• 标 题:win2000下手动破解Elib2.01 (17千字)
  • 作 者:ircbox
  • 时 间:2002-3-28 21:22:24
  • 链 接:http://bbs.pediy.com

win2000下手动破解Elib2.01。
1.此破解教程仅供学习,不得用于商业用途。
2.破解工具:SoftICE4.05(98下)、UPX、W32DSM89、HIEW6.81。
3.原版文件下载(当前最新版本2.01):http://newhua.infosail.com/down/elib_cn.exe
4.使用的汇编指令:
机器码        指令格式    测试条件    跳转含义
0F 84 cw/cd     JE rel16/32     ZF=1        等于
0F 85 cw/cd     JNE rel16/32     ZF=0        不等于
74        JZ/JE      Z=1         零/等于
75        JNZ/JNE      Z=0         不为零/不等于 
E9   cw/cd     JMP rel16/32      无条件
90              NOP           

注:rel16/32  表示 16或32 位相对地址
ZF(Zero Flag)零标志,运算结果为0时ZF位置1,否则置0.


软件简介:
    作为网页收藏、保存和编辑的工具,Elib会给您带来极大的方便,并帮助您逐步建立自己的知识库。
编译工具:Borland C++
加壳:      UPX1.2W
技术:      该软件使用OLE或COM技术,采用控件,完成保存网页功能。其它如输出成CHM文件,则使用了微软的工具,不知是否可以如此捆绑?!

    3月26日在pediy论坛看到一篇ssljx的《算法分析》很受启发,TAE!提供的注册码又无法上网激活,可能已被封号,我在测试过程中使用新号激活时也发现有此现象。ssljx的算法分析很是独道,可惜我功力尚浅,无法做出注册机来,所以就转换思路,使用了另一种方法,直接修改原文件,也就是俗称的“爆破”。

    由于我在win2000下使用的SOFTICE4.05老是出问题,所以一般要调试的话,都会转到WIN98下进行。
启动加载Softice,进入win98,运行elib,点击菜单“帮助”->“激活并注册”,弹出“注册”对话框。输入注册码,格式为ELIBA-11111-22222-33333-44444。数字可随便填写。
Ctrl+D进入Softice
下bpx hmemcpy,
按F5回到Elib,
点击“下一步”按钮,被抓,
下bd 0或(bd *),
按F12,13次后弹出“注册码错误”对话框,
点“确定”,返回Softice,
下BE 0(或be *)
按F5回到Elib,
点击“下一步”按钮,被抓,
按F12,12次停在
0167:004304de CMP DWORD PTR[EBP-08],00
按F10,数次来到
0167:0043073e CALL 0045BDC4 (运行到此处会弹出“注册码错误”对话框),记下位置0043073e,W32ASM会用到。
之后就可不用SOFTICE了。可直接进入WIN2000手动开始破解。不过为了方便,我们先破解程序的一处看看效果如何。
使用SOFTICE调试时,发现elib的“天空”在UPX下,试一试用UPX能不能脱壳。还好手上有UPX1.20w。
备份elib.exe,
下upx -d elib.exe,
脱壳成功,解开的文件有2.82MB。
运行W32Asm8.93打开此文件,下Shitf+F12,在位移处输入上面记下的地址0043073e。
停在
* Reference To: eLib.TGlobal::InfoBox(())//这就是我们见到的“注册码错误“对话框了。
                                  |
:0043073E E881B60200              call 0045BDC4

往上走,会看到什么。到这里。
* Reference To: eLib.TGlobal::IsValidSerialNo(System::AnsiString)//是不是意外的惊喜,看名字是什么,检测注册码是否正确?找到这里,整个检测注册码的核心被找到。
                                  |
:004305AF E848540300              call 004659FC        //关键,记下004659FC这个值。
:004305B4 33C9                    xor ecx, ecx
:004305B6 83C408                  add esp, 00000008
:004305B9 8AC8                    mov cl, al
:004305BB BA02000000              mov edx, 00000002
:004305C0 83F901                  cmp ecx, 00000001
:004305C3 1BC0                    sbb eax, eax
:004305C5 F7D8                    neg eax
:004305C7 50                      push eax        //注册码正确,此处值为0,值存入堆栈
:004305C8 8D45E8                  lea eax, dword ptr [ebp-18]
:004305CB FF4DC4                  dec [ebp-3C]
:004305CE E89DF90E00              call 0051FF70
:004305D3 59                      pop ecx        //堆栈eax的值弹给ecx
:004305D4 84C9                    test cl, cl        //判断注册码是否正确,正确为0
:004305D6 0F8484000000            je 00430660        //注册码正确就跳。此处修改为jmp 00430660
//记下此处的文件位移,可在W32asm的状态栏获得为@offset 0002fbd6h,hiew会用到它。
:004305DC 66C745B84400            mov [ebp-48], 0044
:004305E2 33C0                    xor eax, eax
:004305E4 8D55DC                  lea edx, dword ptr [ebp-24]
:004305E7 8945DC                  mov dword ptr [ebp-24], eax
:004305EA 52                      push edx
:004305EB FF45C4                  inc [ebp-3C]

* Possible StringData Ref from Data Obj ->"Registration number is invalid!"
                                  |
:004305EE BA15785300              mov edx, 00537815
:004305F3 8D45E0                  lea eax, dword ptr [ebp-20]
:004305F6 E865F70E00              call 0051FD60
:004305FB FF45C4                  inc [ebp-3C]
:004305FE 8D4DE0                  lea ecx, dword ptr [ebp-20]
:00430601 51                      push ecx

* Possible StringData Ref from Data Obj ->"strRegNumInvalid"
                                  |
:00430602 BA04785300              mov edx, 00537804
:00430607 8D45E4                  lea eax, dword ptr [ebp-1C]
:0043060A E851F70E00              call 0051FD60
:0043060F FF45C4                  inc [ebp-3C]
:00430612 8D55E4                  lea edx, dword ptr [ebp-1C]
:00430615 A16C3B5500              mov eax, dword ptr [00553B6C]
:0043061A 59                      pop ecx

    调用hiew6.81,选择elib.exe文件,
F4选Decode mode,
F5,输入先前记下的文件位移0002fbd6
F3,修改0F8484000000为90E984000000,
F9。
运行一下看看,在注册码中输入
ELIBA-11111-22222-33333-44444,点下一步,不会弹出“注册码错误“对话框了,并且进入一个新的对话框中。连网激活一下试试,成功了。(要注意,一个注册码不能多次激活,小心被封)。
我们还有许多工作要做,这只是elib判断注册码是否正确的一个地方,其它还有许多呢。以下会具体说明。
分析总结一下,很明显elib使用函数eLib.TGlobal::IsValidSerialNo(System::AnsiString)来判断注册码是否正确,注册码正确,则eax值为0,否则为1。之后会有跳转判断。修改为无条件跳转,应该会成功。有人说将此函数修改一下不就行了,我进入函数看了一下,较复杂,只有等待高手来做了。记下eLib.TGlobal::IsValidSerialNo(System::AnsiString)函数位置004659FC。
现在我们收拾东西进入win2000开始手动破解elib2.01,心情开始激动起来。

进入WIN2000,将日期向后调,如增加一年。首先运行elib上网激活一下,注意注册码可能已被封,多试几个数字即可。
运行W32ASM和HIEW,分别打开elib.exe文件。准备修改。
在W32ASM中下shitf+F12,在位移处填入004659FC(即IsValidSerialNo函数位置),会停在
Exported fn(): TGlobal::IsValidSerialNo(System::AnsiString) - Ord:027Fh
:004659FC 55                      push ebp

它的下面就是函数IsValidSerialNo(System::AnsiString)具体实现,较复杂,也难为作者了。
我们不管它,记下有什么地方调用它即可。往上看就知道了。有13处调用了它。我们开始一个一个攻破它。
* Referenced by a CALL at Addresses:
|:00406457  , :00406716  , :004069E5  , :00407C3B  , :00407EC8 
|:00408A68  , :0040BF7D  , :0040F779  , :004147D6  , :0042F8F9 
|:004305AF  , :00431FFF  , :00465BA5 
|
(1)00406457
在W32ASM中下SHIFT+F12,输入00406457
停在
* Reference To: eLib.TGlobal::IsValidSerialNo(System::AnsiString)
                                  |
:00406457 E8A0F50500              call 004659FC        //调用IsValidSerialNo
:0040645C 83C408                  add esp, 00000008    //判断
:0040645F 84C0                    test al, al          //
:00406461 0F84EB000000            je 00406552          //al值为0(即注册码正确)则跳
:00406467 E8E0A71100              call 00520C4C
可不要上当,这里要改的话,会弹出一个“你使用的软件为盗版”对话框。
此处可忽略。

(2)00406716
在W32ASM中下SHIFT+F12,输入00406716
停在
* Reference To: eLib.TGlobal::IsValidSerialNo(System::AnsiString)
                                  |
:00406716 E8E1F20500              call 004659FC        //调用IsValidSerialNo
:0040671B 83C408                  add esp, 00000008
:0040671E BA02000000              mov edx, 00000002
:00406723 50                      push eax
:00406724 8D45FC                  lea eax, dword ptr [ebp-04]
:00406727 FF4B1C                  dec [ebx+1C]
:0040672A E841981100              call 0051FF70
:0040672F 59                      pop ecx
:00406730 84C9                    test cl, cl        //
:00406732 0F84E3010000            je 0040691B          //此处改为jne 0040691B,记下位移@offset 5d32h
:00406738 66C743101400            mov [ebx+10], 0014
:0040673E 8B06                    mov eax, dword ptr [esi]
:00406740 50                      push eax
:00406741 33D2                    xor edx, edx
:00406743 8955F8                  mov dword ptr [ebp-08], edx
:00406746 8D4DF8                  lea ecx, dword ptr [ebp-08]
:00406749 51                      push ecx
:0040674A FF431C                  inc [ebx+1C]

在hiew6.81中修改0F84E3010000为0F85E3010000(方法可参考上述)。
效果:修改这里,会将菜单“激活并注册”变成灰色。将时间向后调一下,如增加一年,会出现
“过期”对话框。

(3)004069E5
在W32ASM中下SHIFT+F12,输入004069E5
停在
* Reference To: eLib.TGlobal::IsValidSerialNo(System::AnsiString)
                                  |
:004069E5 E812F00500              call 004659FC
:004069EA 83C408                  add esp, 00000008
:004069ED BA02000000              mov edx, 00000002
:004069F2 50                      push eax
:004069F3 8D45C0                  lea eax, dword ptr [ebp-40]
:004069F6 FF4B1C                  dec [ebx+1C]
:004069F9 E872951100              call 0051FF70
:004069FE 59                      pop ecx
:004069FF 84C9                    test cl, cl
:00406A01 745B                    je 00406A5E        //修改为jne 00406A5E,文件位移6001h
:00406A03 66C743106800            mov [ebx+10], 0068
:00406A09 BAE12E5200              mov edx, 00522EE1
:00406A0E 8D45BC                  lea eax, dword ptr [ebp-44]
:00406A11 E84A931100              call 0051FD60
:00406A16 FF431C                  inc [ebx+1C]
:00406A19 33C0                    xor eax, eax
:00406A1B 8945B8                  mov dword ptr [ebp-48], eax
:00406A1E 8D55BC                  lea edx, dword ptr [ebp-44]
:00406A21 FF431C                  inc [ebx+1C]
:00406A24 8D4DB8                  lea ecx, dword ptr [ebp-48]
:00406A27 8B06                    mov eax, dword ptr [esi]
:00406A29 83C064                  add eax, 00000064
:00406A2C E897951100              call 0051FFC8
:00406A31 8D55B8                  lea edx, dword ptr [ebp-48]
:00406A34 8D45C4                  lea eax, dword ptr [ebp-3C]
:00406A37 E864951100              call 0051FFA0
:00406A3C FF4B1C                  dec [ebx+1C]
:00406A3F 8D45B8                  lea eax, dword ptr [ebp-48]
:00406A42 BA02000000              mov edx, 00000002
:00406A47 E824951100              call 0051FF70
:00406A4C FF4B1C                  dec [ebx+1C]
:00406A4F 8D45BC                  lea eax, dword ptr [ebp-44]
:00406A52 BA02000000              mov edx, 00000002
:00406A57 E814951100              call 0051FF70
:00406A5C EB0D                    jmp 00406A6B

在hiew6.81中修改745B为755b。
效果:会弹出“软件没有激活”对话框,“过期”对话框消失。

(4)00407c3b
在W32ASM中下SHIFT+F12,输入00407c3b
停在
* Reference To: eLib.TGlobal::IsValidSerialNo(System::AnsiString)
                                  |
:00407C3B E8BCDD0500              call 004659FC
:00407C40 83C408                  add esp, 00000008
:00407C43 84C0                    test al, al
:00407C45 0F95C2                  setne dl        //可在这里改为 sete dl
:00407C48 83E201                  and edx, 00000001
:00407C4B 8D45FC                  lea eax, dword ptr [ebp-04]
:00407C4E 52                      push edx
:00407C4F BA02000000              mov edx, 00000002
:00407C54 FF4DE8                  dec [ebp-18]
:00407C57 E814831100              call 0051FF70
:00407C5C 59                      pop ecx
:00407C5D 85C9                    test ecx, ecx
:00407C5F 0F84A6000000            je 00407D0B          //上面不改的情况下,可改为je 00407D0B,记下文件位移725fh
:00407C65 66C745DC1400            mov [ebp-24], 0014
:00407C6B A16C3B5500              mov eax, dword ptr [00553B6C]
:00407C70 50                      push eax
:00407C71 33D2                    xor edx, edx
:00407C73 8955F8                  mov dword ptr [ebp-08], edx
:00407C76 8D4DF8                  lea ecx, dword ptr [ebp-08]
:00407C79 51                      push ecx
:00407C7A FF45E8                  inc [ebp-18]

在HIEW中在文件位移725fh将0F84A6000000改为0F85A6000000
效果:末知

(5)00407ec8
00407eec 0f84a6000000 文件位移74ech    改为0f85a6000000
(6)00408a68
00408a8c 0f84a3000000 文件位移808ch    改为0f85a3000000
(7)0040bf7d
0040bfa1 0f84a6000000 文件位移b5a1h    改为0f84a6000000
效果:末知

(8)0040f779
0040f7a0 747c 文件位移eda0h    改为757c
效果:标题栏“unregister”消失。

(9)004147d6
004147f2 0f8451010000 文件位移13df2h     改为0f8551010000
效果:“关于”对话框显示注册成功,“软件没有激活”对话框消失。

(10)0042f8f9
:0042f94d 7407 //2ef4dH 暂不修改
效果:末知

(11)004305af
这里就是我们在win98修改过的地方,修改后不会弹出“注册码错误”对话框,到这里,上网就可激活。
:004305d6 0f8484000000 //文件位移2fbd6h 改为  0f8584000000或者90e984000000
效果:如上

(12)00431fff
:00432009 0f85ab000000 //文件位移31609h 改为0f84ab000000
效果:末知

(13)00465ba5
:00465baf 0f84bf000000 //文件位移651af 0f85bf000000
效果:“软件没有激活”对话框消失,可使用工具栏提供的“源码”和“编辑”功能。

到这里,可暂停对程序的修改,因为还有其它地方要解决。先试用一下elib,打开一网页,试着保存一下。会弹出“网页无法保存”对话框。因为过期后不支持保存功能,分析一下,我们已对ELIB调用IsValidSerialNo的地方都修改过了,是不是有其它文件还有调用了。我们发现在elib目录中还有一个文件
htmlcollect.dll。
下upx -d htmlcollect.dll脱壳。
用W32asm打开文件,点击exports工具,又发现IsValidSerialNo的身影。
0043558c位置调用了这个函数,

(14)0043558c(文件htmlcollect.dll)
:0043573f 0f84bf000000 //文件位移34d3fh 改为0f85bf000000
效果:可保存网页了。

既然这样,我们仔细检查elib目录中的文件还有调用IsValidSerialNo的,
发现在bookview.dll,batchadd.exe都有调用。全修改了!

(15)004255ed(文件bookview.dll)
:004255ed 0f84bf000000 //文件位移24bf7h 改为0f85bf000000

(16)00434b28(文件batchadd.exe)
:00434b28 0f84bf000000 //文件位移342dbh 改为0f85bf000000

现在试用一下,正常,但如果使用“导出”功能的话,还会弹出“报告bug”对话框。
看来elib文件中还有检测,
用w32asm查看elib中的EXPORTS函数,发现一个eLib.TGlobal::GetSerialNo(void)。

Exported fn(): TGlobal::GetSerialNo(void) - Ord:0283h
:004668FC 55                      push ebp
:004668FD 8BEC                    mov ebp, esp

查看调用该函数的地方
* Referenced by a CALL at Addresses:
|:0040643E  , :00406705  , :0040676A  , :004069D6  , :00407C2C 
|:00407C7D  , :00407EB9  , :00407F0A  , :00408A59  , :00408AAA 
|:0040BF6E  , :0040BFBF  , :0040F76A  , :004147C7  , :0041481A 
|:00414877  , :00418979  , :0042F8EA  , :00430AE2  , :004320E2 
|:00465BFB 
|                                   
分析函数调用位置,将调用GetSerialNo(void)之后,又调用IsValidSerialNo的地方排除之后,
只剩下
(17)00407C7D
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00407C7D E87AEC0500              call 004668FC

:00407CAB 50                      push eax
:00407CAC 8D45F8                  lea eax, dword ptr [ebp-08]
:00407CAF FF4DE8                  dec [ebp-18]
:00407CB2 E8B9821100              call 0051FF70
:00407CB7 59                      pop ecx
:00407CB8 84C9                    test cl, cl
:00407CBA 744F                    je 00407D0B        //修改为jne 00407D0B,文件位移72bah

(18)00407F0A
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00407F0A E8EDE90500              call 004668FC

:00407F38 50                      push eax
:00407F39 8D45F8                  lea eax, dword ptr [ebp-08]
:00407F3C FF4DEC                  dec [ebp-14]
:00407F3F E82C801100              call 0051FF70
:00407F44 59                      pop ecx
:00407F45 84C9                    test cl, cl
:00407F47 744F                    je 00407F98        //修改为jne 00407F98,文件位移7547h

(19)00408AAA
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00408AAA E84DDE0500              call 004668FC                                   

:00408AD8 50                      push eax
:00408AD9 8D45F4                  lea eax, dword ptr [ebp-0C]
:00408ADC FF4E1C                  dec [esi+1C]
:00408ADF E88C741100              call 0051FF70
:00408AE4 59                      pop ecx
:00408AE5 84C9                    test cl, cl        
:00408AE7 744C                    je 00408B35          //修改为jne 00408B35,文件位移80e7h

(20)0040BFBF
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:0040BFBF E838A90500              call 004668FC

:0040BFED 50                      push eax
:0040BFEE 8D45F8                  lea eax, dword ptr [ebp-08]
:0040BFF1 FF4DDC                  dec [ebp-24]
:0040BFF4 E8773F1100              call 0051FF70
:0040BFF9 59                      pop ecx
:0040BFFA 84C9                    test cl, cl        
:0040BFFC 744F                    je 0040C04D          //修改为jne 0040C04D,文件位移b5fch

(21)其它位置
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00418979 E87EDF0400              call 004668FC        //忽略
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00430AE2 E8155E0300              call 004668FC        //忽略
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:004320E2 E815480300              call 004668FC        //忽略
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00465BFB E8FC0C0000              call 004668FC        //忽略
修改完成,试运行。可导出成CHM文件,“报告bug”对话框消失。

    到此为至,整个elib2.01破解完成。经试用,我常用的功能如保存,导出均正常。
实现无时间,无功能限制,可上网激活。
缺点就是:对文件修改较多,可能会造成末知的错误。要使用破解,需要上网激活。
如果能将调用
Exported fn(): TGlobal::IsValidActiveCode() - Ord:0281h
:00465D48 55                      push ebp
的地方也改一改可能效果会更好。

最佳的破解方法应该是能算出注册码,算法分析请参考ssljx的《算法分析》。

  • 标 题:win2000下手动破解Elib2.01(二)Cool!! (10千字)
  • 作 者:ircbox
  • 时 间:2002-3-29 16:08:15
  • 链 接:http://bbs.pediy.com

win2000下手动破解Elib2.01(三)
    在《win2000下手动破解Elib2.01》(一)文中,讲过Elib检测注册码是否正确的核心为函数
eLib.TGlobal::IsValidSerialNo(System::AnsiString)
曾经说过由于函数的实现较复杂,希望有高手能够直接修改它来完成破解,可今天发现,
原来我就是一个“高手”,开个玩笑:)。直接修改eLib.TGlobal::IsValidSerialNo(System::AnsiString)的实现,同样完成了成功注册。并且这样的破解更干净,更稳定。

由于完成Elib整个的破解,需要修改elib目录中的四个文件。

分别是
elib.exe,htmlcollect.dll,bookview.dll,batchadd.exe
分别备份,用upx1.20W脱壳。
如 upx -d elib.exe。

建一个新目录,将脱壳后的文件分别复制到目录中。w32asm8.93将会用到。
用w32asm打开该目录中的elib.exe。

用hiew打开elib安装目录中的elib.exe。

(一)修改IsValidSerialNo
如果还记得eLib.TGlobal::IsValidSerialNo(System::AnsiString)的位置,则可在w32asm中
下Shift+F12,填上位移0046F9FC,点OK;或者点击w32asm工具栏上的“Exports Function”
找到TGlobal::IsAValidateNumber(())点击后,停在

Exported fn(): TGlobal::IsValidSerialNo(System::AnsiString) - Ord:027Fh
:004659FC 55                      push ebp
:004659FD 8BEC                    mov ebp, esp
:004659FF 83C4D8                  add esp, FFFFFFD8
:00465A02 B8387F5400              mov eax, 00547F38
:00465A07 53                      push ebx
:00465A08 8B5D08                  mov ebx, dword ptr [ebp+08]
:00465A0B E884FB0A00              call 00515594
:00465A10 C745F401000000          mov [ebp-0C], 00000001
:00465A17 8D550C                  lea edx, dword ptr [ebp+0C]
:00465A1A 8D450C                  lea eax, dword ptr [ebp+0C]
:00465A1D E876A30B00              call 0051FD98
:00465A22 FF45F4                  inc [ebp-0C]
:00465A25 33D2                    xor edx, edx
:00465A27 66C745E80800            mov [ebp-18], 0008
:00465A2D 66C745E81400            mov [ebp-18], 0014
:00465A33 8955FC                  mov dword ptr [ebp-04], edx
:00465A36 8D55FC                  lea edx, dword ptr [ebp-04]
:00465A39 FF45F4                  inc [ebp-0C]
:00465A3C 8D450C                  lea eax, dword ptr [ebp+0C]
:00465A3F E8B0A80B00              call 005202F4
:00465A44 8D55FC                  lea edx, dword ptr [ebp-04]
:00465A47 8D450C                  lea eax, dword ptr [ebp+0C]
:00465A4A E851A50B00              call 0051FFA0
:00465A4F FF4DF4                  dec [ebp-0C]
:00465A52 8D45FC                  lea eax, dword ptr [ebp-04]
:00465A55 BA02000000              mov edx, 00000002
:00465A5A E811A50B00              call 0051FF70
:00465A5F 8B4D0C                  mov ecx, dword ptr [ebp+0C]
:00465A62 85C9                    test ecx, ecx
:00465A64 7408                    je 00465A6E
:00465A66 8B450C                  mov eax, dword ptr [ebp+0C]
:00465A69 8B50FC                  mov edx, dword ptr [eax-04]
:00465A6C EB02                    jmp 00465A70
    .
    .
    .
   
我们已经分析总结过,如果你填写的的注册码正确,则函数返回值eax值为0;否则为1。
更确切的说是al的值决定注册码的正确,我们向下走走,看函数中是否有对al的设置。
来到这里。
* Reference To: eLib.TGlobal::fun1(char*)
                                  |
:00465B5B E8C0F9FFFF              call 00465520
:00465B60 83C408                  add esp, 00000008
:00465B63 85C0                    test eax, eax
:00465B65 0F94C0                  sete al        //就是这里了,设置al
//改成  0F95C0 setne al 即可。记下文件位移@offset 65165h
:00465B68 83E001                  and eax, 00000001
:00465B6B BA02000000              mov edx, 00000002
:00465B70 50                      push eax              //保存eax
:00465B71 8D450C                  lea eax, dword ptr [ebp+0C]
:00465B74 FF4DF4                  dec [ebp-0C]
:00465B77 E8F4A30B00              call 0051FF70        //这个调用不影响al
:00465B7C 58                      pop eax              //弹给eax
:00465B7D 8B55D8                  mov edx, dword ptr [ebp-28]
:00465B80 64891500000000          mov dword ptr fs:[00000000], edx

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00465A93(U), :00465B46(U)
|
:00465B87 5B                      pop ebx
:00465B88 8BE5                    mov esp, ebp
:00465B8A 5D                      pop ebp
:00465B8B C3                      ret                    //函数返回

在hiew6.81中,下F5,输入65165(上面记下的文件位移),回车停在
00465B65 0F94C0                  sete al
下F3
将0F94C0改为0F95C0,
下F9保存。

(二)修改00406457处的调用
在w32asm中下Shift+F12,填入4659FC,点OK,再次来到这里。
Exported fn(): TGlobal::IsValidSerialNo(System::AnsiString) - Ord:027Fh
:004659FC 55                      push ebp
向上走几步,就会看见,什么地方调用了IsValidSerialNo。具体每个调用的效果,可参考
win2000下手动破解Elib2.01》(一)文中的说明。
* Referenced by a CALL at Addresses:
|:00406457  , :00406716  , :004069E5  , :00407C3B  , :00407EC8 
|:00408A68  , :0040BF7D  , :0040F779  , :004147D6  , :0042F8F9 
|:004305AF  , :00431FFF  , :00465BA5 
|
在(一)文中提到第一处调用00406457后的:00406461 0f84eb000000 je 00406552
如果修改成0f85eb000000 jne 00406552会弹出“软件是盗版”对话框。

可是今天我们不改的话,运行elib.exe,反而会弹出“软件是盗版”对话框。
因为修改方法变化了,所以我们必须将0f84eb000000 je 00406552改成
0f85eb000000 jne 00406552
文件位移是5a61h,
同样在hiew中修改,保存。

(三)修改其它IsValidSerialNo
除了elib.exe有IsValidSerialNo实现外,其它文件htmlcollect.dll,bookview.dll,
batchadd.exe同样有。全部修改就成了,方法与修改elib.exe一样。
htmlcollect.dll
文件位移:34cf2h
bookview.dll
:004255ad 文件位移:24badh
batchadd.exe
:00434c91 文件位移: 3429ah

(四)修改调用TGlobal::GetSerialNo(void)的地方(elib.exe文件)
* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00407C7D E87AEC0500              call 004668FC

:00407CAB 50                      push eax
:00407CAC 8D45F8                  lea eax, dword ptr [ebp-08]
:00407CAF FF4DE8                  dec [ebp-18]
:00407CB2 E8B9821100              call 0051FF70
:00407CB7 59                      pop ecx
:00407CB8 84C9                    test cl, cl
:00407CBA 744F                    je 00407D0B        //修改为jne 00407D0B,文件位移72bah

* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00407F0A E8EDE90500              call 004668FC

:00407F38 50                      push eax
:00407F39 8D45F8                  lea eax, dword ptr [ebp-08]
:00407F3C FF4DEC                  dec [ebp-14]
:00407F3F E82C801100              call 0051FF70
:00407F44 59                      pop ecx
:00407F45 84C9                    test cl, cl
:00407F47 744F                    je 00407F98        //修改为jne 00407F98,文件位移7547h

* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:00408AAA E84DDE0500              call 004668FC                                   

:00408AD8 50                      push eax
:00408AD9 8D45F4                  lea eax, dword ptr [ebp-0C]
:00408ADC FF4E1C                  dec [esi+1C]
:00408ADF E88C741100              call 0051FF70
:00408AE4 59                      pop ecx
:00408AE5 84C9                    test cl, cl        
:00408AE7 744C                    je 00408B35          //修改为jne 00408B35,文件位移80e7h

* Reference To: eLib.TGlobal::GetSerialNo(void)
                                  |
:0040BFBF E838A90500              call 004668FC

:0040BFED 50                      push eax
:0040BFEE 8D45F8                  lea eax, dword ptr [ebp-08]
:0040BFF1 FF4DDC                  dec [ebp-24]
:0040BFF4 E8773F1100              call 0051FF70
:0040BFF9 59                      pop ecx
:0040BFFA 84C9                    test cl, cl        
:0040BFFC 744F                    je 0040C04D          //修改为jne 0040C04D,文件位移b5fch


(五)上网激活
到这里,就可以上网激活一下就行了。
注意注册码的格式为 ELIBA-XXXXX-XXXXX-XXXXX-XXXXX
由于可能注册码已被占用或被封,激活不成功的话,可变化X的值。多试几次,就会有一个你拥有的激活码。

(六)填写激活码
如果不想用上网激活方式,也可使用填写激活码方式。
当然我们要对程序做相应的修改。我就不具体说明,但可以举个例子。
elib使用IsValidActiveCode函数来检测。

在w32asm中下shift+F12,填入00465D48,点OK,停在
* Referenced by a CALL at Addresses:
|:00406798  , :004148A3  , :00430B12  , :00432110  , :00465C25 
|

Exported fn(): TGlobal::IsValidActiveCode() - Ord:0281h
:00465D48 55                      push ebp

有五个地方调用IsValidActiveCode
记下位置,
下Shift+F12,填入第一个地址00406798,点OK,停在
* Reference To: eLib.TGlobal::IsValidActiveCode()
                                  |
:00406798 E8ABF50500              call 00465D48
:0040679D 83C410                  add esp, 00000010
:004067A0 BA02000000              mov edx, 00000002
:004067A5 50                      push eax
:004067A6 8D45F0                  lea eax, dword ptr [ebp-10]
:004067A9 FF4B1C                  dec [ebx+1C]
:004067AC E8BF971100              call 0051FF70
:004067B1 FF4B1C                  dec [ebx+1C]
:004067B4 8D45F4                  lea eax, dword ptr [ebp-0C]
:004067B7 BA02000000              mov edx, 00000002
:004067BC E8AF971100              call 0051FF70
:004067C1 FF4B1C                  dec [ebx+1C]
:004067C4 8D45F8                  lea eax, dword ptr [ebp-08]
:004067C7 BA02000000              mov edx, 00000002
:004067CC E89F971100              call 0051FF70
:004067D1 59                      pop ecx
:004067D2 84C9                    test cl, cl
:004067D4 0F84BB000000            je 00406895            //这里改成jmp 00406895即可。
:004067DA 66C743102000            mov [ebx+10], 0020
:004067E0 33C0                    xor eax, eax
:004067E2 8D55E4                  lea edx, dword ptr [ebp-1C]
:004067E5 8945E4                  mov dword ptr [ebp-1C], eax
:004067E8 52                      push edx
:004067E9 FF431C                  inc [ebx+1C]


其它四个调用的相应位置也修改一下就行了。
当然要检查一下,其它文件是否也有调用。

总结:
Elib在加密,防止破解方面做得不是很好,比如加壳,加密算法,以及函数的实现上显得稚嫩,形式上比较单一。希望新版能有所改进。上网激活方式上,服务器端应该增加检测注册码功能。导出CHM格式文件功能最好不要使用微软的软件捆绑。能自己实现此功能才是上乘。希望Elib的作者能在网络上发现此文,作为软件升级,设计新版软件的参考。