寻找软件的注册码就像你小时玩的躲猫猫一样，简单又有趣，虽然后来你会不这样觉的 )sq)  
我不知道你有没有明白我前面在原理中讲的那些东西，如果没明白，我就再说一遍 i<?5$h5`|1  
软件通过你输入的用户名或者机器码什么的生成一个正确的注册码来与你输入的注册码进行比较，如果两个相同，也就是说你输入的注册码是正确的话，那软件就会完成注册。如果你输入的不正确，嘿嘿，当然就不会注册成功。 IF*%DIr  
好的，现在你已经知道软件会有一个比较两个注册码的过程，这就是关键所在。一般如果你遇到的是那种明码比较的软件，这会是一件非常另人愉快的事情的 ~o)0I  
软件会先计算出正确的注册码然后再与你输入的那个进行比较，也就是说正确的注册码会被软件自己算出来!嘿嘿，搜身你会吗？虽然法律以及道德不允许我们去搜身，但… yEh>OGGx  
我接着说，虽然现在的软件已经比以前要厉害上许多，但，那种用明码比较的，还是大有人在的。所谓明码比较，就是说软件先算出正确的注册码，然后放到内存或你家的沙发下面，之后再得到你输入的那个注册码，接着就比较了。呵呵，好理解吧，我们只要找到那个比较的地方，看一下软件把注册码放到内存的哪里了，再到相应的内存处瞧一瞧，就万事OK了！ >U>Jrg@ 9 还记的对你说过的那些常见的（也是最菜的）比较吗？我捡其中最简单的一个来给你再解释一下： ;XctQD$J  
第一条mov eax [ ]指令是将一个内存地址或另外一个寄存器（该寄存器中装的是内存地址）装入eax中。第二条指令与其相同，是将一个内存地址或另外一个寄存器中的内存地址装入edx中。而这两条指令是干什么的呢？嘿嘿嘿嘿… E|m&i>Q  
这两条指令就是用来存放真假两个注册码的地址的，也就是说eax和edx这两个寄存器中此时一个装的是正确的注册码的内存地址，一个是你输入的那个错误的注册码的内存地址。软件在比较注册码前将两个注册码的内存地址分别装入到两个寄存器中，然后就是关键Call出场。在这个关键Call中对注册码进行比较时，软件会从相应的寄存器中取出两个注册码来比较，接着出来就是一个关键跳转，通过上面Call中的比较结果来做相应的跳转… 你应该已经想到什么了吧！没错，我们只要找到软件的关键Call，然后在关键Call处来查看相应的内存地址就可以找到正确的注册码了 而这一切，都可以通过调试器来完成。从某种意义上来说，如果你能自己一个人把你家的微波炉修好，那你就绝对会用调试器 我们在调试器中，只要一步一步执行到关键Call处，然后用d eax和d  
按F7跟进后你会看的眼花眼花缭乱，到处都是PUSH跟POP，到底哪个才是呢？现在知道我为什么让你用Ollydbg了吧(偶起初也是要用TRW2000的，但临时改变主意 ^_^)用Ollydbg的一个最大好处就是可以真接看到寄存器中的值，特别是你通过F8来单步执行的时候，在反汇编代码的下边，会有一个小窗体，在那里可以显示相关指令中所使用的寄存器的值，爽吧！

你应该明白的是，并不是所有的软件作者都像你想象并希望的那笨 没有人愿意自己的软件被别人在调试器中用一条d指令就能找到正确的注册码...要是那样的话还出来搞什么？ _L<"u#`n  
前边儿我们讲的查找软件注册码的方法是有针对性的，必须保证的是该软件使用的是明码比较，这样的话，我们只需找对地方，一个d指令就成了。那既然有明码比较这个词，就不难猜出还有相应的非明码比较...非明码比较也比较容易理解，就是软件比较两个注册码的方法不同而以，并不是计算出正确的注册码后就与用户输入的进行比较，它可能会采用每计算出一位就与注码中的相应位比较一次，一但发现与用户输入的不同，就提示出错等等等等... 遇到这样的软件，我们其实也可以找到其相应的注册码，但有点儿惨，要一位一位的计下来...但是如果人家不给你面子，一但计算出某位不正确就跳走的话，那你怎么办？所以，国民想致富，种树是根本...NG！所以遇到这种软件，我们就只有对其算法进行分析，并做出注册机才是唯一的方法（如果你想写注册机的话）... p+cOqV'X  
你要明白，就算我们能找到那些采用明码比较的软件的注册码，原因也仅仅是因为其采用的是明码比较，所以我们没有什么值的高兴的地方，我们真正要做的，并不是找到一个注册码而以...当然如果你刚入门，那对你的提高还是很有帮助的。我们Crack一个软件的最终目的，是对其进行相应的分析，搞懂它的注册算法并写出注册机，这样才算是成功的Crack了一个软件，成功后的心情是难以表达的！就像你便秘了多天后一下子排了出来一样 ^_^，呵呵这个比喻虽然粗俗，但是你可以想象一下，对一个软件进行仔细的分析，最后一下把它的算法给搞明白了，那种感觉...我深信不疑的认为有一天你也能体会的到，偶等你 _U ')0  
相信你以前看过那些高人大虾的关于软件注册算法分析的文章，同时也相信你有过试图跟踪分析某软件的举动，虽然后来的结果另人不太满意 n^vT[>&V  
其实分析一个软件的注册算法，这其中包括了一些技巧性方面的东西以及必要的经验，很难想象一个连调试器的使用都还没掌握的人试图去分析一个软件会是怎样一个场面...嘿嘿，偶是见过的 使用调试器并不难，但那并不意味着你就能去分析一个软件了，见CALL就追这样的举动可不是偶一个人有过的经历，本章我尽量给你说明适当的分析方法。 QDKbV9y`  
相信大家都有不在父母陪同下独自使用调试器的能力以及看懂大部分汇编指令的能力了吧，那就够了！我们开始... duwh^ah  
正式开始今天的正题，我来举两个例子，相信这两个例子都有足够的表达能力，最起码比我们家楼下那个卖油条的表达能力要强多了... E"Jj+#5i  
好的，首先，我们还是请出我们的那位老朋友吧 嘿嘿，在此，偶向CHINAZIP（中华压缩）v7.0的作者表示我内心最真诚的歉意!相信我用这个老版本的中华压缩不会给您带来经济上的麻烦... n?|C8  
通过前边儿两章的讲解，我们已经把这个软件大体上给搞明白了，并且也追出了其相应的注册码。而我们今天的目的是对其注册算法进行分析，并写出注册机！这个软件的注册算法其实也比较简（并且存在Bug）用它来当例子，很能说明情况... 24zPa5I'  
好的，我们开始，前边儿追注册码的时候我们就已经知道了其用于计算正确注册码的关键CALL的所在位置为004f4dde，我们用TRW2000来对其进行分析!（鉴于目前大部分教程中仍以TRW2000为主，而且这个是大多数菜鸟都会用的调试器，偶就用这个调试器来做具体讲解） z.@r}9ab  
接着就按确定吧，呵呵，被TRW2000拦到了。通过前边两章的分析，我们以经知道了004f4dde处的这个CALL用于计算正确的注册码，所以我们直接按F8跟进吧！注册码的算法，就包涵在这个CALL中，把它给分析透了，我们也就能弄明白软件的注册码是怎样生成的了。但是要怎么分析呢？这是一个比较严肃的问题，面对那一堆堆的指令，我不知道你是怎么想的，反正我第一次时是觉的找不着北，我怎么哪些重要哪些不重要呢？再说了，里面又包涵了那么多CALL，我还要一个一个地追进去看看？ 呵呵，这就是我说的技巧所在了。其实也没什么可怕的，只要你汇编不是问题，就行了。我们首先可以先把这个计算注册码的CALL从头到尾执行一遍，搞明白其中大概的跳转以及其中某些CALL的作用，hehe~~你可以执行过一个CALL后就看一下各个寄存器的变化情况（如果寄存器中的值改变了，颜色就会变）如果某寄存器的值在CALL过之后改变了，我们就可以看一下其包含的值是何类型，如是内存地址就用d指令看一下，如是数值就看一下是不是得到你输入注册名或注册码的位数等等，这样的话就可以淘汰下来一大部分的CALL，因为有许多CALL的作用只是把注册名或注册码装入到内存中的某个地址或者得到注册名（注册码）的位数或注册码某一位的ASCII码，对与这些，我们不必深究。还是推荐你用Ollydbg，执行过一条指令后很多信息都可以看到 呵呵，也就是说软件从004f4ffc处开始先是得到注册名中的第N位字符，然后进行一系列的运算，之后执行到了004f504e处时把先前先到的注册名的位数减去1然后看其是否为0，不为0就再跳到004f4ffc处，然后得以注册名的N+1位再来进行计算。此举的目的就是为了看注册名的各位是否都被计算过了，如果不为0就说明还没有计算完，呵呵，很简单的道理嘛，edi中装的是注册名的位数，第计算过一位后就将其减1，减完了，注册名的各位也就都参加了运算... 在004f4ff5的跳转，如果你输入了注册名，其就不会跳走...偶输入的是Suunb[CCG]，好的，此时会继续执行到004f4ff7处，该指令对ebx进行初始化...给它付1，然后在004f4ffc处时会将ebp-0c中装的注册名的内存地址装入eax中，接着的004f4fff处用于得到注册名的第一个字符，并将其装入al。想象一下，eax中装的是注册名的内存地址，从该地址开始连续10个内存单元是我们输入的注册名S 呵呵，明白了吗？eax中装的内存地址就是注册名在内存中的首地址，第一次执行到这里时ebx中装的是1，eax+ebx-01后得到的还是注册名的首地址，也就是S。而等到后面004f504f处的跳转指令跳转回来之前，会在004f504d处有一条inc指令会给ebx加1，这样的话再执行到这里时就会得到注册名中的第2个字符u了，嘿嘿，第三次来之前会再给ebx加上1，明白了吗？总知你可以把ebx中的值理解为当前参加运算的字符在注册名中的位数，即ebx是1就是得到注册名的第一位（S），如果ebx是2就是得到注册名的第2位（u）. 而后紧接着在004f5003处会有一个CALL等着我们，呵呵，这个CALL比较关键，注册码的一部份由它来决定，要发现它的重要性并不难，因为在004f5003处下面会有一个跳转，跳转之前会对al进行测试，嘿嘿，而al在CALL之前装入的是当前参与运算的字符...并且你用调试器过一下这个CALL就会发现其对al进行了修改，呵呵，这个CALL会对al做一些处理，而处理的结果直接影响了后面部分的流程，所以，对于它，我们一定要跟进...最好能派出两个人在边路对其进行防守，并找专门的后位对其盯梢... 我们待会儿再跟进它，现在还是要先搞明白软件大体上的算法。好的，我接着说，在004f5008处对al进行了测试之后会有一个跳转，即如果al中此时装的值为0就跳到004f5031处去...你可以理解为这个CALL会对字符进行一些运算，如果符合了要求，al就会被置0或1什么的，出来后的测试用来判断当前字符是否符合要求，如果符合就跳或不符合就跳... B([pilX:Q 继续，由于我输入的注册名的第一个字符是S，而S刚好能通过004f5003处的那个CALL的计算 所以就没有跳走，我继续按F10进行单步执行...接下来的004f500c、004f500f、004f5012这三条指令跟前边儿的得到注册码第N位字符的指令道理是一样的，你看注释好了...而后面从004f5016到004f5029处的这几条指令也没什么好讲的，对中间的两个CALL好奇的话可以进去大概看一下。得不到什么实质性的东西...而004f502c处的这个CALL嘛，就很重要了，呵呵，它的作用是什么呢？还记的我刚才说过的004f5003处的那个CALL吧，它执行过后会使al发生变化，它下面的跳转指令会根据al的值做相应跳转，即如果al为0，就跳到004f5031处，刚好就跳过了004f502c处的这个CALL...而我输入的第一个字符是S，刚好符合了004f5003处那个CALL的要求，所以没有跳走，于是就执行到了这里，你可以追进去看一下，里面并不复杂，只是将当前参加运算的字符装入内存的00D3B3C4处（如果当前参加运算的字符在004f5003处没有通过，就不会执行到这里，呵呵，明白过来了吧，这个CALL用于收集注册名中所有符合004f5003处那个CALL要求的字符） 不管你是从004f500a处跳到004f5031处的，还是一步步执行到这里的，总知，不管你输入的注册名中参加当前运算的那一个字符符不符合004f5003处的那个CALL的要求，总知都会执行到这里...这条指令用来干什么呢？还记的ebx中装的是参加运算的字符在注册名中的相应的位数吗？cmp ebx,byte +01 就是用ebx减去1，该条指令的用途也就是看一下当前参加运算的字符是不是注册名中的第一个字符，如果是就跳到 004f5040处，否则继续... 我们先看004f5040处，当执行到此处时，ebp-0c中装的其实是注册名的内存地址（前边就已经说过了）在这里将其装入eax中，而后面004f5043处的指令的用途就是得到注册名的第一个字符...好了，我们再拐回来看004f5036处，如果当前参加运算的字符不是注册名中的第一个字符，就不会跳走，而执行到这里时同样将ebp-0c中装的注册名的内存地址放入eax中，而004f5039处的eax,byte [eax+ebx-02]嘛，呵呵，很好理解，eax+ebx-01得到的是当前参加运算的字符的内存地址，而这里的eax+ebx-02得到的就是当前参加运算的字符的前面的那个字符，了解？ Q6h`^7WCcY  
我们接着看004f5046处的那条指令吧，这个同样非常重要，它的作用是计算注册码的后半部分! `-vitG(  
我相信你很容易就能理解它的意思了，当执行到这里时，eax中装的或者是注册码中的第一个字符，或者是当前参加运算的字符的前一个字符（注:字符在内存或寄存器中是以ASCII码来表示的，如S在eax中会显示为，而S的ASCII码便是53，十进制为83）...我们第一次执行到这里时，esi中的值为0（即）eax*4+a8的意思就是用当前参加运算的字符的ASCII码乘以4，再用积加上a8（也就是十进制数168，一路发？）再用这个和与esi相加，我已经说过了，第一次执行到这里时esi中的值为0...而当第二次执行到这里时，esi中装的便是注册名的第一个字符的ASCII码乘以4再加一路发的和... 你会问你为什么知道它是计算注册码的后半部分的？猜的!!呵呵，当然不是，我们可以看到，在004f5054处，程序会将前面计算的结果装用eax中，后边儿紧接着就是一个CALL，嘿嘿，光天化日之下，这也太明显了吧，我们追进去大概看一下就知道它的作用是将十六进制的数转换为十进制的...并将转换后的结果装入edx中装的内存地址处，在CALL之前我们会看到edx中的值以由004f5051处装入，即ebp-1c，呵呵，CALL过之后你用d 而后程序会在004f505b将注册码后半部分装入ecx中，在004f505e处时会将一个内存地址ebp-0c装入eax处（它的作用就是起一个传递参数的作用，在待会儿的CALL中会用eax中装入的值来存放结果）之后的004f5061处会将ebp-10装入edx中，ebp-10处装的是什么呢？我们用d ebp-10指令看一下就会知道它的地址为00D3B3C4，嘿嘿，你的嗅觉敏感吗？不敏感的话我就再说一遍，还记的004f502c处的那个CALL吗？它的作用就是收集符合004f5003处的那个CALL的要求的字符... yC5:M;M=Q  
这个软件的注册算法是这样的:首先得到注册码的位数，看其是否大于0，不大于0就跳到004f5051处...好的，我们输入了Suunb[CCG]这个注册名，此时的注册码位数就是10，所以不会跳走，之后我们会来到004f4fff处，第一次执行到这里时会将注册名的第一个字符S装入al中，第二次来时会将注册名中的第二个字符（即u）装入al中，它的作用就是将当前参加运算的字符装入al中，之后紧接着就是一个CALL，这个CALL会对当前参加运算的字符进行计算...接着出来会有一个跳转，看al中装的是不是0，如果是就跳到004f5031处，如果不是非0值就说明当前这个字符符合了要求，那么就会执行到004f502c处，这里的CALL会将其存放置内存的00D3B3C4处...而后到了004f5031处会有一个比较，作用是看当前参加运算的字符是不是注册名中的第一个字符，是的话就跳到004f5040处，在此将注册名的第一个字符装入eax，用来参加004f5046处的计算。如果当前参加运算的不是注册名的第一个字符，那么就会在执行到004f5039处时得到当前参加运算的字符前面的那个字符，将其装入eax后就无条件跳到004f5046处来参加运算。了解？也就是说你输入的注册名的第一个字符会参加两次计算，而最后一个字符不会参加计算（想想看，如果当前参加运算的字符是注册名中的第一个字符，它会参加计算，如果是第二个，就取前边的一个，即第一个又会参加一次计算，到了第三个的时候取第二个，到了第四个的时候取第三个...而当最后一个字符来到这里时会取前边的那个字符来参加运算，而这之后就循环就结束了，所以，最后一个不会被计算入内）等到注册名中的所有字符都参加过了运算，就会来到004f5056处，在这里将前面004f5046处的计算结果转换为十进制...而后会在后面的004f5064处的那个CALL里，将其与先前装入00D3B3C4处的所有符合004f5003处的CALL要求的字符合并到一起，这个结果，嘿嘿，就是真正的注册码了

你重新启动一下软件，注册名不填，把注册码填为0注册一下看看...HOHO~~（请仍旧模仿周星星式的笑声）这个粗心的作者啊，造成这样的原因很简单，软件根本就没有判断注名是否为空并在软件初始化的时候把用于计算注册码后半部分的integer变量付了初始值0，否则的话00D3B3C4处的内存应该为空值..（难不成到时连0都不用输就能注册？） w_I,CHhC6 所以说，Crack并不是一件坏事，像这种情况你完全可以告诉作者的嘛，到时不但交了一个朋友而且说不准还会得到个免费的注册码....（不知道有没有白帽子Cracker？嘿嘿，CCC刚好也可以是注册码的前半部分哦~~）我希望你明白，对于这种注册算法简单且存在Bug的软件（通常也说明其作者还没什么经验 ^_^），我们不应该为能提供它注册机而感到高兴，如果能帮助其作者改善算法或去掉Bug，又何尝不是一件好事呢？毕竟软件上面加的有中华两个字，你忍心？？？ L~i B__:Q[  
我不知道上面给你讲的中华压缩注册分析你是否看懂了，我个人认为我讲的还是比较详细的了（几乎每条指令都加了注释且又再三在后面说明）但如果你仍然看不懂的话，请务必相信是本人写的文章不好，不要放弃啊哥们儿~~! XjZ6So\C?  
好了，我再来给你举另外一个例子...通过它来给你讲一下另外一种比较常见的注册码计算方法，即将运算的结果与一个表中的字符进行转换，也就是常说的密码表啦^_^ Q/8c  
本来是想用网际快车FlashGet的，可是在看雪已经有人贴了最新的1.40版的破文&注册机，正好前些天的时候网友啥也不是在后面跟贴说要帮他看一下语音界面2.0这个软件，down下来后大概看了一下，呵呵，发现这个正是我想要的，注册码计算的过程中采用了密码表并且也不难...hehe~~后来HMILY老哥看到了啥也不是的另一个贴子，也写个注册机和破文，你可以参考一下，嘿嘿，HMILY跟偶是自己人，所以偶不怕他... 偶不知道你是否喜欢Ollydbg的下断方式，总知偶是不喜欢，从那么多API里面先（字好小），再说了，偶还是喜欢用Hmemcpy来断，除非断不到或在2K/XP下，否则偶才不要去跑API呢，往往要三四次才断到，多累啊 我们还是先请临时演员TRW2000出出一下场吧（把你的MP3先暂停一下 ），下bpx hmemcpy点确定后会被拦，pmodule后返回到0040432f处，我们就从这里开始吧 就可以看到，在Ollydbg中，我们可以在左下角处按Ctrl+G来输入相应的内存地址，这样的话就可以看到了。我们会发现从4070E4开始，装的是一串字符，依次是abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ。呵呵明白什么意思了吗？4070E4处指的是0，那4070E4加上edx中装的余数后的内存地址中装的便是当前机器码所对应的注册码。（如余数为5，那么从4070E4处的0开始往后数第5个字符就是了）该条指令执行过后就会把相应的注册码装入dl中 在TRW2000中下过D指令后按Alt+上下键翻几下，就可以看到所有的注册码了(它们并没有分太开嘛-是前4位，-0063F5EB是5-8位，-是9-12位，-0063F5FB是最后4位，而你输入的注册码的内存地址:-是前4位，-0063F5CB是5-8位，-是9-12位，-0063F5DB是最后4位，机器码存放的地址是63F60F)