第四章--调试器及相关工具入门
在写这章之前，我看了一下看雪以往的教程。本来想参考一下，可忽然发现，写这样的一章，是一件非常愚蠢的事情，因为我觉的关于这些工具的使用教程。看雪教程中已经写的够详细的了，我并不认为你会看不懂。所以我不想做浪费时间的人，本章就此搁浅。
推荐看《Crack Tutorial 2001》，推荐看《看雪论坛精华一、二、三、四》，推荐看《加密与解密－－软件保护技术及完全解决方案》，推荐看一切与之有关的教程。
本章补遗：
要想上路，你最少应该熟练掌握以下工具：
SoftICE：目前公认最好的跟踪调试工具。（由于我使用的分辩率的关系，从没有用过它）
Trw2000： 国人骄傲，其中有我最喜欢的pmodule命令。（河南老乡，殷墟旧人）
W32Dasm8.93或其它任意版本：反汇编的极品工具。
Hiew 或者Ultra Edit或者其它：十六进制工具。爆破时使用，DOS下使用Hiew，Windows下使用Ultra Edit、WinHex、Hex Workshop等，我个人喜欢用Ultra Edit。
侦测文件类型工具：比如TYP、gtw或FileInfo等。这是一个能侦测你的软件是被哪一种「壳」给加密了。
PROCDUMP与其它N多的脱壳软件。
EXESCOPE：拥有执行文件(EXE, DLL等)的解析与显示功能；提取资源到外部文件 ；资源的重新写入；记录文件的记录及其再编辑(成批编辑)等功能。是汉化软件的常用工具，当然破解软件时也很有用。
其它许多......（等你入了门后再学也不迟）
（作者注：以上工具的使用方法，大都可在看雪以有的教程中找到，故不愿复之）
<本章完>

 

第五章--破解原理
从本章开始，我们来一步一步学习Crack软件（80%读者昏死过去，且不省人世...另有20%在寻找附近可以用来打人的东西）
不可不说一下学习破解的三个阶段：
初级,修改程序,用ultraedit等工具修改exe文件,称暴力破解,简称爆破
中级,追出软件的注册码
高级,写出注册机
先说这爆破。所谓爆破，就是指通过修改可执行文件的源文件，来达到相应的目的。你不明白？呵呵，举个例子好了，比如说某共享软件，它比较用户输入的注册码，如果用户输入的，跟它通过用户名（或其它）算出来的注册码相等的话（也就是说用户输入的注册码正确了），那么它就会跳到注册成功的地方去，否则就跳到出错的地方去。
明白过来了吧，我们只要找到这个跳转指令，把它修改为我们需要的“造型”，这样，我们是不是就可以为所欲为了？（某软件双手放在胸口，你要干嘛？）
常见的修改方法有两种，我给你举例说明：
no.1
在某软件中，这样来进行注册：
00451239 CALL 00405E02  (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JZ 004572E6   (!!!<--此为关键跳转，如果用户输入的注册码正确，就跳向成功处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册失败
...提示用户注册码不正确等相关信息
...
004572E6 ...  <--(注册成功处!!!)
...提示用户注册成功等相关信息
呵呵，看明白了吗？没有的话，我来给你讲一下。在软件执行到00451239处的时候，CALL置0045E02处来进行注册码判断。接着回来后就来一个跳转语句，即如果用户输入的注册码正确就跳到004572E6处，跳到此处，就算是注册成功了。如果用户输入的注册码不正确的话，那么就不会在 0045123D处进行跳转，而一直执行下去。在下面等它的，是注册失败部分。
想明白了吗？嘿嘿...没错，我们只要把那个关键跳转JZ给改为JNZ(如果用户输入的注册码错误，就注册成功，输入正确则注册失败)。当然你也可以将JNZ修改为Jmp，这样的话，你输入的注册码无论正确与否。都可以注册成功。
no.2
我们再来讲一下另外的一种情况：
00451239 CALL 00405E02  (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JNZ 004572E6   (!!!<--此为关键跳转，如果用户输入的注册码不正确，就跳向失败处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册成功
...提示用户注册成功等相关信息
...
004572E6 ...  <--(注册失败处!!!)
...提示用户注册码不正确等相关信息
这次我相信，并且深信不疑。你一定明白了。我还是不明白...倒...
你一定看出跟第一种情况不同的地方了吧。没错！它与第一种不同的，就是第一种情况是如果注册码正确，就跳到注册成功处，如果没有跳走，就会执行到失败处。而这一种情况则是如果注册码不正确，就跳到注册失败处，否则将执行到注册成功处。
这种情况的修改，除了把JNZ改为JZ外，还可以将其改为Nop，Nop这个指令没有任何意义，将该条指令修改为Nop后，便可随意输入注册码来进行注册了。
原理以经给你讲了，下面我们再来讲一下具体的修改办法吧。（我假设你以经明白了我所说的工具的使用方法）
先说一下虚拟地址和偏移量转换的问题，在SoftICE和W32Dasm下显示的地址值是所谓的内存地址（memory offset），或称之为虚拟地址（Virual Address，VA）。而十六进制工具里，如：Hiew、Hex Workshop等显示的地址就是文件地址，称之为偏移量（File offset) 或物理地址(RAW offset)。
所以当我们要通过那些十六进制工具来对可执行文件中的相应指令进行修改的话，先要找到它的File offset。我们没有必要去使用那些专门的转换工具，在W32Dasm中就有这个功能，比如说你W32Dasm中来到0045123D处，在 W32Dasm界面下方的状态栏中就会出现该条指令的虚拟地址和偏移地址，即@:0045123D @offset 0005063Dh 后面的这个0005063Dh就是相应的偏移地址。我们得到该地址后，便可用UltraEdit等十六进制工具来对可执行文件进行修改了。比如使用 UltraEdit，你先用UltraEdit打开该可执行文件，然后按Ctrl+G，接着输入你得到的偏移地址，就可以来到其相应的机器码处。
再给你讲一下机器码，所谓的机器码。就是你看到的那些个十六进制数据了。还记的它们与汇编指令是一一对应的吗？
以下这几个是爆破时要用到的，其它的如果感兴趣，可自行查看相关资料：
JZ=74;JNZ=75;JMP=EB;Nop=90
爆破的时候，只要对以上机器码进行相应的修改就行了，比如第一种情况的时候，可以将74修改为EB，即将JZ修改为JMP。而第二种情况，责需将75修改为90，即将JNZ修改为Nop。
由于本章只讲原理，具体一点的。如怎样找到关键跳转等，我们在下一章中再讲。（一个砖头飞了上来！嘿嘿，这次被俺接到了）
上边讲了爆破的原理，你需要明白的是。爆破只是你学习Crack的开始，是很简单的手段。刚入门的时候可以玩玩儿，但希望你不要就此不前！
（嘿嘿，再说了。人家的软件中不是都说了嘛，不准对其进行逆向修改。你动了人家的身子，怎么能不买帐呢？ ）
偶就不喜欢爆破，做不出注册机也要找出注册码。否则我就不会去注册这个软件，既然想不掏钱，就要靠你自己的本事。（等以后我有钱了，会考虑去注册那些优秀的共享软件的 ）。所以，从某种意义上来说，我是一个正人君子 
其实要找到注册码并不是一件多么难的事，我是指你所针对的软件不太那个的时候 不过你无需惧怕。
刚才我们说爆破的时候不提到过关键CALL吗？一般情况下，这个关键CALL就是对两个注册码（一个是软件自身通过你的注册名或机器什么的计算出来的正确的注册码，令一个就是你输入的错误的注册码）进行比较。我前边提到过，CALL之前一般会把所用到的数据先放到一个地方，CALL过去的时候再从这些地方把先前放入的数据取出来，进行相应的处理。这个关键CALL也是这样，在CALL之前，一般会把那两个注册码放到堆栈或某个寄存器中。嘿嘿，我们只要在调试器中，单步执行到该CALL，在未进去之前通过CALL之前的指令判断其将正确的和不正确的注册码放到哪里了。然后再用相应指令进行查看就成了，我说过不难的。
下面列出两个最常见的情况（可参考相关教程）：
no.1
mov  eax [      ]  这里可以是地址，也可以是其它寄存器
mov  edx [      ]  同上，该条指令也可以是pop edx
call 00??????   关键call
test eax eax     
jz(jnz)或jne(je)  关键跳转
看明白了吧，在关键CALL之前，软件会把两个注册码分别放入eax和edx中，你只要在CALL处下d eax或d edx就能看到正确的注册码了。
no.2
mov  eax [      ]  这里可以是地址，也可以是其它寄存器
mov  edx [      ]  同上，该条指令也可以是pop edx
call 00??????   关键call
jne(je)         关键跳转
以上两种情况最为常见，而那些个不太常见的情况，我们这里就不再提了。到下下一章的时候，我会给你讲相关方法的...
关于查找软件注册码的部分，就到这里。具体内容，下下一章咱们再说。(不是说了吗？我以经可以接到你的砖头了，干嘛还要丢呢？ )
最后，再来说最后的所谓的高级阶段，如果你相信自己。并且热爱Crack，那么你一定会熬到这个阶段的，只是时间因人而异。
其实分析软件的算法，是有好多技巧在里面的。呵呵，最起码我刚开始的时候就摸不着头脑，那么多CALL，每个看起来，都很重要，都追一遍？结果连好多API 都被追了进去。等你自己真正用心分析了一个软件的算法，并写出了注册机后。你就会明白其中的道理了，我们下下下一章再说。（大哥，你不是吧，连你家太阳能都丢过来了  ）
<本章完>

 

 

第六章--爆破软件
爆破其实很简单，最起码比你能一下把你家的牙膏给全挤出来要容易多了。你只要先到大街上买几根雷管，然后放到你的显示器上再点着就OK了(不难吧，记的点着后跑远点儿)
爆破的原理我也说过了，相信你很容易就能理解了。我们今天就具体讲一下如何找到那个关键跳转以及如何才能买到即便宜又好用的雷管...
爆破一个软件一般只需要很少的几个步骤，首先先看一下其有无加壳，有的话是用何工具加的壳，知道了以后用相应的工具将其脱掉或进行手工脱壳，参考以有教程。接着我们就可以对脱过壳之后的软件来开刀了。你有两种选择，用W32Dasm或调试器，一般如果你遇上的是那种很菜的软件的话，用W32Dasm就可以搞定了。如果遇上的不是那种比较菜的，就买股票吧，因为股票是你如胶似漆的妻子！当！快醒醒啊...哦，一般如果你遇上的不是那种很菜的软件的话，就用调试器吧。先来说W32Dasm：我们首先用W32Dasm来进行反汇编（废话！）之后在串式参考中找到错误提示信息或可能是正确的提示信息双击鼠标左键来到相应的地址处。在W32Dasm的主窗口中分析相应汇编代码,找出关键跳转和关键call。绿色光条停在关键跳转,在W32Dasm主窗口底部找到关键跳转的偏移地址(实际修改地址)。用ultraedit找到偏移地址(实际修改地址)修改机器码(或放上一根雷管),保存(点火)！而用调试器也同样简单，等会儿会详细说明。
道理废话了那么多，来实例动手说明吧：
首先讲解用W32Dasm来进行爆破:
【软件名称】中华压缩（ChinaZip）
【软件版本】7.0
【文件大小】1041KB
【适用平台】Win9x/Me/NT/2000
【软件简介】ChinaZip（中华压缩）是一款压缩、解压各种压缩文档的工具软件，它支持包括ZIP格式文件在内的各种常见压缩格式如：ARJ、CAB、GZIP、JAR、LHA、TAR、ZOO、ARC、LZH、Pak等等。
软件的出处是电脑报2001年的合订本配套光盘，7.0时的保护做的很那个，目前最新版应该好多了...
好的，我们开始吧，首先第一步是你得把它装上（引来野狼N头），之后先随便找个字符串填上去注册一下，会看到一个错误对话框，提示"注册码不正确，无法注册 "。接着我们用FI来看一下它用的是什么壳。ASPack 2.001，caspr出场。脱过壳后我们用W32Dasm花上半分钟或半小时的时间来对它进行反汇编。我们以经反汇编完毕。之后在串式参考中（字符串数据参考）中找刚才你看到的那个错误提示，找到之后双击几次，发现其只有一处调用。我们会来到004F0E64处，我把具体代码给贴上（请你从代码的最下边开始看）:
:004F4DD1 E84EE1F3FF              call 00432F24
:004F4DD6 8B55F0                  mov edx, dword ptr [ebp-10]
:004F4DD9 8D4DF4                  lea ecx, dword ptr [ebp-0C]
:004F4DDC 8BC3                    mov eax, ebx
:004F4DDE E8C9010000              call 004F4FAC
:004F4DE3 8B55F4                  mov edx, dword ptr [ebp-0C]
:004F4DE6 58                      pop eax
:004F4DE7 E830F3F0FF              call 0040411C
:004F4DEC 7576                    jne 004F4E64                    <--这个就是传说中的男人，Stop！这个就是传说中的关键跳转
:004F4DEE B201                    mov dl, 01
:004F4DF0 A158254500              mov eax, dword ptr [00452558]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4D86(C)
|
:004F4DF5 E85ED8F5FF              call 00452658
:004F4DFA 8945FC                  mov dword ptr [ebp-04], eax
:004F4DFD 33C0                    xor eax, eax
:004F4DFF 55                      push ebp
:004F4E00 685D4E4F00              push 004F4E5D
:004F4E05 64FF30                  push dword ptr fs:[eax]
:004F4E08 648920                  mov dword ptr fs:[eax], esp
:004F4E0B B101                    mov cl, 01

* Possible StringData Ref from Code Obj ->"Software/XDZHAN/ChinaZip"
                                 |
:004F4E0D BAA84E4F00              mov edx, 004F4EA8
:004F4E12 8B45FC                  mov eax, dword ptr [ebp-04]
:004F4E15 E822DAF5FF              call 0045283C

* Possible StringData Ref from Code Obj ->"Real Programmers Use Pascal!"
                                 |
:004F4E1A B9CC4E4F00              mov ecx, 004F4ECC

* Possible StringData Ref from Code Obj ->"Key"
                                 |
:004F4E1F BAF44E4F00              mov edx, 004F4EF4
:004F4E24 8B45FC                  mov eax, dword ptr [ebp-04]
:004F4E27 E854DEF5FF              call 00452C80

* Possible StringData Ref from Code Obj ->"软件注册成功,谢谢您的支持!"     <--我们向上看会在这里发现注册成功后的正确信息。正确信息处向上找第一个跳转就是我们要找的关键跳转。
                                 |
:004F4E2C B8004F4F00              mov eax, 004F4F00
:004F4E31 E8563DF6FF              call 00458B8C
:004F4E36 A16C305000              mov eax, dword ptr [0050306C]
:004F4E3B 8B00                    mov eax, dword ptr [eax]

* Possible StringData Ref from Code Obj ->"中华压缩(ChinaZip)-注册版" 
                                 |
:004F4E3D BA244F4F00              mov edx, 004F4F24
:004F4E42 E80DE1F3FF              call 00432F54
:004F4E47 33C0                    xor eax, eax
:004F4E49 5A                      pop edx
:004F4E4A 59                      pop ecx
:004F4E4B 59                      pop ecx
:004F4E4C 648910                  mov dword ptr fs:[eax], edx
:004F4E4F 686E4E4F00              push 004F4E6E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4E62(U)
|
:004F4E54 8B45FC                  mov eax, dword ptr [ebp-04]
:004F4E57 E868E2F0FF              call 004030C4
:004F4E5C C3                      ret

:004F4E5D E9C2E9F0FF              jmp 00403824
:004F4E62 EBF0                    jmp 004F4E54

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004F4DEC(C)
|

* Possible StringData Ref from Code Obj ->"注册码不正确,无法注册!"  <--这个就是出错的信息了，那正确信息也就在附近，上下看看。   
                                 |
:004F4E64 B8484F4F00              mov eax, 004F4F48                         <--双击来到这里
:004F4E69 E81E3DF6FF              call 00458B8C
:004F4E6E 33C0                    xor eax, eax
:004F4E70 5A                      pop edx
:004F4E71 59                      pop ecx
:004F4E72 59                      pop ecx
:004F4E73 648910                  mov dword ptr fs:[eax], edx
:004F4E76 689B4E4F00              push 004F4E9B
你可能有点不明白，为什么我说它就是关键跳转呢？还记的在破解原理中我举的例子吗？
我再给你讲一遍好了，通常我们会遇到两种关键跳转，我分别举例说明:
(1)
je (jne,jz,jnz) 19870219
........  XXXXXXXXXX
........  XXXXXXXXXX
........  软件注册正确的相关信息
 ...
 ...
19870219 软件的出错信息
.......
.......
也就是说这第一种情况是先判断注册码是否正确，如果不正确就跳到19870219处，正确的话就不跳转，一直执行下去，直至注册正确处。
对于这种情况，我们要找的关键跳转，就是正确信息上面的第一个跳转。我们可能对其作相应修改或将其给nop掉就万事OK了。
(2)
je (jne,jz,jnz) 19870219
........  XXXXXXXXXX
........  XXXXXXXXXX
........  软件的出错信息
 ...
 ...
19870219 软件注册正确的相关信息
.......
.......
而这第二种情况就是先判断注册码正确与否，如果正确就跳到19870219处，不正确的话就不跳转，一直执行下去，直至出错处。
对于这种情况，我们要找的关键跳转就是出错信息上面的第一个跳转。将其做相应修改或改为jmp后我们就可以为所欲为了
呵呵，道理也都给你讲明白了，我们来改一下试试吧。我们在W32Dasm中选中关键跳转，在右下角的状态栏中看到相应的偏移地址为000F41EC。好的，我们用UltraEdit来打开它。Ctrl+G，接着输入0xF41EC，回车后便会跳到相应的位置。相应的机器码是75(jne)，我们将其改为74 (jz)后存盘退出。
好了，运行一下看看，我们来随便输入一个注册码注册一下试试。呵呵，注册成功！
用W32Dasm我们就讲到这里，呵呵，很简单的，你下去之后自己找些保护简单的软件上上手吧。
我们接着来讲用调试器来进行爆破。
如果你真的试图用W32Dasm去爆破几个软件的话，用不了多少时间你就会发现一些问题。比如说有的软件你用W32Dasm反汇编后串式参考根本就不能用。或者串式参考中没有出错或正确的信息。还有就是有的软件就算你通过串式参考来到了相应的地方，刚想去找关键跳转你就会发现眼前的东西比你想像中的要乱的多...虽然你有可能通过认真仔细地找，仍会找到，但我不认为那是一件聪明的事情。毕竟，有一些动静是只有在程序执行期间才能看出来的。好的，如果你用 W32Dasm遇到了找不到关键跳转的软件，就去用调试器吧！（你用调试器前可先用W32Dasm打开一遍看个先，如果很容易就让你找到了。那就没必要了）
在开始之前我们有必要讲一下用调试器来爆破的步骤（我知道你一定会用调试器的  ）：首先，我们当然还是要把你要Crack的软件给装上（我挡我挡我挡，不要乱丢东西嘛!）然后来到输入注册码的地方，仍旧随便输入一个，接着不要按确定，待我们把调试器叫出来先。还记的我前面跟你讲的API的事情吗？软件要得到你输入的注册码，就一定会调用某个API函数来达到目的。我们就在调试器中用相应的API来做断点，这样的话，只要一有程序调用这个API，就会被调试器给拦截下来。
GetDlgItemInt、 GetDlgItemText、GetDlgItemTextA这三个函数可能会有用。但是如果你用的是98，那为什么不用hmemcpy呢？那真的是一个不错的主意。当我们下完断点后就返回到你要注册的那个软件中，点确定这类的按钮。如果被调试器给断了下来，就说明你刚才下的断点有用，如果没有被断下来，就换个断点试试。接下来我们在调试器中来取消刚才你下的那个断点，我们以TRW2000为例（SoftICE与其操作大体相同）取消断点用bc *指令。然后我们就输入pmodule指令来返回到程序的领空（而在SoftICE中由于没有相应指令，呵呵，狂按F12吧）。现在我们把话题岔开一下，什么是领空呢？举个例子吧，你的程序要得到你输入的那个注册码，就会去调用相应的函数。比如调用GetDlgItemTextA，而GetDlgItemTextA本身又会去调用Hmemcpy这个函数，而这些函数都是存在于系统中的某个DLL 文件中的。那么当这个程序调用相应的API函数的话，程序的领空就会转到这个相应的DLL文件中去执行这个API函数。（你就这样理解就行了）我前边也说过了，Hmemcpy这个函数应用程序本身并不直接调用，而是由其它的API函数来调用。那么，你就可以理解为你的程序调用了一个API函数，调用的同时程序的领空会转到这个API所在的DLL文件里，而这个API又调用了Hmemcpy函数，那么此时领空就会又转到了Hmemcpy所在的DLL文件中，之后当Hmemcpy执行完毕，就会返回到调用它的API的领空中去，而当这个API执行完毕的后就会返回到调用它的应用程序的领空中去。比如说我们用 Hmemcpy这个函数来当断点，当我们输入完注册码按确定后，程序就会去调用某个API来得到你输入的那些数据，而这“某个API”又会去调用 Hmemcpy，所以程序就被断到了。当然此时程序的领空也就不会在应用程序中了，但是当我们输入过pmodule指令之后我们就可以反回到应用程序本身的领空中去了。这样的话你看到的就是应用程序自身的代码了，而不是API的！好了，我接着刚才的说（到哪儿了来着？）当我们返回到程序自身的领空中去后就一直狂按F12吧，F12的作用是一直执行程序，直到遇上ret等指令。也就是一大坨一大坨地来执行程序^_^你一直按F12，直到程序出现注册错误对话框。然后记下刚才你按的次数，接着从头做起，这一次按F12的次数是你刚才按的次数-1，也就是说比上一次要少按一次。而后按键由F12换至F10（怎么没有F4?），还是一路狂按，直到软件提示出错，这次记下你按F10的次数。好的，再从头来一遍，我们再次按F10的时候，要一步一步慢慢来，一般你按 F10的次数离你上次按的次数相差五六步的时候，一般就会看见一个CALL，接着是一个跳转指令。你一步一步地来，看过了这个跳转指令之后会不会跳走，如果跳走了，那一般你不会再过两三步就应该出错了。当然也有可能是你没有跳走，而过了两三步就出错了。这个应该不难理解，因为基本上它和我前边跟你介绍过的是一个道理。然而另外一种情况是你一路按F10下来，到了最后会发现根本没什么跳转指令，呵呵，别害怕，这个很常见的。遇上这种情况，我们只要把F10的次数变换为上次按F10的次数-1，这样的话你一般就会停在一个CALL处，而这个CALL，就是程序中的关键CALL，我们之后要吃点儿苦，要按F8追进去分析它，程序注册的成功与失败，就在这个CALL中，也就是说我们要修改的关键跳转，也在这个CALL中。呵呵，其实也很好理解的，就是把我上边说的那些个判断什么地放到了一个CALL里面。我们按F8追进去之后便仍旧按F10来一步一步执行，过不了多长时间你就会发现关键跳转了，找关键跳转的方法跟我前边说的一样，即按F10的次数跟上一次差五六步的时候慢下来，就会看到了。
你应该明白，程序是很灵活的东西，并没有那么多公式化的东西在里边，大概的分析方法就是这个样子，一切都要靠你自己去掌握，别人跟你讲，也只是讲一个分析的方法而以，我相信随着你以后经验的提高，你慢慢地就能应付各种情况了。
现在，我们再用调试器来对CHINAZIP这个软件进行分析，希望你能够掌握这个并不难的方法。
首先，你要把刚才爆破过了的再改回来，或直接重装一遍。之后我们打开它，任意输入注册码，接着按Ctrl+N呼出TRW，下断点hmemcpy。下过后按F5退出（它就是不用F4，我也没办法^_^）然后我们点击确定。好的，程序被断了下来:
KERNEL?HMEMCPY
0147:9e62  push     bp
0147:9e63  mov      bp,sp
0147:9e65  push     ds
0147:9e66  push     edi
0147:9e68  push     esi
0147:9e6a  cld
0147:9e6b  mov      ecx,[bp+06]
0147:9e6f  jcxz     9ee9
……以下N多代码省略……
我们输入bc *来取消断点，然后用pmodule来返回到程序的领空:
0167:00436d13  mov      [ebx+0c],eax
0167:00436d16  mov      eax,[ebx]
0167:00436d18  cmp      eax,byte +0c
0167:00436d1b  jnz      00436d38
0167:00436d1d  mov      edx,[ebx+08]
0167:00436d20  push     edx
0167:00436d21  mov      ecx,[ebx+04]
0167:00436d24  mov      edx,eax
0167:00436d26  mov      eax,esi
0167:00436d28  call     00432b24
……N多代码仍旧省略……
按7 下F12另加1下F10来到0167:004f4dc4处，我们接着一下一下来按F10，大概按了10多下，就可以看到004f4dec处有一个跳转，我们执行到004f4dec处后果然跳走了。会跳到004f4e64处，我们跳过去之后按不了三下，程序就提示出错了。呵呵，明白过来了吧， 004f4dec处的那个跳转jnz 004f4e64就是关键跳转，嘿嘿，找到了之后不用我说了吧
0167:004f4dc4  mov      eax,[ebp-08]     
0167:004f4dc7  push     eax             
0167:004f4dc8  lea      edx,[ebp-10]
0167:004f4dcb  mov      eax,[ebx+02e0]
0167:004f4dd1  call     00432f24         
0167:004f4dd6  mov      edx,[ebp-10]     
0167:004f4dd9  lea      ecx,[ebp-0c]
0167:004f4ddc  mov      eax,ebx
0167:004f4dde  call     004f4fac       
0167:004f4de3  mov      edx,[ebp-0c]   
0167:004f4de6  pop      eax             
0167:004f4de7  call     0040411c         
0167:004f4dec  jnz      004f4e64                    <--关键跳转！！         
0167:004f4dee  mov      dl,01
0167:004f4df0  mov      eax,[00452558]
0167:004f4df5  call     00452658
0167:004f4dfa  mov      [ebp-04],eax
0167:004f4dfd  xor      eax,eax
0167:004f4dff  push     ebp
0167:004f4e00  push     dword 004f4e5d
0167:004f4e05  push     dword [fs:eax]
0167:004f4e08  mov      [fs:eax],esp
0167:004f4e0b  mov      cl,01
0167:004f4e0d  mov      edx,004f4ea8
0167:004f4e12  mov      eax,[ebp-04]
0167:004f4e15  call     0045283c
0167:004f4e1a  mov      ecx,004f4ecc
0167:004f4e1f  mov      edx,004f4ef4
0167:004f4e24  mov      eax,[ebp-04]
0167:004f4e27  call     00452c80
0167:004f4e2c  mov      eax,004f4f00
0167:004f4e31  call     00458b8c
0167:004f4e36  mov      eax,[0050306c]
0167:004f4e3b  mov      eax,[eax]
0167:004f4e3d  mov      edx,004f4f24
0167:004f4e42  call     00432f54
0167:004f4e47  xor      eax,eax
0167:004f4e49  pop      edx
0167:004f4e4a  pop      ecx
0167:004f4e4b  pop      ecx
0167:004f4e4c  mov      [fs:eax],edx
0167:004f4e4f  push     dword 004f4e6e
0167:004f4e54  mov      eax,[ebp-04]
0167:004f4e57  call     004030c4
0167:004f4e5c  ret   
0167:004f4e5d  jmp      00403824
0167:004f4e62  jmp      short 004f4e54
0167:004f4e64  mov      eax,004f4f48      <---由上面的0167:004f4dec处跳来，出错!;
0167:004f4e69  call     00458b8c
0167:004f4e6e  xor      eax,eax
再来给你举另一个例子：
【软件名称】天网防火墙
【软件版本】2.46 Beta
【文件大小】1289KB
【适用平台】Win9x/Me/NT/2000
【软件简介】天网防火墙个人版是一套给个人电脑使用的网络安全程序，它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与我们的网站相配合，根据可疑的攻击信息，来找到攻击者。同时天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于在拨号上网的用户，也适合通过网络共享软件上网的用户。
该软件仍旧是我从电脑报2001年合订本的配套光盘中找的，软件的注册码可以到其网站免费获得...
我们还是要先把它装上（某民工：你小子敢再说一句废话试试！^_^）之后我们用FI看一下它有没有加壳，呵呵，BC++编译，没有加壳，爽！运行它，在注册对话框中随便输入点什么，比如说这星期又出了几部新电影，都叫什么名字等等...
好的，我们接下来请TRW2000出场。先胡乱输入两个字符串，比如第一个输入“英雄的导演是？”第二个输入“可能是赵本山”:)
接下来就按Ctrl+N把TRW2K叫出来，下bpx hmemcpy，之后按F5退出。
接着可以按确定就成了，程序会被TRW2K断掉，我们紧接着输入bc *以及pmodule。
下面可以开始按F12了，一共按8下程序就会报错，我们第二次就按7下然后开始按F10，按70下F10程序就又报错了（呵呵，一定要有耐心哦）。
好的，我把反汇编后的代码给你贴出来：
0167:0041c617  lea      edx,[ebp-04]                              <--7下F12后按一下F10来到这里
0167:0041c61a  mov      ecx,[0052ae7c]
0167:0041c620  mov      eax,[ecx]
0167:0041c622  mov      eax,[eax+0318]
0167:0041c628  add      eax,byte +2c
0167:0041c62b  call     00517740
0167:0041c630  dec      dword [ebp-20]
0167:0041c633  lea      eax,[ebp-04]
0167:0041c636  mov      edx,02
0167:0041c63b  call     00517710
0167:0041c640  mov      word [ebp-2c],14
0167:0041c646  lea      eax,[ebp-08]
0167:0041c649  call     00401d60
0167:0041c64e  mov      edx,eax
0167:0041c650  inc      dword [ebp-20]
0167:0041c653  mov      ecx,[ebp-40]
0167:0041c656  mov      eax,[ecx+02e0]
0167:0041c65c  call     004b9f14
0167:0041c661  lea      edx,[ebp-08]
0167:0041c664  mov      ecx,[0052ae7c]
0167:0041c66a  mov      eax,[ecx]
0167:0041c66c  mov      eax,[eax+0318]
0167:0041c672  add      eax,byte +30
0167:0041c675  call     00517740
0167:0041c67a  dec      dword [ebp-20]
0167:0041c67d  lea      eax,[ebp-08]
0167:0041c680  mov      edx,02
0167:0041c685  call     00517710
0167:0041c68a  lea      eax,[ebp-10]
0167:0041c68d  call     00401d60
0167:0041c692  mov      edx,eax
0167:0041c694  inc      dword [ebp-20]
0167:0041c697  mov      ecx,[ebp-40]
0167:0041c69a  mov      eax,[ecx+02e0]
0167:0041c6a0  call     004b9f14
0167:0041c6a5  lea      edx,[ebp-10]
0167:0041c6a8  push     dword [edx]
0167:0041c6aa  mov      word [ebp-2c],20
0167:0041c6b0  lea      eax,[ebp-0c]
0167:0041c6b3  call     00401d60
0167:0041c6b8  mov      edx,eax
0167:0041c6ba  inc      dword [ebp-20]
0167:0041c6bd  mov      ecx,[ebp-40]
0167:0041c6c0  mov      eax,[ecx+02d4]
0167:0041c6c6  call     004b9f14
0167:0041c6cb  lea      edx,[ebp-0c]
0167:0041c6ce  mov      edx,[edx]
0167:0041c6d0  mov      eax,[0052ae7c]
0167:0041c6d5  mov      eax,[eax]
0167:0041c6d7  pop      ecx
0167:0041c6d8  call     0040525c
0167:0041c6dd  mov      [ebp-45],al
0167:0041c6e0  dec      dword [ebp-20]
0167:0041c6e3  lea      eax,[ebp-10]
0167:0041c6e6  mov      edx,02
0167:0041c6eb  call     00517710
0167:0041c6f0  dec      dword [ebp-20]
0167:0041c6f3  lea      eax,[ebp-0c]
0167:0041c6f6  mov      edx,02
0167:0041c6fb  call     00517710
0167:0041c700  cmp      byte [ebp-45],00
0167:0041c704  jz       0041c750                       <--按了60多下F10后会在这里发现一个跳转，嘿嘿，就是它了！！！
0167:0041c706  mov      ecx,[0052ae7c]
0167:0041c70c  mov      eax,[ecx]
0167:0041c70e  mov      eax,[eax+0318]
0167:0041c714  call     00411fd0
0167:0041c719  mov      word [ebp-2c],2c
0167:0041c71f  mov      edx,00521b50
0167:0041c724  lea      eax,[ebp-14]
0167:0041c727  call     005175b0
0167:0041c72c  inc      dword [ebp-20]
0167:0041c72f  mov      eax,[eax]
0167:0041c731  call     004b41b0
0167:0041c736  dec      dword [ebp-20]
0167:0041c739  lea      eax,[ebp-14]
0167:0041c73c  mov      edx,02
0167:0041c741  call     00517710
0167:0041c746  mov      eax,[ebp-40]
0167:0041c749  call     004a81d0
0167:0041c74e  jmp      short 0041c77d
0167:0041c750  mov      word [ebp-2c],38
0167:0041c756  mov      edx,00521b6b
0167:0041c75b  lea      eax,[ebp-18]
0167:0041c75e  call     005175b0
0167:0041c763  inc      dword [ebp-20]
找到了关键跳转之后就别闲着了，呵呵，放雷管吧！（你可以用W32Dasm打开这个文件，然后按Shift+F12，之后输入0041c704，这样就可以在右下角看到相应的偏移地址了）
小技巧：在TRW中，如果你觉的某处可能是关键跳转的话，可以用r fl z这个指令来进行测试，该指令可使以成立的条件取反，比如说本来JZ XXXXXXXX成立，可以跳走了，用r fl z指令后该条指令就不成立了，即就不会跳走了。以上也是，你可以在0041c704处输入r fl z，呵呵，再执行几步看看，是不是成功了？还有就是如果你只是想达到注册软件的目的，且该软件只在注册的时候验证一次的话，用这个方法就可以代替雷管了！
呵呵，最后还是要说一句，爆破只是一些雕虫小技。刚入门时玩几次就够了，切莫就此不前...
后话：你可能慢慢就会发现，有一些软件其实并没有你想象中那么简单，你甚至连找到它的关键跳转都找不到。这很正常，你要做的便是多动手多练习，慢慢你就会明白过来的。我今天之所以给你举这两个例子，就是因为它们两个都比较简单，且能说明重点，给你讲那些比较那个的软件的爆破，反而会让你看的一头雾水...

(摘自 http://www.enjoykorea.net/27/viewspace-20670.html)