本人是个菜鸟，但是为了能得到一个邀请码，看完论坛精华手册1-9来个破文言语可能不是很专业，见谅！ 下面开始了

用OllyDbg快速追注册码

学习英语软件
未注册的版本不会有任何功能和使用时间上的限制，但只能使用“许国璋英语第一册”。注册后会去掉这项限制。

简介

该软件通过做选择题的形式来加强对英文单词的记忆力，功能极具人性化，
是考生背单词的首选软件。词库采用分课时，分单元的方法可让用户任意选择
某一课本中的单元进行学习。全程支持TTS语音，可以进行单词,例句甚至文章
的朗读。提供生词本和用户词库功能，用户可自行添加单词或制定自己的词库
。可在退出自动保存练习位置，并提供书签功能。具有单词自动滚动功能，可
以设定单词滚动速度，并可记录出错的单词，需要以后练习时可将其加入到生
词本中。

具有丰富的单词库(从小学到大学英语四级、六级、许国璋英语、托福、GRE
词汇和计算机英语还有外贸和医学等专业英语等各级别词汇...)，可以满足学
习的各种需要。

破解工具：OllyDbg v1.10

用OD载入，先检查一下OD的设置，忽略所有异常。

0057A270 >  60              pushad                                   ; (初始 cpu 选择)    //停在这里，F8继续 看寄存器（FPU ）
0057A271    BE 00105000     mov     esi, leword.00501000             ; 卷稃 //停在这里， 看寄存器（FPU ）ESP的值变化
0057A276    8DBE 0000F0FF   lea     edi, dword ptr ds:[esi+FFF00000]
0057A27C    C787 9CF91100 2>mov     dword ptr ds:[edi+11F99C], F1107>
0057A286    57              push    edi
0057A287    83CD FF         or      ebp, FFFFFFFF
0057A28A    EB 0E           jmp     short leword.0057A29A
0057A28C    90              nop
0057A28D    90              nop
0057A28E    90              nop

看寄存器（FPU ）
EAX 00000000
ECX 00010101
EDX FFFFFFFF
EBX 7FFDF000
ESP 0012FFA4  这里 ESP突现 [0012FFA4]
EBP 0012FFF0
ESI 00000000
EDI 00000000

我们下命令行hr 0012FFCA，回车

F9运行
0057A3D4   /74 07           je      short leword.0057A3DD
0057A3D6   |8903            mov     dword ptr ds:[ebx], eax
0057A3D8   |83C3 04         add     ebx, 4
0057A3DB  ^|EB D8           jmp     short leword.0057A3B5
0057A3DD   \FF96 40E81700   call    near dword ptr ds:[esi+17E840]
0057A3E3    61              popad
0057A3E4  - E9 9B71E8FF     jmp     leword.00401584   //到这里了，在这里清除硬件断点，继续F8
0057A3E9    0000            add     byte ptr ds:[eax], al
0057A3EB    0004A4          add     byte ptr ss:[esp], al
0057A3EE    57              push    edi
0057A3EF    00B8 A457009C   add     byte ptr ds:[eax+9C0057A4], bh
0057A3F5    0952 00         or      dword ptr ds:[edx], edx
0057A3F8    0000            add     byte ptr ds:[eax], al
0057A3FA    0000            add     byte ptr ds:[eax], al
0057A3FC    0000            add     byte ptr ds:[eax], al
0057A3FE    0000            add     byte ptr ds:[eax], al
0057A400    0000            add     byte ptr ds:[eax], al
0057A402    0000            add     byte ptr ds:[eax], al

来到这里

000401584   /EB 10           jmp     short leword.00401596 //在这里已经脱壳
00401586   |66:623A         bound   di, dword ptr ds:[edx]
00401589   |43              inc     ebx
0040158A   |2B2B            sub     ebp, dword ptr ds:[ebx]
0040158C   |48              dec     eax
0040158D   |4F              dec     edi
0040158E   |4F              dec     edi
0040158F   |4B              dec     ebx
00401590   |90              nop
00401591  -|E9 98205100     jmp     0091362E
00401596   \A1 8B205100     mov     eax, dword ptr ds:[51208B]

利用插件[超级字参考] 查找ASCII

040EC07   mov     edx, leword.00518192              .htm
0040EFBB   mov     edx, leword.005189D2              该书签已存在，可用它其书签名定义
0040F3F0   push    leword.00518E88                   注册                           
0040F3F5   push    leword.00518E79                   注册号不能为空
0040F561   mov     edx, leword.00518E8D              serial number
0040F5E4   mov     edx, leword.00518E9B              注册 "le 单词通"成功，谢谢您对该软件的支持，请重启程序.
0040F617   push    leword.00518E88                   注册                     //在这里双击按F2下断点  
0040F61C   push    leword.00518ED3                   该注册号无效                          
0040F646   push    leword.00518EE5                   http://www.softreg.com.cn/shareware_view.asp?id={1cbf905d-dcf7-4fc6-ac7b-68d8310b64cb}
0040F64B   push    leword.00518EE0                   open
0040F9C1   mov     edx, leword.005192F9              http://sealabs.51.net/leword.live
0040FA34   push    leword.0051931B                   ;
0040FA86   push    leword.0051931B                   ;
0040FB3F   mov     eax, leword.0051931D              版本：

双击来到这里

0040F615    6A 10           push    10
0040F617    68 888E5100     push    leword.00518E88                  ; 注册                       //F2下断点,F9软件运行
0040F61C    68 D38E5100     push    leword.00518ED3                  ; 该注册号无效
0040F621    6A 00           push    0
0040F623    E8 F4221000     call    leword.0051191C                  ; jmp 到 USER32.MessageBoxA
0040F628    8B55 B0         mov     edx, dword ptr ss:[ebp-50]
0040F62B    64:8915 0000000>mov     dword ptr fs:[0], edx
0040F632    8BE5            mov     esp, ebp
0040F634    8B7D 9C         mov     edi, dword ptr ss:[ebp-64]
0040F637    8B75 A0         mov     esi, dword ptr ss:[ebp-60]
0040F63A    8B5D A4         mov     ebx, dword ptr ss:[ebp-5C]
0040F63D    5D              pop     ebp
0040F63E    C3              retn

在软件界面点击[注册] 在注册号框里随便输入一组数[222222222222222222]后点击注册按钮软件中断在

0040F617    68 888E5100     push    leword.00518E88                  ; 注册         //软件中断这里在OD右下框里出现输入的号码
0040F61C    68 D38E5100     push    leword.00518ED3                  ; 该注册号无效
0040F621    6A 00           push    0
0040F623    E8 F4221000     call    leword.0051191C                  ; jmp 到 USER32.MessageBoxA
0040F628    8B55 B0         mov     edx, dword ptr ss:[ebp-50]
0040F62B    64:8915 0000000>mov     dword ptr fs:[0], edx
0040F632    8BE5            mov     esp, ebp
0040F634    8B7D 9C         mov     edi, dword ptr ss:[ebp-64]
0040F637    8B75 A0         mov     esi, dword ptr ss:[ebp-60]
0040F63A    8B5D A4         mov     ebx, dword ptr ss:[ebp-5C]
0040F63D    5D              pop     ebp
0040F63E    C3              retn
0040F63F    90              nop
0040F640    6A 01           push    1
0040F642    6A 00           push    0

0012F644   00000010
0012F648   00F718A8  ASCII "222222222222222222"     //  这就是刚才 输入的一组数
0012F64C   00F718C4  ASCII "1871A3BAEAA0"          //这组数字就是真正的注册码
0012F650   0012F838

好啦把找到的"1871A3BAEAA0"输入到注册号框里，点击注册，显示注册成功，在软件界面[注册]按钮消失，所有限制功能解除。

声明： 本文仅供研究学习，本人对因这篇文章而导致的一切后果，不承担任何法律责任。

[课程]Android-CTF解题方法汇总！