码： 00406582 0f84f1000000 je 000406679 7 E- K) S- m" {3 U% Q我想改变程序的方向，je改为jne后是否可以，如不是该怎样，请指教。 另，在win32dasm中，我想改反汇编后的代码，如何改？是否得用别的16位编辑器，怎么用？ ! G1 w8 U f, P `$ L) o以上两个问题，困惑了我很久，请各位多指教，不胜感激！！！！！！！

答：

7 M) W" D" j* k4 r

①00406582 0f84f1000000 je 000406679 你可在这一行，下A命令（进入小汇编状态），然后可输入你的正确的汇编代码，你在这可改为：jne 000406679 % h. j& K! w' N但TRW2000 demo版，此命令不能用，你可用SOFTICE来完成这工作。 ; \) N' V% O+ D9 g& v但我推荐你可在这一行，在TRW2000或SOFTICE下命令:r fl z 这样就可改变跳转指令。 & s G& _9 x' F8 a8 ifl是标志寄存器，r命令修改此寄存器相关的值，具体参考SOFTICE手册和汇编书籍。 Q# r I. P, u. c& r5 M1 ~在win32dasm中不能改变程序代码，你可用16进制工具来完成，推荐用hiew来完成。

; q9 m/ L7 S! ~. D" G7 O3 M: b) j

②也可以在trw中，用鼠标移动到愈修改代码出，直接修改，如75变74，即jnz->jz

2 }" P: c: H3 {, ]* ?, c

③在trw中，下命令e adress [欲修改之代码]

6 `8 y/ V' s8 p0 M6 s+ L' c

14、问：在汇编语言中，"[]"的用法？如： 1、push dword ptr [024c1100] ! h9 K: U) h% \* C2、cmp eax,[ebp+14] 6 t7 [5 V0 N( `3 z' z8 s: x5 k- O3、cmp byte ptr [eax],46 4、lea eax,[edx-02] 5、mov ecx,[edx+08] 其中"[]"里的内容，什么时候表示的是值，什么时候表示的是地址，为什么？第4个是不是把"edx-02"的值作为地址送给eax？？？

另一个问题是：我发现在soft-ice中，在寄存器区（即最上面的那个区，标志位下面）的右下脚有一个类似："ds：xxxxxxxx=xxxxxxxx"的字样，时隐时现，并不断变化，不知是干什么用的，请指教，不胜感激！！！！！！！！

" u) @+ G5 }" A6 A5 ]

答：

①右下角显示的那个是当前指令要操作的内存的地址及内容 。 $ z5 {: n9 e! }& @# M6 |lea指令表示取有效地址，第4个是把"edx-02"的值送给eax。

# }- F7 X( G- E" M. y$ m1 Q

② 1 n- m5 a9 O. M1，压栈024c1100值的双字 2,eax-ebp+14的有效值，不保留值，主要看标志位。 7 P. [; N2 z; y# s2 `/ D3,字节型eax-46,看标志位 4,把edx-02的有效值给eax 5,edx+8处值作为地址，此地址的值给ecx

7 ?! q/ F$ }* A2 L7 A8 M& w

15、问：能否推荐几本书？

0 P- {9 p. y+ d: t

答：

1、《Win95系统编程奥秘》在这里：http://www.multimania.com/mpietreks2/ . ?# U9 J r3 l7 v5 W8 D9 Z2、《Thinking in C++》：http://www.bruceeckel.com/ThinkingInCPP2e.html 3、《Art of ASM》简直是汇编大全，http://win32asm.cjb.net或　　　　　　http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html 5、

16、问：我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征？怎样看？我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。

答：你换个图形界面的windows程序试试，不要用hiew，f12并不是转到那个领空，F12是跳出子程序，如： 7 \- j6 ?8 U3 Wmov eax,1 inc eax c. R. \5 k% P, O9 Yret---------你在这段程序中按F12,就跳出此子程序，从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序，其实你用F10也能达到这一目的，F10来到inc eax，再按F10,执行RET一行，结果和你按F12一样的，只是F12更省事。

" _6 \" P. ^1 C) P/ q6 E

领空是一形象说法，说明SOFTICE目前调试的程序代码是哪个程序的，一般会在SOFTICE屏幕下的三分之一处会有一光条线，中间有文件名，如： ------------------------ACDSEE!CODE+???------------------------

/ J& F# n% L, i; [' t

这表明目前SOFTICE是在ACDSEE程序的代码处，是ACDSEE.EXE不是ACDSEE.DLL就不知了，要具体分析

0 N9 s: \1 ?' e7 n& N9 m