难度：刚发芽的菜苗
下载地址：http://snowboy20.yeah.net（这个站点也叫“冰天雪
地”……）
作者：一个只会用静态分析和暴力破解的新手
此程序未注册的话只限制了一个小功能，我们的目的就是让此功能
可以使用。

下载后发现此程序是用upx0.93压缩的，但用upx1.02解压出错，用
hexedit打开，可发现这个程序被upxpr之类的程序修改过，于是把
它修复后用upx1.02解压ok。用exescope6.0打开程序，展开RCDATA
部分，可在其中找到“启动时自动隐藏”，往下一点可找到
Enabled = False，把False改成True，保存。现在运行程序，看看
帮助中的选项那一页，“启动时自动隐藏”那一项变为可用了。
要修复被upxpr之类的程序修改过的程序很简单，只要修改3个点即可
分别是：UPX0,UPX1,UPX!，总共只需修改12个字节。

另一个更简单的方法是修改注册表，如果你要使用这个功能，把某
项键值由False改为True即可。

这个软件注册费只要5元，但我不认为你应该注册它，因为它的功能
太简单了，与其注册不如自己编一个。

把1F8处改为UPX0
把220处改为UPX1
把3E0处改为UPX!
这3个点的位置并不是固定的（可能与upx版本有关），
前两个是section name，第3点一定要用UPX!，否则不
能解压，这一点一般在3E0附近，你只要找到某个字节
为0C，前面4个字节改为UPX!即可。

我犯了一个小错误，其实只需7个字节便可恢复。
在第一个section name处只需改为UPX即可，不必
再改其他的section name，而UPX!则照旧。适用
范围upx0.9x-1.02。第一个section name和UPX!
出现的位置和upx版本无关，与被压缩的程序有关。

我又仔细研究了upx，从0.9x版开始（0.8x版我没
找到）均有UPX!，UPX!后面的4个字节在任何一个
被压缩过的文件里都一样均为0C 09 02 0A，在这
4个字节之后有24个字节，改掉任何一个字节都可
使upx无法解开此文件，如果不知道正确的数值是
无法恢复的。把这24个字节都清0，程序照样可以
运行，但却不能被upx解压（如果不知道这24个字
节的正确值，没有恢复的可能。upxpr等一些程序
没有修改这里，给我们留了条后路）。

另外我发现一个奇怪的问题，用upx0.72压缩过的
文件竟然无法用upx0.72解压（未经任何修改）
而且0.72版的压缩率还比后来的版本高。