pcsurgeon.exe逆向分析

运行软件（一个nag+未注册+5天使用限制）




1。先弄字符串的
在CPU窗口查找字符串，
*要从最上面开始，它会自己往下搜索
 
搜出的结果不止一个，可以ctrl+L查找下一个，自己判断一下哪个是
 
双击进入

在这条汇编的上面有一条跳转，跳至

更改跳转，让它跳，运行一下

保存文件

但在help-about里还是没注册，继续找字符串

同样会找到几个，自己判断，一般前面反汇编的ascii不是


 双击进入，用上面的跳转跳过，保存


注册了之后前面的nag自然也没了



分析，回到修改的第一个跳转哪里

应该是注册了没在前面那个标胶，没注册再进行限制的计数。
 在help--about哪里也是这样的形式



*通过改数据来跳转，在跳转前改数据

地址常量

*右键在每个指令上设置断点
要找到初始化这个值的地方

ctrl+F2--F9
 





既然0不能跳转就改成1

 
 原本的一条指令变成了四条就导致重定位

 

 这样就破解了
 *原理是找到判断点（判断是否注册的点）
*这样做的原因是之后的程序会比较大，很多的跳转，不可能一个一个修改
 

 但要从受歪理最小的地方修改才能保证程序的稳定，因此可以改成
 
*更改时应该遵循操作代码改操作代码，如cmp改mov，mov改xor那些
寄存器改寄存器（字节数要相等）
数字改数字
因为在机器码里面他们的表示字节数不同，会导致重定位


保存 文件