向天草学习之路(一)

本次学习所用到的工具是： OD + PEID。

PEID主要是用来查壳的。

总结：

通过查找注册关键字提示语找到对应的按钮事件，笔者在之前的博文中也有写到过。

需要注意的是： 在查找到对应的关键跳转的时，紧接着上面的CALL可能是关键CALL。在关键CALL下F2断点，修改关键跳的条件。方法有以下几种：

1，将关键CAL或者关键跳给NOP掉；

2，修改关键条上面的寄存器的值或者标志位；

3，修改关键CALL的返回值。

提示：在我们找到关键跳的时候， 注意堆栈窗口，可能出现 真正的注册码；我们尽量以修改最小的内存地址的方式达到破解的目的。

当然，天草讲授的还有一种方法查找到关键提示语句出现的位置：

当我们输入假码后，提示错误了，先不点击错误提示框上的按钮，这时回到OD，暂停OD（按F12），打开堆栈窗口，

你就会发现错误提示窗口出现的具体位置了。按OD窗口上的 K 窗口也可打卡堆栈窗口。

下断完成后，再在OD里按下F9，接着在错误提示框点击按钮让程序继续运行，这样，程序就在OD里面断下来了。

接着再单步走，就能找到 出现注册提示语的地方了。（推荐掌握该方法）

特别注意： 我们不要修改系统领空的代码。修改后可能引起系统崩溃~~~~~

我们在OD内查找到的注册码 用来尝试 是否为真正的注册码。

删除注册表方法：

1，我们按 Win + R打开运行对话框， 输入regedit， 

2，在打开的对话框内，按下： Ctrl+F打开注册表查找对话框，输入我们待查找的关键字后，接下来的活儿就交给计算机啦。

当然我们有时会出现没有找到我们查找的注册码，我们可以按下F3继续查找。

我们在尝试注册后，记得删除本地计算机上的注册码。