讓我們先來檢查一下工作所需要的勞動(dòng)器材：

(1)Soft-ICE For Windows95/98 v4.05

動(dòng)態(tài)跟蹤的極品軟件，盡管還有TRW，我還是愛它，習(xí)慣稱它叫兄弟

(2)URSoft W32Dasm v8.93

用來破解軟件最好的靜態(tài)分析工具，IDA太過專業(yè)我不用它

(3)R!SC’s Process Patcher v1.5.1

內(nèi)存Patch軟件，作用我在下面會(huì)說到它

(4)UltraEdit-32 v7.2

修改文件專用，老牌子了，高手用的都是它（西西，我可不是高手呀）

(5)FileInfo v2.4

我常用它來看文件被什么軟件加密！

(6)一瓶百事可樂（要大瓶的那種）

這個(gè)不用我多說了吧，健腦提神上上之佳品，可是我怕以后會(huì)生不出小孩子！

我的機(jī)器配置：Celeron 400(Slot 1),128M HY(PC-100),Trident 9880(8M),

FireBall 10G,Acer 40XCD,Creative VIBRA128,Motorola 56K Modem,Daytek 17"

喝上一口可樂，大叫一聲“我有，我可以”。輸入我熟悉的 SIW 就進(jìn)入了我們的工作平臺(tái) Windows98，大家別以為我的桌面有多亂，嘿嘿，我的桌面才2個(gè)圖標(biāo)，系統(tǒng)資源：98%可用，厲害吧！什么，你的才80%，算了吧，如果你不會(huì)優(yōu)化自己的系統(tǒng)，或者你的桌面雜亂無章，我勸你還是先學(xué)一下怎么優(yōu)化系統(tǒng)吧！一個(gè)優(yōu)秀的Cracker，對(duì)自己的工作平臺(tái)應(yīng)該是非常熟悉的！

進(jìn)入正題，再喝一口可樂。先用 FileInfo 看一下執(zhí)行文件是否被加密？西西，很幸運(yùn)，沒問題，那我可以省下很多時(shí)間了，為了慶祝，再來一口。既然沒有加密，那么現(xiàn)在該掄到我們的元老級(jí)工具 W32Dasm 出場(chǎng)了，載入文件，也沒問題，這么善良，今天我真是幸運(yùn)兒，讓我再喝一口...經(jīng)過漫長(zhǎng)的等待（3分鐘而已）程序中的代碼就清楚的出現(xiàn)在我的面前！好吧，先運(yùn)行 CCED 看一下加密方式。啊喔，出錯(cuò)了，無效的地址調(diào)用？朱崇軍應(yīng)該沒有這么白癡吧，剛運(yùn)行就出錯(cuò)，看來大概是我的 Soft-ICE 有問題了。唉，為什么現(xiàn)在的軟件都要防你呢？我可憐的 Soft-ICE，為了不讓別人找到你的身影，我已經(jīng)在你的身上打滿了補(bǔ)丁，嗚嗚...事到如今，擺在面前的只有2條路：自己找反跟蹤代碼，或用FrogeICE（喂，老兄，還有沒有第三條路？有呀，刪除你的CCED，關(guān)掉你的計(jì)算機(jī)，睡覺去呀?。┌?，明知山有虎，偏向虎山行，誰讓我喜歡想難度挑戰(zhàn)呢！在這里，我用 CreateFileA 來攔截，看來幸運(yùn)又一次被我抓到了，呵呵，原來是用這個(gè)方法來找我的兄弟，看我不把你給K了。

* Possible StringData Ref from Data Obj ->"

[url=file://\\.\SICE]\\.\SICE[/url]

"

|

:00530B99 68A4226100 push 006122A4

:00530B9E FF15D87E6200Call KERNEL32.CreateFileA

:00530BA4 8945FCmov dword ptr [ebp-04], eax

:00530BA7 837DFCFF cmp dword ptr [ebp-04], FFFFFFFF

:00530BAB 7411 je 00530BBE

:00530BAD 8B45FCmov eax, dword ptr [ebp-04]

:00530BB0 50 push eax

:00530BB1 FF15E47E6200Call KERNEL32.CloseHandle

:00530BB7 B801000000 mov eax, 00000001

:00530BBC EB39 jmp 00530BF7

:00530BBE 6A00 push 00000000

:00530BC0 6880000000 push 00000080

:00530BC5 6A03 push 00000003

:00530BC7 6A00 push 00000000

:00530BC9 6A03 push 00000003

:00530BCB 68000000C0 push C0000000

* Possible StringData Ref from Data Obj ->"

[url=file://\\.\NTICE]\\.\NTICE[/url]

"

|

:00530BD0 68B0226100 push 006122B0

:00530BD5 FF15D87E6200Call KERNEL32.CreateFileA

:00530BDB 8945FCmov dword ptr [ebp-04], eax

:00530BDE 837DFCFF cmp dword ptr [ebp-04], FFFFFFFF

:00530BE2 7411 je 00530BF5

:00530BE4 8B4DFCmov ecx, dword ptr [ebp-04]

:00530BE7 51 push ecx

:00530BE8 FF15E47E6200Call KERNEL32.CloseHandle

:00530BEE B802000000 mov eax, 00000002

:00530BF3 EB02 jmp 00530BF7

:00530BF5 33C0 xor eax, eax

:00530BF7 8BE5 mov esp, ebp

:00530BF9 5D pop ebp

:00530BFA C3 ret

看到了嗎？上面這段代碼就是用來查找 Soft-ICE 的一種方法，不管是在98還是在NT下都可以用得到，現(xiàn)在讓我來給它做個(gè)小手術(shù)，將530BAB處的代碼改個(gè)跳轉(zhuǎn)方向，西西，猜到了嗎？跳到哪里？

好了，一塊這么大的拌腳石被我清除了，好好的喝一大口可樂獎(jiǎng)勵(lì)自己吧！接下來就是關(guān)鍵的一步了，讓它成為注冊(cè)版?？墒菑哪睦锶胧帜?？通常一個(gè)軟件的關(guān)于對(duì)話框中會(huì)有注冊(cè)的相關(guān)信息，CCED也不例外：未注冊(cè)或注冊(cè)未成功。

突破口找到了，用 W32Dasm 尋找這個(gè)信息，定位在 407E21 處，并提示是從 407DCC 處跳轉(zhuǎn)的。好吧，讓我們來看看這段代碼：

* Possible StringData Ref from Data Obj ->"授權(quán)結(jié)果："

|

:00407DB4 6868875F00 push 005F8768

:00407DB9 8D4DF0lea ecx, dword ptr [ebp-10]

:00407DBC E841CF1700 call 00584D02

:00407DC1 C645FC03 mov [ebp-04], 03

:00407DC5 833D981F620001 cmp dword ptr [00621F98], 00000001

:00407DCC 7E53 jle 00407E21

:00407DCE A164236200 mov eax, dword ptr [00622364]

:00407DD3 2500000800 and eax, 00080000

:00407DD8 85C0 test eax, eax

:00407DDA 7536 jne 00407E12

* Possible StringData Ref from Data Obj ->"加密盤識(shí)別成功，軟件編號(hào)="

|

:00407DDC 6874875F00 push 005F8774

:00407DE1 8D4DF0lea ecx, dword ptr [ebp-10]

:00407DE4 E849D21700 call 00585032

:00407DE9 6A10 push 00000010

:00407DEB 8D8DCCFEFFFFlea ecx, dword ptr [ebp FFFFFECC]

:00407DF1 51 push ecx

:00407DF2 8B1564236200mov edx, dword ptr [00622364]

:00407DF8 52 push edx

:00407DF9 E8C28C1600 call 00570AC0

:00407DFE 83C40Cadd esp, 0000000C

:00407E01 8D85CCFEFFFFlea eax, dword ptr [ebp FFFFFECC]

:00407E07 50 push eax

:00407E08 8D4DF0lea ecx, dword ptr [ebp-10]

:00407E0B E822D21700 call 00585032

:00407E10 EB0D jmp 00407E1F

* Possible StringData Ref from Data Obj ->"注冊(cè)成功"

|

:00407E12 6890875F00 push 005F8790

:00407E17 8D4DF0lea ecx, dword ptr [ebp-10]

:00407E1A E813D21700 call 00585032

:00407E1F EB0D jmp 00407E2E

* Possible StringData Ref from Data Obj ->"未注冊(cè)或注冊(cè)未成功"

|

:00407E21 689C875F00 push 005F879C

:00407E26 8D4DF0lea ecx, dword ptr [ebp-10]

:00407E29 E804D21700 call 00585032

看到了嗎？關(guān)鍵指令就是在 407DC5 處的這個(gè)判斷，如果 621F98 處的值小與或等于1的話就什么都沒了，407DDA 處的跳轉(zhuǎn)知識(shí)判斷你是用注冊(cè)碼還是加密盤進(jìn)行授權(quán)的，至于注冊(cè)的方式是注冊(cè)碼還是加密盤，完全看你個(gè)人的喜好了！我挑選了注冊(cè)碼方式，先呼出 Soft-ICE，下 BPM 621F98 W，然后用 BD 先關(guān)閉這個(gè)斷點(diǎn)，進(jìn)入軟件的“電子注冊(cè)”，輸入注冊(cè)碼“8888888888”，按確認(rèn)后退出。呼出 Soft-ICE，用 BE 打開斷點(diǎn)后再運(yùn)行 CCED2000，這是代碼停在了這里。

:004056E3 C7811804000000000000 mov dword ptr [ebx 00000418],0

然后軟件就再也沒有對(duì)這個(gè)地址進(jìn)行寫入的動(dòng)作，看來我只有在這個(gè)指令上動(dòng)手腳了！既然小與等于1是錯(cuò)誤的，那我就用2來代替吧。將上面這個(gè)指令改為

:004056E3 C7811804000002000000 mov dword ptr [ebx 00000418],2

看看結(jié)果如何？西西，不用我說大家都知道了?。ㄎ乙瓤蓸罚┛墒呛苊黠@這個(gè)指令不是真的判斷注冊(cè)碼處的地方，只是對(duì)是否注冊(cè)的這個(gè)全局變量進(jìn)行初始化，真正的判斷還在后面，但是今天我不想把所有地方都寫出來，否則就沒有任何意義了，那我也不用寫這篇指南，還不如將修改方法直接告訴大家吧！其實(shí)用上面這個(gè)方法是不完美的。如果你是一個(gè)真正的 Cracker，就應(yīng)該接著研究下去。

接著當(dāng)然是修改文件中的代碼了，咦，提示“錯(cuò)誤：CCED2000執(zhí)行文件已被非法修改，請(qǐng)檢查病毒并重新安裝系統(tǒng)！”?？磥磉@個(gè)軟件還有自我保護(hù)功能，西西，我喜歡！用 BPX MESSAGEBOXA 攔截消息窗口，很快可以找到下面這段代碼，將 405F49 處的判斷改為 JMP 就可以了！

:00405F3F 668B8455E0FEFFFF mov ax, word ptr [ebp 2*edx-00000120]

:00405F47 3BC8 cmp ecx, eax

:00405F49 7433 je 00405F7E

再運(yùn)行一下，怎么樣？省了60多元錢了吧，請(qǐng)我喝可樂哦！??？凌晨3點(diǎn)多了，可樂也喝完了，改收工了。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。