破解高手 准备篇

第一章--前言

第一章--前言
好多哥们儿说看教程跟老大的书都看不太明白，所以，我尽量把话说到最容易理解的份上，本文写给那些刚入门和尚未入门的朋友们...
目录
no.1------------------前言（说明一下）
no.2------------------汇编语言
no.3------------------Windows程序
no.4------------------调试器及相关工具入门
no.5------------------破解原理
no.6------------------初级破解实践，强暴一个软件
no.7------------------中级破解实践，找到注册码及写内存注册机
no.8------------------高级破解实践，分析软件算法，编写注册机
由于现在网吧，临时写来，所以，今天只写个前言吧，呵呵...
本章只作一些说明，现在也说了这么多了，没别的了，卖个广告，推荐几本书吧。
首先，力荐看雪老大《加密与解密－－软件保护技术及完全解决方案》，绝对物超所值，要的抢先了...(汗~~俺都没看过，看来要落伍了)。当然，还有看雪精华一、二、三、四以及将要出来的五，足够带你上路，还有风飘雪大虾的《风飘雪破解教程》等等等等（其它一些，没说到的就请自行搜集吧），还有就是常到论坛来转转 ;=》
另外，我觉的你真的很有必要学一门编程语言以及掌握一些Win32程序的知识...


课后FAQ
Q:哪些人可以学习破解？
A:任何会启动电脑并运行软件同时又想学习破解的人。我说的全是实话，如果你既不会启动电脑又不会运行软件，那么我教你一个更高深的吧--破解电脑，呵呵，很简单，到大街上随便抡个板砖什么的，回去慢慢破解吧 记得关电源)
Q:有没有什么办法可以使我快速入门并成为高手？
A:有。但你得是个MM(P不PL无所谓)，然后找个离你家最近的破解达人，什么也不用做，眨个眼放个电之类的会吧（现在连初中的小女生都会这个），然后就成了，呵呵，想破什么的话，让高手帮忙吧，到时说成是自己破的就成了 MM问为什么？因为那些高手大都奇丑无比，呵呵，有了头脑就没了长相，男的也是这样，而且越是高手，长的就是越丑。据说一次市里到CCG考察奶牛们的出乳情况，看到大哥Sun某的时候，说了句“这奶牛个儿这么小啊，中午大家吃涮锅” (众大哥:大家准备好家伙，我们一会儿要去械斗)。呵呵，玩笑开到这里，其实我说这么多，只是想告诉你，学习破解跟其它技术一样，请你不要试图投机取巧，要想学，就脚踏实地，多看教程多动手实践积累经验，不要经常POSE那种弱智问题“我不懂XX，请问我能学破解吗？”，答案是不能，你问的同时，不也正在学吗？想知道重要吗？那我告诉你好了，凡是看雪教程上要求掌握的，你全要掌握，这还不算，要想成为高手就必须精通，如果你不想一直只停留在入门阶段的话。不要想偷机取巧，谁一开始也不是什么都会的，但你只要花一些时间和一小部分精力，那么没有什么你学不会的，知识是要积累的，你知道自己不会却不去学，而在那儿问重不重要，人家会觉的你这个人并不想认真学破解，而是报有侥幸心理在浪费时间，请不要做浪费时间的人。不要刚开始学就想马上成为高手，没有高手，你没必要立下超越的目标，只把学知识放在首位就够了，欲速则不达，请不要做急于求成的人。
Q:学破解对我来说有什么好处？
A:这个问题应该你自己来回答，呵呵，你为什么要学？“我想免费使用共享软件”倒...那多少也算是个目的，但我希望你不要只报这种目的(目前国内共享软件业还有待发展)。我只是想说给那些只是因为一时冲动才学习破解的人，请将你们当初的冲动继续维持下去，你需要明白，学习破解的目的不只在于破解软件这个词，也许后来你会变为软件分析，随着学习时间的增加，对你的编程水平，相信会有相当大的提高。学习别人好的思想，并化为已用 就我个人来说，学习破解可以把我的汇编的基础给打好，呵呵，俺对操作系统这玩意儿感兴趣，到时候还想写出来个玩玩儿呢，所以汇编这关必须要过....
Q:我很笨，那些大虾的教程我大都看不明白，我能学会吗？
A:永远不要说你笨，你只是学的比人家晚而已，太高深的看不懂，那你就捡能看懂的看，别人能入门，你也能，不得要领只是暂时，大虾与你，也许差的就是一两年时间的问题。

答网友问
Q:寄存器可以随便用么，有没有什么限制？写个程序的时候那些变量什么的可以放在任意的寄存器么？
A:呵呵，我现在就来回答楼上朋友的问题。
寄存器有它的使用机制，及各个寄存器都有着明确的分工。
如小翠儿 如数据寄存器（EAX-EDX），它们都是通用寄存器，及在软件中，任何数据都可存放于此。但是除此之外，它们又可以都可以用于各自的专用目的。
例如：
EAX可以作为累加器来使用，所以它是算术运算的主要寄存器。在乘除法等指令中指定用来存放操作数。比如在乘法中，你可以用AL或AX或EAX来装被乘数，而AX或DX:AX或EAX或EDX:EAX则用来装最后的积。
EBX一般在计算存储器地址时，它经常用作基址寄存器。
ECX则常用来保存计数值，如在移位指令它用来装位移量、循环和串处理指令中作隐含的计数器。
最后就剩下四大天王中的黎明了，近一段时间来，他总是比较低调...（你别打我了，我去撞墙好了）最后就剩下EDX了，一般在作双字长运算时把DX和AX组在一起存放一个双字长数（你还记的什么是双字长吧，举个例子，比如说有一个数二进制数据01101000110101000100100111010001，你要把它寄存起来，就可以把0110100011010100(即高十六位)放在DX中，把0100100111010001(即低十六位)放在AX中，这个数表示为DX:AX）当然完全可以用一个EDX就把这个数给装下。所以，还可以用EDX:EAX来装一个64位数据，这个你会推断出来吧。
而ESP、EBP、EDI、ESI，我上边儿以经大概介绍的差不多了，所以这里不说它们了。
当然还有其它的一些限制，因为我们只是要看程序的汇编代码(人家写好了的，肯定不会犯错误吧)，而不是要去写，所以可以不必掌握。有性趣的话，去看相关书籍。
另外再说一下你的最后一个问题“写个程序的时候那些变量什么的可以放在任意的寄存器么？ ”这句话我不明白你要问的是什么。我想你可能是把一些关点给搞错了，变量这词通常都是出现在高级语言中的，而你用高级语言写程序的话，完全不用理解那些寄存器什么的，这些都跟高级语言没什么关系。但是最终，高级语言也还是把你写的程序转换为对寄存器、内部存储器的操作。
<本章完>

第三章—Windows程序
这一章我都不知道该如何写了，呵呵~~
毕竟，Win32是一个非常深奥的系统，目前还容不得我这种小辈在这儿说三道四，不过，我既然是要写给那些入门阶段的朋友们看的，又不是写给那些搞程序设计老鸟看的，所以，我也犯不着怕被人背后指着骂 本章的名字就叫《Windows程序》而不是《Windows程序设计》所以，我只是讲一些关于Windows程序运作的原理:
Windows为什么叫Windows，相信所有用过的朋友都可以明白，那桌面上一个一个的窗口，就是它名字的由来。也就是这一个又一个窗口的出现，使计算机的使用一下子简单了巨多。几年前接触过电脑的朋友一定知道DOS吧，不知道的话，去问加解密工具下载版的版主老哥，让他跟你解释 你还记的DOS下那黑乎乎的窗口吧，没见过的哥们儿可以在开始菜单中找出来看看。DOS通过一系列的命令来进行相应的操作，如进入一个目录，删除一个目录等等等等。那种工作方式就叫做命令提示符方式，也即命令行。
现在国内不懂电脑的人还老爱说要想学电脑，必须要英语过关。（就是这个，吓跑了多少仅仅是想学习一些基本操作的朋友）可能也就是源自DOS的原因吧。
后来，随着硬件的支持以及技术上的提高，当然还有为了使电脑更方便的服务与人，慢慢的就有了所谓的视图操作系统，从此，你不用再记忆那些大堆的指令了，而且操作上，也有了相大的提高，可以说操作系统发展到今天的份儿上，操作已经够简单了，去看看那些在网吧里一把鼻涕的小孩子们吧…
当然，就像当年DOS之于命令提示行一样，今天的Windows仍和当年一样，占据着大部分的用户群。
（场外：一观众扔来一烂柿饼，你是唐僧啊，这么多废话）
马上转入正题，Windows之所以好用，除了不用背N多的命令外，一个原因就是因为它本身提供了大量的标准Windows GUI函数。所以对于用户，面对的是同一套标准的窗口，对这些窗口的操作都是一样的，所以使用不同的应用程序时无须重新学习操作。不用像当年在DOS下面那样一安装新程序，就要马上看帮助，看说明。
而Windows GUI函数，只不过是微软提供给程序开发人员的API（Application Programming Interface 应用编程接口）中的一小部分而以。Windows API是一大组功能强大的函数，它们本身驻扎在 Windows 中供人们随时调用。这些函数的大部分被包含在几个动态链接库(DLL)中，譬如：kernel32.dll、 user32.dll 和 gdi32.dll。 Kernel32.dll中的函数主要处理内存管理和进程调度；user32.dll中的函数主要控制用户界面；gdi32.dll中的函数则负责图形方面的操作等等。
你可能多多少少听说过API函数，如果你不太清楚到底是怎么一回事的话，我尽量给你解释的清楚一点。
不知道你有没有想过，Windows中的那一个又一个窗口是怎么画出来的呢？呵呵，你可能用VB、Delphi编过程序，你有没有想过你写的程序中的那些窗口是怎么形成的？是控件变成的。倒...呵呵，相信你当初学VB或Delphi的时候，所看的书上一定对可视化编程环境大肆赞扬了一番吧，是不是也提到过比VC++怎么怎么方便？怎么怎么不用再为生成程序的界面而花费大量无用时间了等等。
（台下上来一东北民工：小子，你找抽啊，还讲不讲了）
马上开说，其实我只是想告诉你，所有你用的Windows下的程序，都是通过调用一个又一个的Windows API来执行相应任务的，没有API，你的程序什么也做不了。用VB、Delphi以及MFC的朋友也许会说我根本没有调用什么API啊！其实这些API都是由你所用的开发环境自动进行相应的转换的。比如说你用Delphi新建一程序，什么也不用动就直接按F9来运行它，是不是出现一个空白的窗体？这就是个标准的Windows程序，它有Windows程序所具有的一切特征，如最大化按钮、最小化按钮、关闭按钮…你可以通过鼠标来移动它。
但是如果你想用VC++或MASM32来写这样一个程序，那么你有两种方法，在VC++中，你可以用MFC或直接调用API，而在MASM32中，你就只有直接调用API这一种方法。所谓直接调用API，就是指所有的操作都通过最原始的API来完成。通过直接调用API来生成这样一个程序，你必须要先注册窗口类(除非您使用 Windows 预定义的窗口类，如 MessageBox 或 dialog box)；然后产生窗口；然后在桌面显示窗口(除非您不想立即显示它)； 然后刷新窗口客户区；
麻烦吧，如果你想真正的让这个程序能正常地运行下来，还要再加入以下步骤:
1.你要得到您应用程序的句柄。2.窗体显示后就进入无限的获取窗口消息的循环。3. 如果有消息到达，由负责该窗口的窗口回调函数处理。4. 如果用户关闭窗口，进行退出处理。
上面这此步骤，都需要调用相应的API来完成。比如说得到程序的句柄用GetModuleHandle注册窗口类用RegisterClass或RegisterClassEx;注册后，还要用CreateWindowEx函数来生成相应窗口，而后用ShowWindow来显示它，之后还会用UpdateWindow 来更新客户区等等等等。这些还都不算呢，如果你真通过直接调用API去写一个稍大一点儿的程序的话，你会发现那是一个多么不令人愉快的事情。
上面说的这些，只不过是API中的一小小小小小小小小小小….部分，这才几个，真正的API有成百上千个，包括对系统各个方面进行的操作。没有API，你的程序什么也干不了。比如说你的程序中有一个Edit控件，VB中应该叫做Text控件吧，你想将用户输入到里面的信息放到一个变量中去，那么Delphi中可以用Str:=Edit1.text来实现。VB中应该是Str=Text1.Text;但是如果你用API，想要得到Edit输入框里的文本内容，就要调用GetDlgItemInt（Edit中输入的值当做数值来用）GetDlgItemText、GetDlgItemTextA（Edit中输入的值当做字符串来用）。而上面我说的VB、Delphi得到编辑框中输入的内容的方法，最终在编译成可执行文件的时候，也会由编译器自动对其进行相应的转换。你只要明白一件事就好了，那就是你所用的程序，无时无刻都在调用着系统中的各种各样的API函数。
其实Windows中的API，就相当于当年DOS系统中的系统功能调用，及中断21。只不过在数量上和功能上，都是DOS系统功能调用所不及的。
如果你还是看不明白，那我不怪你，可能是我讲的不清楚，所以，还是给你推荐老牛写的书吧。力推《Windows程序设计》，看过之后你会内力大增的，那时候你所知道的知识就不止是API而以了。
其实话说回来，我这篇文章不是教你编程的，所以关于Windows程序的原理，没有必要说那么多，我之所以跟你讲API，是想让你知道Windows程序的运行机制。免的到时候用调试器下断点的时候问什么是API。（众人（十分愤怒地）冲上台来：“拉下去PK！把我们当什么了！”）
（我再次来到台上，镜头切向脸的一侧，来个特写。只见上面有若干处大小不同的伤口）可能还有些重点的地方我没有提到，欢迎指正。如果你有什么不明白的地方，欢迎跟贴提问。只要别太那个，比如说“你能把所有的API给我列出来让我回去背背好吗？”
附上几个常用的API函数吧。相信你此时因该以经对API有个大概的了解了。
MessageBox 显示一信息对话框
MessageBoxEx 显示一信息对话框
MessageBoxIndirect 显示一定制信息对话框
（以上这三个，可以用来中断那些错误提示，比如说你注册码输入错误了，程序就可能通过这几个函数中的一个，来提示你错误）
GetDlgItemInt 得指定输入框整数值
GetDlgItemText 得指定输入框输入字符串
GetDlgItemTextA 得指定输入框输入字符串
（软件可以用这三个来得到用户输入的注册码）
GetLocalTime 得当前本地时间
GetSystemTime 得当前系统时间
（软件可以用这两个来判断软件是否过期）
RegQueryvalueA 获取一个项的设置值
RegQueryvalueExA 获取一个项的设置值
RegSetvalueA 设置指定项或子项的值
RegSetvalueExA 设置指定项的值
（如果软件用注册表存储注册信息的话，那么这几个也许会有用）
上面讲的，只是几个平时比较常见的，更多请参见看雪以前的教程或Windows开发人员手册。
最后，我们还要隆重介绍一个重量级函数，你可能不知道API是什么，但你只要用过调试器，就一定知道它的名字。你可以不知道美国现任的总统是谁，但是你一定要知道这个函数。我虽然知道现任美国总统是鲍威尔 但我同时也知道这个函数是谁。
它就是----吴孟达！（导演：NG）重新说。它就是hmemcpy。
这个函数是干什么的？
它是一个非常简单的函数。只完成一项非常非常基本的任务，就是把数据从一个地方复制到另一个地方。应用程序本身并不调用它，理由很简单，它很低级（汇编：谁敢说跟我一样？）。但是大部分API函数却非常频繁地调用它。所以，它也叫万能函数。平时你可能都不知道有这么个东西，但是断起程序来却非常管用。但目前到了2K跟Xp下，却没有这个函数了，与之相应的是一个叫memcpy的函数，虽然功能与其相同，但是基本上已经是个废人了 总知，你用memcpy根本就断不下什么来。所以，这么一个好使的函数只能在98下使用了。这就像美国的总统一样，再好使也只能使八年，不好使的就别说了。说不定明年就把他踢飞
别的我也不多说什么了，这章你就知道API是什么就成了。
如果你觉的有什么不妥的地方或有什么问题，并且想文明一点地表代出来的话，就请在回复。如果想野蛮一点的话，就拿鸡蛋往你显示器上丢吧
<本章完>
　
第四章--调试器及相关工具入门
在写这章之前，我看了一下看雪以往的教程。本来想参考一下，可忽然发现，写这样的一章，是一件非常愚蠢的事情，因为我觉的关于这些工具的使用教程。看雪教程中已经写的够详细的了，我并不认为你会看不懂。所以我不想做浪费时间的人，本章就此搁浅。
推荐看《Crack Tutorial 2001》，推荐看《看雪论坛精华一、二、三、四》，推荐看《加密与解密－－软件保护技术及完全解决方案》，推荐看一切与之有关的教程。
本章补遗：
要想上路，你最少应该熟练掌握以下工具：
SoftICE：目前公认最好的跟踪调试工具。（由于我使用的分辩率的关系，从没有用过它）
Trw2000： 国人骄傲，其中有我最喜欢的pmodule命令。（河南老乡，殷墟旧人）
W32Dasm8.93或其它任意版本：反汇编的极品工具。
Hiew 或者Ultra Edit或者其它：十六进制工具。爆破时使用，DOS下使用Hiew，Windows下使用Ultra Edit、WinHex、Hex Workshop等，我个人喜欢用Ultra Edit。
侦测文件类型工具：比如TYP、gtw或FileInfo等。这是一个能侦测你的软件是被哪一种「壳」给加密了。
PROCDUMP与其它N多的脱壳软件。
EXESCOPE：拥有执行文件(EXE, DLL等)的解析与显示功能；提取资源到外部文件 ；资源的重新写入；记录文件的记录及其再编辑(成批编辑)等功能。是汉化软件的常用工具，当然破解软件时也很有用。
其它许多......（等你入了门后再学也不迟）
（作者注：以上工具的使用方法，大都可在看雪以有的教程中找到，故不愿复之）

第五章--破解原理
从本章开始，我们来一步一步学习Crack软件（80%读者昏死过去，且不省人世...另有20%在寻找附近可以用来打人的东西）
不可不说一下学习破解的三个阶段：
初级,修改程序,用ultraedit等工具修改exe文件,称暴力破解,简称爆破
中级,追出软件的注册码
高级,写出注册机
先说这爆破。所谓爆破，就是指通过修改可执行文件的源文件，来达到相应的目的。你不明白？呵呵，举个例子好了，比如说某共享软件，它比较用户输入的注册码，如果用户输入的，跟它通过用户名（或其它）算出来的注册码相等的话（也就是说用户输入的注册码正确了），那么它就会跳到注册成功的地方去，否则就跳到出错的地方去。
明白过来了吧，我们只要找到这个跳转指令，把它修改为我们需要的“造型”，这样，我们是不是就可以为所欲为了？（某软件双手放在胸口，你要干嘛？）
常见的修改方法有两种，我给你举例说明：
no.1
在某软件中，这样来进行注册：
00451239 CALL 00405E02 (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JZ 004572E6 (!!!<--此为关键跳转，如果用户输入的注册码正确，就跳向成功处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册失败
...提示用户注册码不正确等相关信息
...
004572E6 ... <--(注册成功处!!!)
...提示用户注册成功等相关信息
呵呵，看明白了吗？没有的话，我来给你讲一下。在软件执行到00451239处的时候，CALL置0045E02处来进行注册码判断。接着回来后就来一个跳转语句，即如果用户输入的注册码正确就跳到004572E6处，跳到此处，就算是注册成功了。如果用户输入的注册码不正确的话，那么就不会在0045123D处进行跳转，而一直执行下去。在下面等它的，是注册失败部分。
想明白了吗？嘿嘿...没错，我们只要把那个关键跳转JZ给改为JNZ(如果用户输入的注册码错误，就注册成功，输入正确则注册失败)。当然你也可以将JNZ修改为Jmp，这样的话，你输入的注册码无论正确与否。都可以注册成功。
no.2
我们再来讲一下另外的一种情况：
00451239 CALL 00405E02 (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JNZ 004572E6 (!!!<--此为关键跳转，如果用户输入的注册码不正确，就跳向失败处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册成功
...提示用户注册成功等相关信息
...
004572E6 ... <--(注册失败处!!!)
...提示用户注册码不正确等相关信息
这次我相信，并且深信不疑。你一定明白了。我还是不明白...倒...
你一定看出跟第一种情况不同的地方了吧。没错！它与第一种不同的，就是第一种情况是如果注册码正确，就跳到注册成功处，如果没有跳走，就会执行到失败处。而这一种情况则是如果注册码不正确，就跳到注册失败处，否则将执行到注册成功处。
这种情况的修改，除了把JNZ改为JZ外，还可以将其改为Nop，Nop这个指令没有任何意义，将该条指令修改为Nop后，便可随意输入注册码来进行注册了。
原理以经给你讲了，下面我们再来讲一下具体的修改办法吧。（我假设你以经明白了我所说的工具的使用方法）
先说一下虚拟地址和偏移量转换的问题，在SoftICE和W32Dasm下显示的地址值是所谓的内存地址（memory offset），或称之为虚拟地址（Virual Address，VA）。而十六进制工具里，如：Hiew、Hex Workshop等显示的地址就是文件地址，称之为偏移量（File offset) 或物理地址(RAW offset)。
所以当我们要通过那些十六进制工具来对可执行文件中的相应指令进行修改的话，先要找到它的File offset。我们没有必要去使用那些专门的转换工具，在W32Dasm中就有这个功能，比如说你W32Dasm中来到0045123D处，在W32Dasm界面下方的状态栏中就会出现该条指令的虚拟地址和偏移地址，即@:0045123D @offset 0005063Dh 后面的这个0005063Dh就是相应的偏移地址。我们得到该地址后，便可用UltraEdit等十六进制工具来对可执行文件进行修改了。比如使用UltraEdit，你先用UltraEdit打开该可执行文件，然后按Ctrl+G，接着输入你得到的偏移地址，就可以来到其相应的机器码处。
再给你讲一下机器码，所谓的机器码。就是你看到的那些个十六进制数据了。还记的它们与汇编指令是一一对应的吗？
以下这几个是爆破时要用到的，其它的如果感兴趣，可自行查看相关资料：
JZ=74;JNZ=75;JMP=EB;Nop=90
爆破的时候，只要对以上机器码进行相应的修改就行了，比如第一种情况的时候，可以将74修改为EB，即将JZ修改为JMP。而第二种情况，责需将75修改为90，即将JNZ修改为Nop。
由于本章只讲原理，具体一点的。如怎样找到关键跳转等，我们在下一章中再讲。（一个砖头飞了上来！嘿嘿，这次被俺接到了）
上边讲了爆破的原理，你需要明白的是。爆破只是你学习Crack的开始，是很简单的手段。刚入门的时候可以玩玩儿，但希望你不要就此不前！
（嘿嘿，再说了。人家的软件中不是都说了嘛，不准对其进行逆向修改。你动了人家的身子，怎么能不买帐呢？ ）
偶就不喜欢爆破，做不出注册机也要找出注册码。否则我就不会去注册这个软件，既然想不掏钱，就要靠你自己的本事。（等以后我有钱了，会考虑去注册那些优秀的共享软件的 ）。所以，从某种意义上来说，我是一个正人君子
其实要找到注册码并不是一件多么难的事，我是指你所针对的软件不太那个的时候 不过你无需惧怕。
刚才我们说爆破的时候不提到过关键CALL吗？一般情况下，这个关键CALL就是对两个注册码（一个是软件自身通过你的注册名或机器什么的计算出来的正确的注册码，令一个就是你输入的错误的注册码）进行比较。我前边提到过，CALL之前一般会把所用到的数据先放到一个地方，CALL过去的时候再从这些地方把先前放入的数据取出来，进行相应的处理。这个关键CALL也是这样，在CALL之前，一般会把那两个注册码放到堆栈或某个寄存器中。嘿嘿，我们只要在调试器中，单步执行到该CALL，在未进去之前通过CALL之前的指令判断其将正确的和不正确的注册码放到哪里了。然后再用相应指令进行查看就成了，我说过不难的。
下面列出两个最常见的情况（可参考相关教程）：
no.1
mov eax [ ] 这里可以是地址，也可以是其它寄存器
mov edx [ ] 同上，该条指令也可以是pop edx
call 00?????? 关键call
test eax eax
jz(jnz)或jne(je) 关键跳转
看明白了吧，在关键CALL之前，软件会把两个注册码分别放入eax和edx中，你只要在CALL处下d eax或d edx就能看到正确的注册码了。
no.2
mov eax [ ] 这里可以是地址，也可以是其它寄存器
mov edx [ ] 同上，该条指令也可以是pop edx
call 00?????? 关键call
jne(je) 关键跳转
以上两种情况最为常见，而那些个不太常见的情况，我们这里就不再提了。到下下一章的时候，我会给你讲相关方法的...
关于查找软件注册码的部分，就到这里。具体内容，下下一章咱们再说。(不是说了吗？我以经可以接到你的砖头了，干嘛还要丢呢？ )
最后，再来说最后的所谓的高级阶段，如果你相信自己。并且热爱Crack，那么你一定会熬到这个阶段的，只是时间因人而异。
其实分析软件的算法，是有好多技巧在里面的。呵呵，最起码我刚开始的时候就摸不着头脑，那么多CALL，每个看起来，都很重要，都追一遍？结果连好多API都被追了进去。等你自己真正用心分析了一个软件的算法，并写出了注册机后。你就会明白其中的道理了，我们下下下一章再说。（大哥，你不是吧，连你家太阳能都丢过来了 ）
<本章完>

第六章--爆破软件
爆破其实很简单，最起码比你能一下把你家的牙膏给全挤出来要容易多了。你只要先到大街上买几根雷管，然后放到你的显示器上再点着就OK了(不难吧，记的点着后跑远点儿)
爆破的原理我也说过了，相信你很容易就能理解了。我们今天就具体讲一下如何找到那个关键跳转以及如何才能买到即便宜又好用的雷管...
爆破一个软件一般只需要很少的几个步骤，首先先看一下其有无加壳，有的话是用何工具加的壳，知道了以后用相应的工具将其脱掉或进行手工脱壳，参考以有教程。接着我们就可以对脱过壳之后的软件来开刀了。你有两种选择，用W32Dasm或调试器，一般如果你遇上的是那种很菜的软件的话，用W32Dasm就可以搞定了。如果遇上的不是那种比较菜的，就买股票吧，因为股票是你如胶似漆的妻子！当！快醒醒啊...哦，一般如果你遇上的不是那种很菜的软件的话，就用调试器吧。先来说W32Dasm：我们首先用W32Dasm来进行反汇编（废话！）之后在串式参考中找到错误提示信息或可能是正确的提示信息双击鼠标左键来到相应的地址处。在W32Dasm的主窗口中分析相应汇编代码,找出关键跳转和关键call。绿色光条停在关键跳转,在W32Dasm主窗口底部找到关键跳转的偏移地址(实际修改地址)。用ultraedit找到偏移地址(实际修改地址)修改机器码(或放上一根雷管),保存(点火)！而用调试器也同样简单，等会儿会详细说明。
道理废话了那么多，来实例动手说明吧：
首先讲解用W32Dasm来进行爆破:
【软件名称】中华压缩（ChinaZip）
【软件版本】7.0
【文件大小】1041KB
【适用平台】Win9x/Me/NT/2000
【软件简介】ChinaZip（中华压缩）是一款压缩、解压各种压缩文档的工具软件，它支持包括ZIP格式文件在内的各种常见压缩格式如：ARJ、CAB、GZIP、JAR、LHA、TAR、ZOO、ARC、LZH、Pak等等。
软件的出处是电脑报2001年的合订本配套光盘，7.0时的保护做的很那个，目前最新版应该好多了...
好的，我们开始吧，首先第一步是你得把它装上（引来野狼N头），之后先随便找个字符串填上去注册一下，会看到一个错误对话框，提示/"注册码不正确，无法注册/"。接着我们用FI来看一下它用的是什么壳。ASPack 2.001，caspr出场。脱过壳后我们用W32Dasm花上半分钟或半小时的时间来对它进行反汇编。我们以经反汇编完毕。之后在串式参考中（字符串数据参考）中找刚才你看到的那个错误提示，找到之后双击几次，发现其只有一处调用。我们会来到004F0E64处，我把具体代码给贴上（请你从代码的最下边开始看）:
:004F4DD1 E84EE1F3FF call 00432F24
:004F4DD6 8B55F0 mov edx, dword ptr [ebp-10]
:004F4DD9 8D4DF4 lea ecx, dword ptr [ebp-0C]
:004F4DDC 8BC3 mov eax, ebx
:004F4DDE E8C9010000 call 004F4FAC
:004F4DE3 8B55F4 mov edx, dword ptr [ebp-0C]
:004F4DE6 58 pop eax
:004F4DE7 E830F3F0FF call 0040411C
:004F4DEC 7576 jne 004F4E64 <--这个就是传说中的男人，Stop！这个就是传说中的关键跳转
:004F4DEE B201 mov dl, 01
:004F4DF0 A158254500 mov eax, dword ptr [00452558]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4D86(C)
|
:004F4DF5 E85ED8F5FF call 00452658
:004F4DFA 8945FC mov dword ptr [ebp-04], eax
:004F4DFD 33C0 xor eax, eax
:004F4DFF 55 push ebp
:004F4E00 685D4E4F00 push 004F4E5D
:004F4E05 64FF30 push dword ptr fs:[eax]
:004F4E08 648920 mov dword ptr fs:[eax], esp
:004F4E0B B101 mov cl, 01

* Possible StringData Ref from Code Obj ->/"Software//XDZHAN//ChinaZip/"
|
:004F4E0D BAA84E4F00 mov edx, 004F4EA8
:004F4E12 8B45FC mov eax, dword ptr [ebp-04]
:004F4E15 E822DAF5FF call 0045283C

* Possible StringData Ref from Code Obj ->/"Real Programmers Use Pascal!/"
|
:004F4E1A B9CC4E4F00 mov ecx, 004F4ECC

* Possible StringData Ref from Code Obj ->/"Key/"
|
:004F4E1F BAF44E4F00 mov edx, 004F4EF4
:004F4E24 8B45FC mov eax, dword ptr [ebp-04]
:004F4E27 E854DEF5FF call 00452C80

* Possible StringData Ref from Code Obj ->/"软件注册成功,谢谢您的支持!/" <--我们向上看会在这里发现注册成功后的正确信息。正确信息处向上找第一个跳转就是我们要找的关键跳转。
|
:004F4E2C B8004F4F00 mov eax, 004F4F00
:004F4E31 E8563DF6FF call 00458B8C
:004F4E36 A16C305000 mov eax, dword ptr [0050306C]
:004F4E3B 8B00 mov eax, dword ptr [eax]

* Possible StringData Ref from Code Obj ->/"中华压缩(ChinaZip)-注册版/"
|
:004F4E3D BA244F4F00 mov edx, 004F4F24
:004F4E42 E80DE1F3FF call 00432F54
:004F4E47 33C0 xor eax, eax
:004F4E49 5A pop edx
:004F4E4A 59 pop ecx
:004F4E4B 59 pop ecx
:004F4E4C 648910 mov dword ptr fs:[eax], edx
:004F4E4F 686E4E4F00 push 004F4E6E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4E62(U)
|
:004F4E54 8B45FC mov eax, dword ptr [ebp-04]
:004F4E57 E868E2F0FF call 004030C4
:004F4E5C C3 ret


:004F4E5D E9C2E9F0FF jmp 00403824
:004F4E62 EBF0 jmp 004F4E54

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4DEC(C)
|

* Possible StringData Ref from Code Obj ->/"注册码不正确,无法注册!/" <--这个就是出错的信息了，那正确信息也就在附近，上下看看。
|
:004F4E64 B8484F4F00 mov eax, 004F4F48 <--双击来到这里
:004F4E69 E81E3DF6FF call 00458B8C
:004F4E6E 33C0 xor eax, eax
:004F4E70 5A pop edx
:004F4E71 59 pop ecx
:004F4E72 59 pop ecx
:004F4E73 648910 mov dword ptr fs:[eax], edx
:004F4E76 689B4E4F00 push 004F4E9B
你可能有点不明白，为什么我说它就是关键跳转呢？还记的在破解原理中我举的例子吗？
我再给你讲一遍好了，通常我们会遇到两种关键跳转，我分别举例说明:
(1)
je (jne,jz,jnz) 19870219
........ XXXXXXXXXX
........ XXXXXXXXXX
........ 软件注册正确的相关信息
...
...
19870219 软件的出错信息
.......
.......
也就是说这第一种情况是先判断注册码是否正确，如果不正确就跳到19870219处，正确的话就不跳转，一直执行下去，直至注册正确处。
对于这种情况，我们要找的关键跳转，就是正确信息上面的第一个跳转。我们可能对其作相应修改或将其给nop掉就万事OK了。
(2)
je (jne,jz,jnz) 19870219
........ XXXXXXXXXX
........ XXXXXXXXXX
........ 软件的出错信息
...
...
19870219 软件注册正确的相关信息
.......
.......
而这第二种情况就是先判断注册码正确与否，如果正确就跳到19870219处，不正确的话就不跳转，一直执行下去，直至出错处。
对于这种情况，我们要找的关键跳转就是出错信息上面的第一个跳转。将其做相应修改或改为jmp后我们就可以为所欲为了
呵呵，道理也都给你讲明白了，我们来改一下试试吧。我们在W32Dasm中选中关键跳转，在右下角的状态栏中看到相应的偏移地址为000F41EC。好的，我们用UltraEdit来打开它。Ctrl+G，接着输入0xF41EC，回车后便会跳到相应的位置。相应的机器码是75(jne)，我们将其改为74(jz)后存盘退出。
好了，运行一下看看，我们来随便输入一个注册码注册一下试试。呵呵，注册成功！
用W32Dasm我们就讲到这里，呵呵，很简单的，你下去之后自己找些保护简单的软件上上手吧。
我们接着来讲用调试器来进行爆破。
如果你真的试图用W32Dasm去爆破几个软件的话，用不了多少时间你就会发现一些问题。比如说有的软件你用W32Dasm反汇编后串式参考根本就不能用。或者串式参考中没有出错或正确的信息。还有就是有的软件就算你通过串式参考来到了相应的地方，刚想去找关键跳转你就会发现眼前的东西比你想像中的要乱的多...虽然你有可能通过认真仔细地找，仍会找到，但我不认为那是一件聪明的事情。毕竟，有一些动静是只有在程序执行期间才能看出来的。好的，如果你用W32Dasm遇到了找不到关键跳转的软件，就去用调试器吧！（你用调试器前可先用W32Dasm打开一遍看个先，如果很容易就让你找到了。那就没必要了）
在开始之前我们有必要讲一下用调试器来爆破的步骤（我知道你一定会用调试器的 ）：首先，我们当然还是要把你要Crack的软件给装上（我挡我挡我挡，不要乱丢东西嘛!）然后来到输入注册码的地方，仍旧随便输入一个，接着不要按确定，待我们把调试器叫出来先。还记的我前面跟你讲的API的事情吗？软件要得到你输入的注册码，就一定会调用某个API函数来达到目的。我们就在调试器中用相应的API来做断点，这样的话，只要一有程序调用这个API，就会被调试器给拦截下来。
GetDlgItemInt、GetDlgItemText、GetDlgItemTextA这三个函数可能会有用。但是如果你用的是98，那为什么不用hmemcpy呢？那真的是一个不错的主意。当我们下完断点后就返回到你要注册的那个软件中，点确定这类的按钮。如果被调试器给断了下来，就说明你刚才下的断点有用，如果没有被断下来，就换个断点试试。接下来我们在调试器中来取消刚才你下的那个断点，我们以TRW2000为例（SoftICE与其操作大体相同）取消断点用bc *指令。然后我们就输入pmodule指令来返回到程序的领空（而在SoftICE中由于没有相应指令，呵呵，狂按F12吧）。现在我们把话题岔开一下，什么是领空呢？举个例子吧，你的程序要得到你输入的那个注册码，就会去调用相应的函数。比如调用GetDlgItemTextA，而GetDlgItemTextA本身又会去调用Hmemcpy这个函数，而这些函数都是存在于系统中的某个DLL文件中的。那么当这个程序调用相应的API函数的话，程序的领空就会转到这个相应的DLL文件中去执行这个API函数。（你就这样理解就行了）我前边也说过了，Hmemcpy这个函数应用程序本身并不直接调用，而是由其它的API函数来调用。那么，你就可以理解为你的程序调用了一个API函数，调用的同时程序的领空会转到这个API所在的DLL文件里，而这个API又调用了Hmemcpy函数，那么此时领空就会又转到了Hmemcpy所在的DLL文件中，之后当Hmemcpy执行完毕，就会返回到调用它的API的领空中去，而当这个API执行完毕的后就会返回到调用它的应用程序的领空中去。比如说我们用Hmemcpy这个函数来当断点，当我们输入完注册码按确定后，程序就会去调用某个API来得到你输入的那些数据，而这“某个API”又会去调用Hmemcpy，所以程序就被断到了。当然此时程序的领空也就不会在应用程序中了，但是当我们输入过pmodule指令之后我们就可以反回到应用程序本身的领空中去了。这样的话你看到的就是应用程序自身的代码了，而不是API的！好了，我接着刚才的说（到哪儿了来着？）当我们返回到程序自身的领空中去后就一直狂按F12吧，F12的作用是一直执行程序，直到遇上ret等指令。也就是一大坨一大坨地来执行程序^_^你一直按F12，直到程序出现注册错误对话框。然后记下刚才你按的次数，接着从头做起，这一次按F12的次数是你刚才按的次数-1，也就是说比上一次要少按一次。而后按键由F12换至F10（怎么没有F4?），还是一路狂按，直到软件提示出错，这次记下你按F10的次数。好的，再从头来一遍，我们再次按F10的时候，要一步一步慢慢来，一般你按F10的次数离你上次按的次数相差五六步的时候，一般就会看见一个CALL，接着是一个跳转指令。你一步一步地来，看过了这个跳转指令之后会不会跳走，如果跳走了，那一般你不会再过两三步就应该出错了。当然也有可能是你没有跳走，而过了两三步就出错了。这个应该不难理解，因为基本上它和我前边跟你介绍过的是一个道理。然而另外一种情况是你一路按F10下来，到了最后会发现根本没什么跳转指令，呵呵，别害怕，这个很常见的。遇上这种情况，我们只要把F10的次数变换为上次按F10的次数-1，这样的话你一般就会停在一个CALL处，而这个CALL，就是程序中的关键CALL，我们之后要吃点儿苦，要按F8追进去分析它，程序注册的成功与失败，就在这个CALL中，也就是说我们要修改的关键跳转，也在这个CALL中。呵呵，其实也很好理解的，就是把我上边说的那些个判断什么地放到了一个CALL里面。我们按F8追进去之后便仍旧按F10来一步一步执行，过不了多长时间你就会发现关键跳转了，找关键跳转的方法跟我前边说的一样，即按F10的次数跟上一次差五六步的时候慢下来，就会看到了。
你应该明白，程序是很灵活的东西，并没有那么多公式化的东西在里边，大概的分析方法就是这个样子，一切都要靠你自己去掌握，别人跟你讲，也只是讲一个分析的方法而以，我相信随着你以后经验的提高，你慢慢地就能应付各种情况了。
现在，我们再用调试器来对CHINAZIP这个软件进行分析，希望你能够掌握这个并不难的方法。
首先，你要把刚才爆破过了的再改回来，或直接重装一遍。之后我们打开它，任意输入注册码，接着按Ctrl+N呼出TRW，下断点hmemcpy。下过后按F5退出（它就是不用F4，我也没办法^_^）然后我们点击确定。好的，程序被断了下来:
KERNEL?HMEMCPY
0147:9e62 push bp
0147:9e63 mov bp,sp
0147:9e65 push ds
0147:9e66 push edi
0147:9e68 push esi
0147:9e6a cld
0147:9e6b mov ecx,[bp+06]
0147:9e6f jcxz 9ee9
……以下N多代码省略……
我们输入bc *来取消断点，然后用pmodule来返回到程序的领空:
0167:00436d13 mov [ebx+0c],eax
0167:00436d16 mov eax,[ebx]
0167:00436d18 cmp eax,byte +0c
0167:00436d1b jnz 00436d38
0167:00436d1d mov edx,[ebx+08]
0167:00436d20 push edx
0167:00436d21 mov ecx,[ebx+04]
0167:00436d24 mov edx,eax
0167:00436d26 mov eax,esi
0167:00436d28 call 00432b24
……N多代码仍旧省略……
按7下F12另加1下F10来到0167:004f4dc4处，我们接着一下一下来按F10，大概按了10多下，就可以看到004f4dec处有一个跳转，我们执行到004f4dec处后果然跳走了。会跳到004f4e64处，我们跳过去之后按不了三下，程序就提示出错了。呵呵，明白过来了吧，004f4dec处的那个跳转jnz 004f4e64就是关键跳转，嘿嘿，找到了之后不用我说了吧
0167:004f4dc4 mov eax,[ebp-08]
0167:004f4dc7 push eax
0167:004f4dc8 lea edx,[ebp-10]
0167:004f4dcb mov eax,[ebx+02e0]
0167:004f4dd1 call 00432f24
0167:004f4dd6 mov edx,[ebp-10]
0167:004f4dd9 lea ecx,[ebp-0c]
0167:004f4ddc mov eax,ebx
0167:004f4dde call 004f4fac
0167:004f4de3 mov edx,[ebp-0c]
0167:004f4de6 pop eax
0167:004f4de7 call 0040411c
0167:004f4dec jnz 004f4e64 <--关键跳转！！
0167:004f4dee mov dl,01
0167:004f4df0 mov eax,[00452558]
0167:004f4df5 call 00452658
0167:004f4dfa mov [ebp-04],eax
0167:004f4dfd xor eax,eax
0167:004f4dff push ebp
0167:004f4e00 push dword 004f4e5d
0167:004f4e05 push dword [fs:eax]
0167:004f4e08 mov [fs:eax],esp
0167:004f4e0b mov cl,01
0167:004f4e0d mov edx,004f4ea8
0167:004f4e12 mov eax,[ebp-04]
0167:004f4e15 call 0045283c
0167:004f4e1a mov ecx,004f4ecc
0167:004f4e1f mov edx,004f4ef4
0167:004f4e24 mov eax,[ebp-04]
0167:004f4e27 call 00452c80
0167:004f4e2c mov eax,004f4f00
0167:004f4e31 call 00458b8c
0167:004f4e36 mov eax,[0050306c]
0167:004f4e3b mov eax,[eax]
0167:004f4e3d mov edx,004f4f24
0167:004f4e42 call 00432f54
0167:004f4e47 xor eax,eax
0167:004f4e49 pop edx
0167:004f4e4a pop ecx
0167:004f4e4b pop ecx
0167:004f4e4c mov [fs:eax],edx
0167:004f4e4f push dword 004f4e6e
0167:004f4e54 mov eax,[ebp-04]
0167:004f4e57 call 004030c4
0167:004f4e5c ret
0167:004f4e5d jmp 00403824
0167:004f4e62 jmp short 004f4e54
0167:004f4e64 mov eax,004f4f48 <---由上面的0167:004f4dec处跳来，出错!;
0167:004f4e69 call 00458b8c
0167:004f4e6e xor eax,eax
再来给你举另一个例子：
【软件名称】天网防火墙
【软件版本】2.46 Beta
【文件大小】1289KB
【适用平台】Win9x/Me/NT/2000
【软件简介】天网防火墙个人版是一套给个人电脑使用的网络安全程序，它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与我们的网站相配合，根据可疑的攻击信息，来找到攻击者。同时天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于在拨号上网的用户，也适合通过网络共享软件上网的用户。
该软件仍旧是我从电脑报2001年合订本的配套光盘中找的，软件的注册码可以到其网站免费获得...
我们还是要先把它装上（某民工：你小子敢再说一句废话试试！^_^）之后我们用FI看一下它有没有加壳，呵呵，BC++编译，没有加壳，爽！运行它，在注册对话框中随便输入点什么，比如说这星期又出了几部新电影，都叫什么名字等等...
好的，我们接下来请TRW2000出场。先胡乱输入两个字符串，比如第一个输入“英雄的导演是？”第二个输入“可能是赵本山”:)
接下来就按Ctrl+N把TRW2K叫出来，下bpx hmemcpy，之后按F5退出。
接着可以按确定就成了，程序会被TRW2K断掉，我们紧接着输入bc *以及pmodule。
下面可以开始按F12了，一共按8下程序就会报错，我们第二次就按7下然后开始按F10，按70下F10程序就又报错了（呵呵，一定要有耐心哦）。
好的，我把反汇编后的代码给你贴出来：
0167:0041c617 lea edx,[ebp-04] <--7下F12后按一下F10来到这里
0167:0041c61a mov ecx,[0052ae7c]
0167:0041c620 mov eax,[ecx]
0167:0041c622 mov eax,[eax+0318]
0167:0041c628 add eax,byte +2c
0167:0041c62b call 00517740
0167:0041c630 dec dword [ebp-20]
0167:0041c633 lea eax,[ebp-04]
0167:0041c636 mov edx,02
0167:0041c63b call 00517710
0167:0041c640 mov word [ebp-2c],14
0167:0041c646 lea eax,[ebp-08]
0167:0041c649 call 00401d60
0167:0041c64e mov edx,eax
0167:0041c650 inc dword [ebp-20]
0167:0041c653 mov ecx,[ebp-40]
0167:0041c656 mov eax,[ecx+02e0]
0167:0041c65c call 004b9f14
0167:0041c661 lea edx,[ebp-08]
0167:0041c664 mov ecx,[0052ae7c]
0167:0041c66a mov eax,[ecx]
0167:0041c66c mov eax,[eax+0318]
0167:0041c672 add eax,byte +30
0167:0041c675 call 00517740
0167:0041c67a dec dword [ebp-20]
0167:0041c67d lea eax,[ebp-08]
0167:0041c680 mov edx,02
0167:0041c685 call 00517710
0167:0041c68a lea eax,[ebp-10]
0167:0041c68d call 00401d60
0167:0041c692 mov edx,eax
0167:0041c694 inc dword [ebp-20]
0167:0041c697 mov ecx,[ebp-40]
0167:0041c69a mov eax,[ecx+02e0]
0167:0041c6a0 call 004b9f14
0167:0041c6a5 lea edx,[ebp-10]
0167:0041c6a8 push dword [edx]
0167:0041c6aa mov word [ebp-2c],20
0167:0041c6b0 lea eax,[ebp-0c]
0167:0041c6b3 call 00401d60
0167:0041c6b8 mov edx,eax
0167:0041c6ba inc dword [ebp-20]
0167:0041c6bd mov ecx,[ebp-40]
0167:0041c6c0 mov eax,[ecx+02d4]
0167:0041c6c6 call 004b9f14
0167:0041c6cb lea edx,[ebp-0c]
0167:0041c6ce mov edx,[edx]
0167:0041c6d0 mov eax,[0052ae7c]
0167:0041c6d5 mov eax,[eax]
0167:0041c6d7 pop ecx
0167:0041c6d8 call 0040525c
0167:0041c6dd mov [ebp-45],al
0167:0041c6e0 dec dword [ebp-20]
0167:0041c6e3 lea eax,[ebp-10]
0167:0041c6e6 mov edx,02
0167:0041c6eb call 00517710
0167:0041c6f0 dec dword [ebp-20]
0167:0041c6f3 lea eax,[ebp-0c]
0167:0041c6f6 mov edx,02
0167:0041c6fb call 00517710
0167:0041c700 cmp byte [ebp-45],00
0167:0041c704 jz 0041c750 <--按了60多下F10后会在这里发现一个跳转，嘿嘿，就是它了！！！
0167:0041c706 mov ecx,[0052ae7c]
0167:0041c70c mov eax,[ecx]
0167:0041c70e mov eax,[eax+0318]
0167:0041c714 call 00411fd0
0167:0041c719 mov word [ebp-2c],2c
0167:0041c71f mov edx,00521b50
0167:0041c724 lea eax,[ebp-14]
0167:0041c727 call 005175b0
0167:0041c72c inc dword [ebp-20]
0167:0041c72f mov eax,[eax]
0167:0041c731 call 004b41b0
0167:0041c736 dec dword [ebp-20]
0167:0041c739 lea eax,[ebp-14]
0167:0041c73c mov edx,02
0167:0041c741 call 00517710
0167:0041c746 mov eax,[ebp-40]
0167:0041c749 call 004a81d0
0167:0041c74e jmp short 0041c77d
0167:0041c750 mov word [ebp-2c],38
0167:0041c756 mov edx,00521b6b
0167:0041c75b lea eax,[ebp-18]
0167:0041c75e call 005175b0
0167:0041c763 inc dword [ebp-20]
找到了关键跳转之后就别闲着了，呵呵，放雷管吧！（你可以用W32Dasm打开这个文件，然后按Shift+F12，之后输入0041c704，这样就可以在右下角看到相应的偏移地址了）
小技巧：在TRW中，如果你觉的某处可能是关键跳转的话，可以用r fl z这个指令来进行测试，该指令可使以成立的条件取反，比如说本来JZ XXXXXXXX成立，可以跳走了，用r fl z指令后该条指令就不成立了，即就不会跳走了。以上也是，你可以在0041c704处输入r fl z，呵呵，再执行几步看看，是不是成功了？还有就是如果你只是想达到注册软件的目的，且该软件只在注册的时候验证一次的话，用这个方法就可以代替雷管了！
呵呵，最后还是要说一句，爆破只是一些雕虫小技。刚入门时玩几次就够了，切莫就此不前...
后话：你可能慢慢就会发现，有一些软件其实并没有你想象中那么简单，你甚至连找到它的关键跳转都找不到。这很正常，你要做的便是多动手多练习，慢慢你就会明白过来的。我今天之所以给你举这两个例子，就是因为它们两个都比较简单，且能说明重点，给你讲那些比较那个的软件的爆破，反而会让你看的一头雾水...
<本章完>