• 标 题:本人超级奉献!初学者如果看得明白就是入门直径! bye! (16千字)
  • 作 者:peterchen
  • 时 间:2001-4-9 3:31:55
  • 链 接:http://bbs.pediy.com

软件名称:  RegEditor V1.2 
软件分类:  DOWNME首页=>软件下载=>系统工具=>注册表管理
软件设计:    A. Chabanenko.
软件主页:    http://www.utils32.com/products.htm
联系邮件:  nit@aip.mk.ua
授权方式:  共享软件
更新时间:  2001-04-05
操作系统:  Windows 95/98/NT/2000
试用限制:  30天
购买金额:  $20.00
软件大小:  451KB
星级评定:  ★★★★★
图片预览:  点击这里查看软件图片
软件简介:  RegEditor 是一个注册表编辑工具,它可以用于 Registry 4 (REGEDIT4)的文件格式对 Windows 95/98 的注册表进行修改。RegEditor 还支持多语种的系统。
http://www.downme.com/download/3864regeditr.zip

------------------------------------------------------------------------------------
这些过程是总结小弟这几年来的Cracker经验之谈!也是最完整一篇了!
破解密码篇:
谁说明破解没有直径?不过不叫直径而叫经验罢了?
只要你多看一些别人的经验有“拿来主义”总结分析
得到变成自己的新经验就是直径了:
以下就是证明:
旧方法:
F12---->17次
F8----->15次
结果:32次
常用法:
pmodule
F10----->72次
结果:72次
个人法:
pmodule
F12---->10次
F10---->8次
结果:18次
就能来到这个错误call!
0167:0047A64F  CALL    00454F50
0167:0047A654  TEST    AL,AL
0167:0047A656  JZ      0047A681
0167:0047A658  MOV      EAX,[EBP-04]
0167:0047A65B  CALL    004701DC//------->关键call!
0167:0047A660  TEST    AL,AL
0167:0047A662  JZ      0047A677
0167:0047A664  MOV      EAX,0047A6EC
0167:0047A669  CALL    00454F2C
0167:0047A66E  MOV      EAX,EBX
0167:0047A670  CALL    0044AF84
0167:0047A675  JMP      SHORT 0047A681
0167:0047A677  MOV      EAX,0047A710
0167:0047A67C  CALL    00454F2C//--------->出来错误提示!
看到没有我个人方法多么的快?我一向破解也是采用这样的方法,
只要pmodule能用,把旧方法和常用法方法结合就是一种新方法也是新一种经验?
为什么还要用F12了,小弟没有什么编程的技术只是在学校学过Foxbase2.5!
ret是主要流程,也是主要的得的干骨!什么还不明白?
就用一颗树干,你从这里开始找就能快速的找到枝叶(分支流程)!
哪如何找到树干了?你把要用F12了记一下出现第一次提示的次数
-1再用F10就找到枝叶!小弟用此方法不到一分钟就把注册码破解出来!
----------------------------------------------------------------------
:004701DC 55                      push ebp//------------->1
----------------------------------------------------------------------
EAX=00C0A168=78787878
----------------------------------------------------------------------
:00403ED8 53                      push ebx
:00403ED9 56                      push esi
:00403EDA 57                      push edi
:00403EDB 89C6                    mov esi, eax
:00403EDD 89D7                    mov edi, edx
:00403EDF 39D0                    cmp eax, edx//-------->2
----------------------------------------------------------------------
SN=EAX=61C8-064B-FE37
EDI=EDX=00C0A168=78787878
----------------------------------------------------------------------
:00403EE1 0F848F000000            je 00403F76
:00403EE7 85F6                    test esi, esi
:00403EE9 7468                    je 00403F53
:00403EEB 85FF                    test edi, edi
:00403EED 746B                    je 00403F5A
:00403EEF 8B46FC                  mov eax, dword ptr [esi-04]
:00403EF2 8B57FC                  mov edx, dword ptr [edi-04]
:00403EF5 29D0                    sub eax, edx
:00403EF7 7702                    ja 00403EFB
:00403EF9 01C2                    add edx, eax
:004701DD 8BEC                    mov ebp, esp
:004701DF 83C4EC                  add esp, FFFFFFEC
:004701E2 33D2                    xor edx, edx
:004701E4 8955F0                  mov dword ptr [ebp-10], edx
:004701E7 8955EC                  mov dword ptr [ebp-14], edx
:004701EA 8945FC                  mov dword ptr [ebp-04], eax
:004701ED 8B45FC                  mov eax, dword ptr [ebp-04]
:004701F0 E8873DF9FF              call 00403F7C
----------------------------------------------------------------------
:0047020E 8D55F0                  lea edx, dword ptr [ebp-10]//----->3
ID=EAX=00CF4F8=6600-0183-F9FF
ss:[6DF364]=00C0F5B4=SN=61C8-064B-FE37
----------------------------------------------------------------------
:0047020E 8D55F0                  lea edx, dword ptr [ebp-10]
:00470211 E8D2FBFFFF              call 0046FDE8
:00470216 8B45F0                  mov eax, dword ptr [ebp-10]//------>4
----------------------------------------------------------------------
ID=EDX=00CF4F8=6600-0183-F9FF
ss:[6DF364]=00C0F5B4=SN=61C8-064B-FE37
----------------------------------------------------------------------
:00470219 8B55FC                  mov edx, dword ptr [ebp-04]//------>5
----------------------------------------------------------------------
SN=EAX=61C8-064B-FE37
ss:[6DF370]=00C0A168=78787878
----------------------------------------------------------------------

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004701A4(C)
|
:0047021C E8B73CF9FF              call 00403ED8//----------->6
--------------------------------------------------------------------
EDX=00C0A168=78787878
EAX=00C0F5B4=SN=61C8-064B-FE37
---------------------------------------------------------------------
:00470221 0F9445FB                sete byte ptr [ebp-05]
:00470225 807DFB00                cmp byte ptr [ebp-05], 00
:00470229 7469                    je 00470294
:0047022B B201                    mov dl, 01
:0047022D A1C0EE4600              mov eax, dword ptr [0046EEC0]
:00470232 E889EDFFFF              call 0046EFC0
:00470237 8945F4                  mov dword ptr [ebp-0C], eax
:0047023A 33C0                    xor eax, eax
:0047023C 55                      push ebp
:0047023D 688D024700              push 0047028D
:00470242 64FF30                  push dword ptr fs:[eax]
:00470245 648920                  mov dword ptr fs:[eax], esp
:00470248 BA02000080              mov edx, 80000002
:0047024D 8B45F4                  mov eax, dword ptr [ebp-0C]
:00470250 E80BEEFFFF              call 0046F060
:00470255 33C9                    xor ecx, ecx
:00470257 BAD0024700              mov edx, 004702D0
:0047025C 8B45F4                  mov eax, dword ptr [ebp-0C]
:0047025F E864EEFFFF              call 0046F0C8
:00470264 84C0                    test al, al
:00470266 740F                    je 00470277
:00470268 B920034700              mov ecx, 00470320
:0047026D 33D2                    xor edx, edx
:0047026F 8B45F4                  mov eax, dword ptr [ebp-0C]
:00470272 E845F4FFFF              call 0046F6BC
:00470211 E8D2FBFFFF              call 0046FDE8
:00470216 8B45F0                  mov eax, dword ptr [ebp-10]
:00470219 8B55FC                  mov edx, dword ptr [ebp-04]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004701A4(C)
|
:0047021C E8B73CF9FF              call 00403ED8
:00470221 0F9445FB                sete byte ptr [ebp-05]
:00470225 807DFB00                cmp byte ptr [ebp-05], 00
:00470229 7469                    je 00470294
:0047022B B201                    mov dl, 01
:0047022D A1C0EE4600              mov eax, dword ptr [0046EEC0]
:00470232 E889EDFFFF              call 0046EFC0
:00470237 8945F4                  mov dword ptr [ebp-0C], eax
:0047023A 33C0                    xor eax, eax
:0047023C 55                      push ebp
:0047023D 688D024700              push 0047028D
:00470242 64FF30                  push dword ptr fs:[eax]
:00470245 648920                  mov dword ptr fs:[eax], esp
:00470248 BA02000080              mov edx, 80000002
:0047024D 8B45F4                  mov eax, dword ptr [ebp-0C]
:00470250 E80BEEFFFF              call 0046F060
:00470255 33C9                    xor ecx, ecx
:00470257 BAD0024700              mov edx, 004702D0
:0047025C 8B45F4                  mov eax, dword ptr [ebp-0C]
:0047025F E864EEFFFF              call 0046F0C8
:00470264 84C0                    test al, al
:00470266 740F                    je 00470277
:00470268 B920034700              mov ecx, 00470320
:0047026D 33D2                    xor edx, edx
:0047026F 8B45F4                  mov eax, dword ptr [ebp-0C]
:00470272 E845F4FFFF              call 0046F6BC
----------------------------------------------------------------------
crackcode2000注册机篇:
第一种:
[Options]
CommandLine=regeditor.exe
Mode=2
First_Break_Address=403EDF
First_Break_Address_Code=39
First_Break_Address_Code_Lenth=2
Save_Code_Address=edx

第二种:
[Options]
CommandLine=regeditor.exe
Mode=0
First_Break_Address=470219
First_Break_Address_Code=8B
First_Break_Address_Code_Lenth=2
Save_Code_Address=EAX

第三种:
[Options]
CommandLine=regeditor.exe
Mode=3
First_Break_Address=403EDF
First_Break_Address_Code=39
First_Break_Address_Code_Lenth=2
Save_Code_Address=edx
(以上It's very cool!Why?注册码错误也成功注册!不信你重启就成的注册版
不过就是用它注册所以文字都失踪不过也能注册!)
相信连我师傅也可能不知道有这么利害的功能?!哈。。。哈!

HKEY_LOCAL_MACHINE\
    Software\CLASSES\
    CLSID\
  {A4E78360-03CA-11D4-9395-981897B1F059}\
  Version\[(默认)FFFF]---->删除这个值又变回未注册版!
            ^^^^^
注册表暴力把它的变成FFFF就是注册版!
----------------------------------------------------------------------
暴力破解窗口篇:
0167:0047AA98 E87F54FFFF      CALL    0046FF1C
0167:0047AA9D 84C0            TEST    AL,AL
0167:0047AA9F 7553            JNZ      0047AAF4//----jz
0167:0047AAA1 8B0D04C24700    MOV      ECX,[0047C204]
0167:0047AAA7 8B09            MOV      ECX,[ECX]
0167:0047AAA9 B201            MOV      DL,01
0167:0047AAAB A1BCA34700      MOV      EAX,[0047A3BC]
0167:0047AAB0 E8EFC6FCFF      CALL    004471A4
0167:0047AAB5 A358D94700      MOV      [0047D958],EAX
0167:0047AABA 33C0            XOR      EAX,EAX
0167:0047AABC 55              PUSH    EBP
0167:0047AABD 68EDAA4700      PUSH    DWORD 0047AAED
0167:0047AAC2 64FF30          PUSH    DWORD [FS:EAX]
0167:0047AAC5 648920          MOV      [FS:EAX],ESP
0167:0047AAC8 A158D94700      MOV      EAX,[0047D958]
0167:0047AACD 8B10            MOV      EDX,[EAX]
0167:0047AACF FF92D8000000    CALL    NEAR [EDX+D8]//---->注册提示窗!
0167:0047AAD5 33C0            XOR      EAX,EAX
但仍然在退出时出现没有未注册提示,这个提示非常难破解!
-----------------------------------------------------------------------
自动脱壳篇:
工具:fi(三个版) and fs [测壳工具],Procdump32162(脱壳工具)
-----------------------------------------------------------------------
测试结果:
UPX v0.94 (■PE) ObHu/Molnar  UPX\
UPX v0.93 (■PE)  Bl.Panther  UPX fi
UPX v0.94 (■PE) ObHu/Molnar  UPX/
pe/exe.packer UPX 0.82-1.01 (type 2)-----unpacker (fs)
用"pr"选upx一会就脱壳成功!
-----------------------------------------------------------------------
手动脱壳篇:
参考:
----------------------------------------------------------------------
chm帮助编辑器v2.6 注册码破解详谈之一*脱壳篇*
其实没这个必要,是应peterchen要求所写!
    就先说说软件的脱壳吧!它用upx加壳.
    第一种脱壳方法:trw+冲击波0.2
启动冲击波,点击Trace,然后运行要脱壳的软件,此时冲击波会显示一个数值(这里应该是00488C78),这
就是程序的入口.
trw载入文件,Ctrl+N,
            g 00488C78
            MakePe 或 pedump
脱壳成功!

    第二种脱壳方法:只用trw.
    用trw载入程序,选择加载,这时TRW弹出,按一次F10,程序来到这里:
:004BA000 60                      pushad
:004BA001 E800000000              call 004BA006
一直按F10运行到上面这一行,注意这个call一定要进去,因为你再按一次F10的话,程序就运行了!
于是按F8进入:
* Referenced by a CALL at Address:
|:004BA001 
|
:004BA006 83CDFF                  or ebp, FFFFFFFF
:004BA009 31DB                    xor ebx, ebx
:004BA00B 5E                      pop esi
:004BA00C 8DBEFA6FF4FF            lea edi, dword ptr [esi+FFF46FFA]
:004BA012 57                      push edi
:004BA013 668187F4830B000100      add word ptr [edi+000B83F4], 0001
:004BA01C 81C6B3010000            add esi, 000001B3
:004BA022 EB0A                    jmp 004BA02E

到了这里,再继续按F10跳转到 004BA02E,继续跟踪

:004BA02E 01DB                    add ebx, ebx
:004BA030 7507                    jne 004BA039
:004BA032 8B1E                    mov ebx, dword ptr [esi]
:004BA034 83EEFC                  sub esi, FFFFFFFC
:004BA037 11DB                    adc ebx, ebx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA030(C)
|
:004BA039 72ED                    jb 004BA028     
:004BA03B B801000000              mov eax, 00000001

在004BA039这一行程序将*向上*跳到004BA028,进行循环解压,而我们没有必要跟着它走,所以将光标
定位于004BA03B,按F7,这样就省去了许多步骤了,接着软件还会有很多类似于这里的地方,都可以用这
种方法跳过去.若是程序向下跳跃的时候,就不要多此一举了,让它跳就是了,还要注意的是按F7前,最好
先在跳转的地方设个断点,再bd掉,这样即使判断错误,也还有的救,be就可以了继续跟踪了.继续向下走:
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004BA04F(C), :004BA05A(C)
|
:004BA040 01DB                    add ebx, ebx
:004BA042 7507                    jne 004BA04B      \\这里会*向下*跳转,让它跳就是了.
:004BA044 8B1E                    mov ebx, dword ptr [esi]
:004BA046 83EEFC                  sub esi, FFFFFFFC
:004BA049 11DB                    adc ebx, ebx

这两种情况已经明白了吧!那我就省去一些了.
来到这里

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA177(C)
|
:004BA18A 240F                    and al, 0F
:004BA18C C1E010                  shl eax, 10
:004BA18F 668B07                  mov ax, word ptr [edi]
:004BA192 83C702                  add edi, 00000002
:004BA195 EBE2                    jmp 004BA179

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA173(C)
|
:004BA197 61                      popad  运行到这里以后看看下面这个跳转
:004BA198 E9DBEAFCFF              jmp 00488C78    //这里程序便完成来内存中的解工作,
                                                    将要跳到程序入口点00488C78
然后就来到了这里:
00488C78  PUSH EBP    //在这里下MAKEPE命令(但我的TRW经常出错,Why)或是Pedump
00488C79  MOV  EBP,ESP  但若你用了Pedump那脱壳后的文件将不能在其它操作系统和
                          其它机器上运行!
--------------------------------------------------------------------------
工具:trw2000,Bw2k02(冲击波)
惜助工具脱壳:
1.把"bw" copy 到你要脱壳的软件目录中
2.先启动它
3.再启动要脱壳的软件
使用法:
Track:  开始进行跟踪,然后运行要跟踪的程序.
        找到入口点后,会在Enter point 显示.
Stop :  停止跟踪
Exit :  退出
我的epo是0047AA50
用trw2000,ctrl+n
g 47aa50
PEDUMP
为什么不用MAKEPE?我也与TAE!一样!
----------------------------------------------------------------------
0167:004A87FB  ADD      EBX,BYTE +04--------->F9
0167:004A87FE  JMP      SHORT 004A87E1//----->注意这里是环循?
0167:004A8800  CALL    NEAR [ESI+000A96DC]--->来到这里就显示注册窗!
0167:004A8806  ADD      EDI,BYTE +04-------->光标放在这里按F7!
为什么要这样做了?由于来到环循点不可能让跳回去要向下走才行,为了怕
判定之误所以要中断不然又要再来!这里就什么搞鬼?可逼非回去不可也就
是不给你脱壳!所以只要发现你跳下一行就让注册窗提早出来!这也是
程序流程的定律!不过你只要一下跳多一行就行了!
------------------------------------------------------------------------
0167:004A8832  ADD      EDI,BYTE +02
0167:004A8835  JMP      SHORT 004A8819
0167:004A8837  POPA//----------->非常明显的标志!   
0167:004A8838  JMP      0047AA50
-----------------------------------------------------------------------
0167:0047AA50  PUSH    EBP//----------->真正的入口点!不过要注意不要把光标
0167:0047AA51  MOV      EBP,ESP          不然这个入口点变样!不是如此还有
0167:0047AA53  ADD      ESP,BYTE -0C      汇编我不知道你有没有看台湾火大客
0167:0047AA56  MOV      EAX,0047A7F8      加、脱壳教程,也许是加了壳所以有
0167:0047AA5B  CALL    004065E0          这样的变化!   
0167:0047AA60  MOV      EAX,[0047C204]
0167:0047AA65  MOV      EAX,[EAX]
0167:0047AA67  CALL    0044E138
0167:0047AA6C  MOV      EAX,[0047C204]
0167:0047AA71  MOV      EAX,[EAX]
0167:0047AA73  ADD      EAX,BYTE +40
0167:0047AA76  MOV      EDX,0047AB10
0167:0047AA7B  CALL    00403B9C
0167:0047AA80  MOV      ECX,[0047C058]
0167:0047AA86  MOV      EAX,[0047C204]
0167:0047AA8B  MOV      EAX,[EAX]
0167:0047AA8D  MOV      EDX,[00477330]
0167:0047AA93  CALL    0044E150
0167:0047AA98  CALL    0046FF1C
0167:0047AA9D 84C0            TEST    AL,AL
0167:0047AA9F 7553            JNZ      0047AAF4//----jz
0167:0047AAA1 8B0D04C24700    MOV      ECX,[0047C204]
0167:0047AAA7 8B09            MOV      ECX,[ECX]
0167:0047AAA9 B201            MOV      DL,01
0167:0047AAAB A1BCA34700      MOV      EAX,[0047A3BC]
0167:0047AAB0 E8EFC6FCFF      CALL    004471A4
0167:0047AAB5 A358D94700      MOV      [0047D958],EAX
0167:0047AABA 33C0            XOR      EAX,EAX
0167:0047AABC 55              PUSH    EBP
0167:0047AABD 68EDAA4700      PUSH    DWORD 0047AAED
0167:0047AAC2 64FF30          PUSH    DWORD [FS:EAX]
0167:0047AAC5 648920          MOV      [FS:EAX],ESP
0167:0047AAC8 A158D94700      MOV      EAX,[0047D958]
0167:0047AACD 8B10            MOV      EDX,[EAX]
0167:0047AACF FF92D8000000    CALL    NEAR [EDX+D8]//---->注册提示窗!
0167:0047AAD5 33C0            XOR      EAX,EAX
但仍然在退出时出现没有未注册提示,这个提示非常难破解!
-----------------------------------------------------------------------
自动脱壳篇:
工具:fi(三个版) and fs [测壳工具],Procdump32162(脱壳工具)
-----------------------------------------------------------------------
测试结果:
UPX v0.94 (■PE) ObHu/Molnar  UPX\
UPX v0.93 (■PE)  Bl.Panther  UPX fi
UPX v0.94 (■PE) ObHu/Molnar  UPX/
pe/exe.packer UPX 0.82-1.01 (type 2)-----unpacker (fs)
用"pr"选upx一会就脱壳成功!
-----------------------------------------------------------------------
手动脱壳篇:
参考:
----------------------------------------------------------------------
chm帮助编辑器v2.6 注册码破解详谈之一*脱壳篇*
其实没这个必要,是应peterchen要求所写!
    就先说说软件的脱壳吧!它用upx加壳.
    第一种脱壳方法:trw+冲击波0.2
启动冲击波,点击Trace,然后运行要脱壳的软件,此时冲击波会显示一个数值(这里应该是00488C78),这
就是程序的入口.
trw载入文件,Ctrl+N,
            g 00488C78
            MakePe 或 pedump
脱壳成功!

    第二种脱壳方法:只用trw.
    用trw载入程序,选择加载,这时TRW弹出,按一次F10,程序来到这里:
:004BA000 60                      pushad
:004BA001 E800000000              call 004BA006
一直按F10运行到上面这一行,注意这个call一定要进去,因为你再按一次F10的话,程序就运行了!
于是按F8进入:
* Referenced by a CALL at Address:
|:004BA001 
|
:004BA006 83CDFF                  or ebp, FFFFFFFF
:004BA009 31DB                    xor ebx, ebx
:004BA00B 5E                      pop esi
:004BA00C 8DBEFA6FF4FF            lea edi, dword ptr [esi+FFF46FFA]
:004BA012 57                      push edi
:004BA013 668187F4830B000100      add word ptr [edi+000B83F4], 0001
:004BA01C 81C6B3010000            add esi, 000001B3
:004BA022 EB0A                    jmp 004BA02E

到了这里,再继续按F10跳转到 004BA02E,继续跟踪

:004BA02E 01DB                    add ebx, ebx
:004BA030 7507                    jne 004BA039
:004BA032 8B1E                    mov ebx, dword ptr [esi]
:004BA034 83EEFC                  sub esi, FFFFFFFC
:004BA037 11DB                    adc ebx, ebx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA030(C)
|
:004BA039 72ED                    jb 004BA028     
:004BA03B B801000000              mov eax, 00000001

在004BA039这一行程序将*向上*跳到004BA028,进行循环解压,而我们没有必要跟着它走,所以将光标
定位于004BA03B,按F7,这样就省去了许多步骤了,接着软件还会有很多类似于这里的地方,都可以用这
种方法跳过去.若是程序向下跳跃的时候,就不要多此一举了,让它跳就是了,还要注意的是按F7前,最好
先在跳转的地方设个断点,再bd掉,这样即使判断错误,也还有的救,be就可以了继续跟踪了.继续向下走:
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004BA04F(C), :004BA05A(C)
|
:004BA040 01DB                    add ebx, ebx
:004BA042 7507                    jne 004BA04B      \\这里会*向下*跳转,让它跳就是了.
:004BA044 8B1E                    mov ebx, dword ptr [esi]
:004BA046 83EEFC                  sub esi, FFFFFFFC
:004BA049 11DB                    adc ebx, ebx

这两种情况已经明白了吧!那我就省去一些了.
来到这里

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA177(C)
|
:004BA18A 240F                    and al, 0F
:004BA18C C1E010                  shl eax, 10
:004BA18F 668B07                  mov ax, word ptr [edi]
:004BA192 83C702                  add edi, 00000002
:004BA195 EBE2                    jmp 004BA179

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA173(C)
|
:004BA197 61                      popad  运行到这里以后看看下面这个跳转
:004BA198 E9DBEAFCFF              jmp 00488C78    //这里程序便完成来内存中的解工作,
                                                    将要跳到程序入口点00488C78
然后就来到了这里:
00488C78  PUSH EBP    //在这里下MAKEPE命令(但我的TRW经常出错,Why)或是Pedump
00488C79  MOV  EBP,ESP  但若你用了Pedump那脱壳后的文件将不能在其它操作系统和
                          其它机器上运行!
--------------------------------------------------------------------------
工具:trw2000,Bw2k02(冲击波)
惜助工具脱壳:
1.把"bw" copy 到你要脱壳的软件目录中
2.先启动它
3.再启动要脱壳的软件
使用法:
Track:  开始进行跟踪,然后运行要跟踪的程序.
        找到入口点后,会在Enter point 显示.
Stop :  停止跟踪
Exit :  退出
我的epo是0047AA50
用trw2000,ctrl+n
g 47aa50
PEDUMP
为什么不用MAKEPE?我也与TAE!一样!
----------------------------------------------------------------------
0167:004A87FB  ADD      EBX,BYTE +04--------->F9
0167:004A87FE  JMP      SHORT 004A87E1//----->注意这里是环循?
0167:004A8800  CALL    NEAR [ESI+000A96DC]--->来到这里就显示注册窗!
0167:004A8806  ADD      EDI,BYTE +04-------->光标放在这里按F7!
为什么要这样做了?由于来到环循点不可能让跳回去要向下走才行,为了怕
判定之误所以要中断不然又要再来!这里就什么搞鬼?可逼非回去不可也就
是不给你脱壳!所以只要发现你跳下一行就让注册窗提早出来!这也是
程序流程的定律!不过你只要一下跳多一行就行了!
------------------------------------------------------------------------
0167:004A8832  ADD      EDI,BYTE +02
0167:004A8835  JMP      SHORT 004A8819
0167:004A8837  POPA//----------->非常明显的标志!   
0167:004A8838  JMP      0047AA50
-----------------------------------------------------------------------
0167:0047AA50  PUSH    EBP//----------->真正的入口点!不过要注意不要把光标
0167:0047AA51  MOV      EBP,ESP          不然这个入口点变样!不是如此还有
0167:0047AA53  ADD      ESP,BYTE -0C      汇编我不知道你有没有看台湾火大客
0167:0047AA56  MOV      EAX,0047A7F8      加、脱壳教程,也许是加了壳所以有
0167:0047AA5B  CALL    004065E0          这样的变化!   
0167:0047AA60  MOV      EAX,[0047C204]
0167:0047AA65  MOV      EAX,[EAX]
0167:0047AA67  CALL    0044E138
0167:0047AA6C  MOV      EAX,[0047C204]
0167:0047AA71  MOV      EAX,[EAX]
0167:0047AA73  ADD      EAX,BYTE +40
0167:0047AA76  MOV      EDX,0047AB10
0167:0047AA7B  CALL    00403B9C
0167:0047AA80  MOV      ECX,[0047C058]
0167:0047AA86  MOV      EAX,[0047C204]
0167:0047AA8B  MOV      EAX,[EAX]
0167:0047AA8D  MOV      EDX,[00477330]
0167:0047AA93  CALL    0044E150
0167:0047AA98  CALL    0046FF1C
0167:0047AA9D  TEST    AL,AL
0167:0047AA9F  JNZ      0047AAF4
0167:0047AAA1  MOV      ECX,[0047C204]
0167:0047AAA7  MOV      ECX,[ECX]
0167:0047AAA9  MOV      DL,01
0167:0047AAAB  MOV      EAX,[0047A3BC]
0167:0047AAB0  CALL    004471A4
0167:0047AAB5  MOV      [0047D958],EAX
0167:0047AABA  XOR      EAX,EAX
0167:0047AABC  PUSH    EBP
0167:0047AABD  PUSH    DWORD 0047AAED
0167:0047AAC2  PUSH    DWORD [FS:EAX]
0167:0047AAC5  MOV      [FS:EAX],ESP
0167:0047AAC8  MOV      EAX,[0047D958]
0167:0047AACD  MOV      EDX,[EAX]
0167:0047AACF  CALL    NEAR [EDX+D8]//------------------->注册提示窗口出来了!
------------------------------------------------------------------------------
真奇怪为什么用不了makepe?有谁成功过用过指导一些用法!Thanks!
是Delphi所编,当是脱壳后有dede反汇编比w32dsm89还要差?
w32dwm89出现乱码多,dede反译内容极少!
也许是小弟不会它吧?请会用它的朋友试一试反译一些此软件看一看
是小弟不会用还是软件本身不能反译?
dede2.5full!