软件: QQ字符画精灵2003Build0818
下载地址:  spirit-setup.exe
试图: 去掉开头的对话框
工具:unaspack, w32dasm, ollydbg, filemon, regmon
系统:winxp

1,先用unaspack脱一下壳,很顺利，“ASPack 2.12， Unpack OK”，
就得到了1.06M的spirit.exe“裸体”文件.

2,然后用w32dasm反一下,失败,只举出来一些api调用.

3,用filemon查看伴随打开的文件,以下是file not found
D:\Program Files\QQ字符画精灵2003\winspool.drv
D:\Program Files\QQ字符画精灵2003\winmm.dll
D:\Program Files\QQ字符画精灵2003\LPK.DLL
D:\Program Files\QQ字符画精灵2003\USP10.dll
这是我不理解的地方一,为什么主程序试图打开这些复杂的文件?

4,用regmon查看注册表打开的项目,以下是一些可疑的注册项
HKLM\Software\Spirit Of Ascii Picture\5\Registration        SUCCESS        Key: 0xE480C9E8       
HKLM\Software\Spirit Of Ascii Picture\5\Registration\ID        SUCCESS        "zoo"       
HKLM\Software\Spirit Of Ascii Picture\5\Registration\E-mail        SUCCESS        "zoo@1"       
HKLM\Software\Spirit Of Ascii Picture\5\Registration\Key        SUCCESS        "c2hr"       
HKLM\Software\Spirit Of Ascii Picture\5\Registration        SUCCESS        Key: 0xE480C9E8       
HKLM\Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32        SUCCESS        Key: 0xE157C7B0       
HKLM\Software\Microsoft\Windows NT\CurrentVersion\FontSubstitutes        SUCCESS        Key: 0xE15C6440       
5,用ollydbg开始跟踪,f8,弹出5次对话框,告诉我可能有"自修改的程序代码",找注册的相关字符串也没找到,好不容易走到
004036b3 je short ptr ****** 记不清了 在这个下了断点,f8
跟踪却发现走到了地址是 77*******以后的一个死循环里了.
怎么办?高手帮忙.

我是crack方面的菜鸟一个,
最近用这个QQ字符画精灵2003比较多(给mm画画聊天啊^_^)
感觉总是评估版实在不爽:启动时老是告诉我用了多少天,要我赶紧注册去.
所以想借着看了看学的论坛精华,试着自己注册一下.还是功底太差啊

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课