跳过那个地址试试？一点一点的来！

应该是个压缩壳，在CALL那一段按F8必走飞

试着用FI来看一下，然后用几个自动脱壳机来试试，最后反着过来推出这个壳的原理

尝试用注册表对比来发现记录时间的地方，发现了一处，但是发现无论是修改键值还是删除键值都无用，删除后每次运行都重新生成，把键值修改到前一天，然后把时间也调到前一天，结果还是无法运行，后来发现每运行一次软件后该键值都要变化一次~

找个脱壳机先脱掉再说吧

问题是不知道什么壳，不能对症下药

这个软件不是免费的吗？楼主可否提供完整一点的，不要只发个EXE，或者提供个下载地址。

这个壳在一开始有个int1，应该是个陷阱中断，哪些值入栈，我不是很清楚，但把那个int1改成jump 00BAD000，虽然这样堆栈不平衡，但可以看一下后面的代码是怎么执行的

00BAE004    68 00D0BA00     push    00BAD000
00BAE009    67:64:FF36 0000 push    dword ptr fs:[0]
00BAE00F    67:64:8926 0000 mov     dword ptr fs:[0], esp
00BAE015    F1              int1

就是第一个push    00BAD000，可能你的机器和我的不一样，但只要相应的改成这个值就行了

之前我破解过一个时间限制的，它把时间记录到一个DLL文件中，你可以尝试备份除了EXE之外的文件，然后修改日期，看备份的文件中哪个有变化，这只是一个思路，不知道对这个程序是否适用。

尝试一下，没有收获

最近有点忙，前端时间用REGNAP对比了一下注册表，发现每运行一次程序一下6个地方就会变化一下：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:R:\dvnaybat\dvwvna\dw\钱龙机构.rkr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:::{20Q04SR0-3NRN-1069-N2Q8-08002O30309Q}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:DW.yax

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG
这些地方的值类型都是这样的：
New: Type: REG_BINARY Length: 16 (0x10) bytes

    5C 00 00 00 8A 01 00 00 90 A4 92 6C 5C 9E CA 01  |  
Old: Type: REG_BINARY Length: 16 (0x10) bytes

    5C 00 00 00 8B 01 00 00 00 A7 07 20 5D 9E CA 01  |

看来从修改注册表入手是此路不通了啊

原版软件在钱龙官网上有，但是其中的主程序（也就是我发的那个）是经过修改的，打开了收费版的所有功能，问题是修改版的经过作者加密了，并且需要人家授权的DAT文件，有时间限制，我现在的想法是：
1.直接修改主程序,跳过时间判定
2.修改注册表的时间（目前看来算法复杂，不易攻破）
3.也是修改主程序,直接跳过读取授权文件
不知道以上三种哪种相对简单些

非常感谢这位朋友的帮助~