今天讲一下爆破注册这个程序。
反编译显示程序调用sapiyy.dll、RegClient.dll进行注册。在OD中查看sapiyy.dll的函数名称，发现很多与注册有关的函数：
名称位于 sapiyy
地址       名称                                    注释
01ADA1AC   RegClient.CheckRegister
01AD2860   DoCheckRegister                         检查是否注册
01AD22C0   _DoCheckRegister2@16
01AD2DC0   DoRegister
01AD2CF0   DoUnRegister
01ADA1B8   RegClient.GetErrorString
01AD1780   gethdserial                              获取硬件ID
01AD1A80   getsourestring1024
01AD1D40   getsourestring128
01AD1BE0   getsourestring256
01AD1920   getsourestring512                        好像是加密注册码的逆向处理
01ADA1B4   RegClient.GetTokenString
01ADA17C   MSVCRT._mbscmp
01ADA1A8   RegClient.Register
01AD17D0   secstring                                注册码处理函数
01ADA1B0   RegClient.UnRegister

在gethdserial函数上下断，F9运行，中断后F12返回，程序回到这里（在pbvm80.dll中）：
10BBB5E3  POP ESI
10BBB5E4  POP EDI
10BBB5E5  CALL DWORD PTR SS:[EBP+8]
10BBB5E8  CMP ESP,DWORD PTR SS:[EBP-8]              --->停在这
10BBB5EB  JE SHORT PBVM80.10BBB5F7
明显10BBB5E5  CALL DWORD PTR SS:[EBP+8] 这句就是调用函数。下断，F9运行。
发现它会call到不同地址。原来这就是pb程序调用外部函数的入口。
如果想跟踪注册算法，在这里下断应该可以得到一些信息，因为程序调用外部函数处理注册码的。
但是我对追注册码实在没有信心，我只想找到爆破的地方。
如果程序调用外部函数判断是否注册并返回bool值，那我们修改返回值不就OK?
下断后继续运行，每次中断看看Call的外部函数名称，觉得是判断注册的就跟进去，如果是处理注册码的就继续运行。
终于在一次下断后来到DoCheckRegister函数。跟进去看：
01AD2860 >SUB ESP,1C4
01AD2866  PUSH ESI
01AD2867  PUSH EDI
01AD2868  MOV EDI,DWORD PTR SS:[ESP+1D8]
省略部分代码
01AD28D8  PUSH EAX
01AD28D9  PUSH ECX
01AD28DA  PUSH sapiyy.01ADDC30
01AD28DF  PUSH sapiyy.01ADDC30
01AD28E4  PUSH sapiyy.01ADC3BC                     ; ASCII "I0qOWoaJ584Lz/CUMSi3qN4anWMV6Zox"
01AD28E9  PUSH sapiyy.01ADC398                     ; ASCII "gX93+hAOo1HQnq1enogxlpL2kp0gUgF7"
01AD28EE  PUSH EDX
01AD28EF  PUSH sapiyy.01ADC294                     ; ASCII "smskb"
01AD28F4  CALL <JMP.&RegClient.CheckRegister>
01AD28F9  CMP EAX,9
01AD28FC  JNZ SHORT sapiyy.01AD290B
01AD28FE  POP EDI
01AD28FF  XOR EAX,EAX
01AD2901  POP ESI
01AD2902  ADD ESP,1C4
01AD2908  RETN 10
省略部分代码
01AD295E  PUSH EAX
01AD295F  PUSH ECX
01AD2960  PUSH sapiyy.01ADDC30
01AD2965  PUSH sapiyy.01ADDC30
01AD296A  PUSH sapiyy.01ADC3BC                     ; ASCII "I0qOWoaJ584Lz/CUMSi3qN4anWMV6Zox"
01AD296F  PUSH sapiyy.01ADC398                     ; ASCII "gX93+hAOo1HQnq1enogxlpL2kp0gUgF7"
01AD2974  PUSH EDX
01AD2975  PUSH sapiyy.01ADC294                     ; ASCII "smskb"
01AD297A  CALL <JMP.&RegClient.CheckRegister>
01AD297F  MOV EDX,EAX
01AD2981  CMP EDX,ESI
01AD2983  JE SHORT sapiyy.01AD29EF
01AD2985  CMP EDX,1F
01AD2988  JE sapiyy.01AD2CD9
01AD298E  CMP EDX,25
01AD2991  JE sapiyy.01AD2CD9
01AD2997  CMP EDX,26
01AD299A  JE sapiyy.01AD2CD9
01AD29A0  CMP EDX,27
01AD29A3  JE sapiyy.01AD2CD9
01AD29A9  CMP EDX,28
01AD29AC  JE sapiyy.01AD2CD9
01AD29B2  CMP EDX,29
01AD29B5  JE sapiyy.01AD2CD9
01AD29BB  CMP EDX,2A
01AD29BE  JE sapiyy.01AD2CD9
01AD29C4  MOV ECX,20
01AD29C9  XOR EAX,EAX
01AD29CB  LEA EDI,DWORD PTR SS:[ESP+C8]
01AD29D2  REP STOS DWORD PTR ES:[EDI]
01AD29D4  LEA EAX,DWORD PTR SS:[ESP+C8]
01AD29DB  PUSH EAX
01AD29DC  PUSH EDX
01AD29DD  CALL <JMP.&RegClient.GetErrorString>
01AD29E2  POP EDI
01AD29E3  XOR EAX,EAX
01AD29E5  POP ESI
01AD29E6  ADD ESP,1C4
01AD29EC  RETN 10

看到的那一串古怪字符明显与注册码有关。看ret前几个代码，发现：
01AD29DD  CALL <JMP.&RegClient.GetErrorString>
01AD29E2  POP EDI
01AD29E3  XOR EAX,EAX
应该是注册不成功的置0标志位。修改EAX为1，运行，程序不再有注册提示，按钮变成了“注销注册”。成功！

小结：
pb程序本身调试是很困难的，但是如果调用外部程序注册调试起来将会轻松得多，因为调用地址是固定的，
只要在调用处下断，可以清楚看到用到哪些函数进行运算注册。

写这篇文章没有其它目的，纯粹是为了方便自己记忆，没有太多技术上的东西，pb与vb pcode相似，但不同之处有太多，难度大很多。
一段代码执行起来跟踪要很久，下面这三行就花了我将近1个小时才找关键，真的需要运气。
index = PARENT.ddlb_text.finditem(PARENT.ddlb_text.text,1)
index ++
IF index > 1 AND gb_register = FALSE THEN //3
pb程序没有直接读取原程序，而是将原程序的代码先复制到临时地址，然后不断读取临时地址并执行。
所以调试时找到临时地址还是不够的，还要找到原程序的地址才能爆破，很多机器码如jz、jnz等我也不知道是什么。

毕竟网上有关pb的调试太少了，各位老大可能都是直接反编译写出注册机的。我没有这个本事，只有寻求爆破了。
真的希望各位同仁能多写些pb调试的文章，把经验放给大家共享，让pb程序的破解不再是难题。

学习了,多谢!

再次跟踪发现：pb调用os_callc函数来执行外部函数。
10CDD898  CALL PBVM80.os_callc

对pb了解太少，今天才发现原来pb也有类似于vb一样的Native和Pcode的两种编译方式。
Pcode是在dll里打转的，Native还是在主程序中运行，调用pb的函数来进行运算，这种方式的程序破解难度小很多。
比如今天调试的某机动车模拟考试软件，用了类似Vb的Native方式的编译。几个主要代码如下：
004AAD27  CALL <JMP.&PBVM80.#2384>    跟进：
0071C09E  JMP DWORD PTR DS:[<&PBVM80.#2384>]         ;  PBvm80.ob_invoke_static   
      调用原程序的子过程，一般F8过去，但往往也会跳过注册算法。开始跟进去就在这里就跟丢了，以为进到dll里出不来了。
004AAE63  CALL <JMP.&PBVM80.#2611>    跟进：
0071BFF0  JMP DWORD PTR DS:[<&PBVM80.#2611>]         ;  PBvm80.ot_ansi_strcmp   比较函数，再次跟进
发现调用msvcrt.dll 的 _mbscmp函数进行比较，几乎pb程序都用这个比较字符串。

我这两天也在弄PB的东西，

PBkiller的作者Kevins哪位兄弟联系的到呀。

PB的，这个得学习下

PB的东西还是蛮头大的～

试着照楼主所写的破解了一下，消息断点不知道怎么下，所以没有完成破解。我用了你说的第二种爆破方式，修改了一个字节，爆破成功，感谢楼主，帮我省了100多块钱，呵呵。

好少有爆破的,学习..

楼主，请问可以提供下那个shudepb软件的下载网址吗，我下了个demo版本没有什么用处哦

我的也是Demo版的，好像没有太多限制，反正反出来能找到想要的信息就行了。

看来也只能是移花接木了，去把代码放pb的工程里面去试试！

新手，不太懂！

楼主能否给职称英语2007理工类的爆破写出来一下，我搞了一天没搞出来，谢谢了！

这一系列的软件方法应该是一样的吧？你再试试？
如果pb程序调用外部dll判断是否注册的，一般修改返回值即可，
否则pb程序的jz和jnz的代码到底是什么都不知道，所以如果在pb中爆破修改跳转不方便，我的思路是修改比较的地方，如：
cmp (ifreged)=1
jz reged      一般改成jmp或jnz
改成
cmp (ifreged)=0
jz reged
如此只要在程序中找到那个1的标志所在改成0 就可以。

pb关键指令
>c5
<d1
<>b5
=a5
<=e9
>=dd
or 22
and 21
not 23
ture 01
false 00
return 39

太好了，谢谢！找这个很久了！

补充一点：
return ture              39 00 01 (从01到FF都可)
return false             39 00 00
return 1 (0-255)         30 00 01 (从00到FF)
实际上会因为比较对象的不同、句式的不同代码会有变化，实践中的一些例子：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
00077b50h: 00 00 00 1B 00 01 00 1B 00 02 00 CA 00 00 00 00 ; ...........?...

if ls_fxrq > ls_jzrq then
        beep(1)
        messagebox("错误号(007)","已过数据服务期(咨询电话:010-88578174,88578175)!",stopsign!)
        return true
else
        return false
end if

00077b50h: 00 00 00 1B 00 01 00 1B 00 01 00 BF 00 00 00 00 ; ...........?...

if ls_fxrq <> ls_fxrq then
        beep(1)
        messagebox("错误号(007)","已过数据服务期(咨询电话:010-88578174,88578175)!",stopsign!)
        return true
else
        return false
end if
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
00075bc0h: 40 BD 01 12 01 02 00 00 00 38 01 02 00 D6 00 01 ; @?......8...?.

if ls_jzrq < string(today(),"yyyy.mm.dd") then
        messagebox("提示","你已经超过使用期限，请尽快缴服务费!")
        return
else
        run("smart.exe")
end if

return

00075bc0h: 40 BD 01 12 01 02 00 00 00 38 01 02 00 AE 00 01 ; @?......8...?.

if ls_jzrq = string(today(),"yyyy.mm.dd") then
        messagebox("提示","你已经超过使用期限，请尽快缴服务费!")
        return
else
        run("smart.exe")
end if

return

// D6 < ; CA > ; BF <> ;AE = ;
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
0006fe30h: 00 38 01 02 00 31 00 1E 00 00 00 E9 00 02 00 D6 ; .8...1.....?..

if daysafter(today(),date(ls_jzrq)) <= 30 then
        ls_temp = string(daysafter(today(),date(ls_jzrq)))
        dw_1.modify("t_1.visible='1'")
        dw_1.modify("t_1.text='您还有" + ls_temp + "天的使用时间,请尽快升级!'")
end if

0006fe30h: 00 38 01 02 00 31 00 00 00 00 00 A5 00 02 00 D6 ; .8...1.....?..

if daysafter(today(),date(ls_jzrq)) = 0 then
        ls_temp = string(daysafter(today(),date(ls_jzrq)))
        dw_1.modify("t_1.visible='1'")
        dw_1.modify("t_1.text='您还有" + ls_temp + "天的使用时间,请尽快升级!'")
end if
// D1 <; C5 > ; B5 <> ; A5 = ;
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
00015a69h: 00 1B 00 01 00 A3 01 00 00 38 00 08 00 00 00 AA ; .....?..8.....?

00015a79h: 00 00 00 01 00 1B 00 01 00 92 01 22 00 02 00 7C ; .........?"...|
00015a89h: 00 1A 01 01 00 38 00 09 00 00 00 30 01 01 00 85 ; .....8.....0...?

00015a99h: 00 00 00 1B 00 00 00 A3 01 00 00 38 00 08 00 00 ; .......?..8....
00015aa9h: 00 AA 00 00 00 01 00 1B 00 00 00 92 01 22 00 02 ; .?........?"..
00015ab9h: 00 AE 00 1A 01 00 00 38 00 0C 00 00 00 30 01 01 ; .?....8.....0..
00015ac9h: 00 85 00 00                                     ; .?.

ls_hardid = trim(hdserialnumread())
ls_cpuid = trim(string(getcpuid()))

if ((trim(ls_hardid) = "") or (isnull(ls_hardid))) then
        ls_hardid = "H8"
end if

if ((trim(ls_cpuid) = "") or (isnull(ls_cpuid))) then
        ls_cpuid = "C8"
end if

ls_xlh = f_xlh_sub1(f_replace(upper(ls_hardid)),f_replace(upper(ls_cpuid)))
return trim(ls_xlh)

00015a69h: 00 1B 00 01 00 A3 01 00 00 38 00 08 00 00 00 BC ; .....?..8.....?

00015a79h: 00 00 00 01 00 1B 00 01 00 92 01 22 00 02 00 7C ; .........?"...|
00015a89h: 00 1A 01 01 00 38 00 09 00 00 00 30 01 01 00 85 ; .....8.....0...?

00015a99h: 00 00 00 1B 00 00 00 A3 01 00 00 38 00 08 00 00 ; .......?..8....
00015aa9h: 00 BC 00 00 00 01 00 1B 00 00 00 92 01 22 00 02 ; .?........?"..
00015ab9h: 00 AE 00 1A 01 00 00 38 00 0C 00 00 00 30 01 01 ; .?....8.....0..
00015ac9h: 00 85 00 00                                     ; .?.

ls_hardid = trim(hdserialnumread())
ls_cpuid = trim(string(getcpuid()))

if ((trim(ls_hardid) <> "") or (isnull(ls_hardid))) then
        ls_hardid = "H8"
end if

if ((trim(ls_cpuid) <> "") or (isnull(ls_cpuid))) then
        ls_cpuid = "C8"
end if

ls_xlh = f_xlh_sub1(f_replace(upper(ls_hardid)),f_replace(upper(ls_cpuid)))
return trim(ls_xlh)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
以上都是没有进行伪代码混淆的结果。

而楼主 LZQQJ 所提到的软件并不一定符合以上规律。如所言版本只需修改3100010000为3100FFFFFF即可，而另一版本（理工）虽然伪代码一样，但二进制代码则不同。

如果，PBKiller的作者能发表一两篇这方面的文章就好。

转贴，来源不清楚：

+--------------------------------------------------------------+
I PBL File Format                                              I
+--------------------------------------------------------------+
Dear PB Fans out there,

these are the results of the analysis I did, written down as
a short ASCII text description (valid thru PB5-11).

With this knowledge you can write your own LibraryDirectory
or Export Function for PowerBuilder PBL/PBD/DLL/EXE files.

Think about the possibility; including files via PBR assignment
and extracting them during runtime. That is a nice gimmick.

Most of the terms used are the results and presumptions of my
analysis.

Regards

Arnd Schmidt                                          March 2005

arnd.schmidt@dwox.com

+--------------------------------------------------------------+
I PBL File Format                                              I
+--------------------------------------------------------------+

Rules and facts:

1.) A PBL is always made out of blocks of 512 Bytes, except the
Node Block, that has a size of 6 blocks, meaning 3072 Bytes.

2.) There is always one Header (HDR*), followed by a
free/used blocks bitmap (FRE*).
Then (after 1024 Byte) follows the first 'NOD*' block.
Theoretically this first 'NOD*' block might(!) point to a
parent node, but I have never seen that.

3.) Object Data (and SCC Informations - pre PB8) are always
stored in single forward linked/chained 'DAT*'-Blocks.

4.) A PBD is a PBL.

5.) DLL and EXE files have a 'TRL*' at the end of the file. This
is pointing to the one and only 'HDR*'-Block.

+--------------------------------------------------------------+
I Library Header Block (512 Byte)                              I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'HDR*'                              I
I   5 - 18  I String     I 'PowerBuilder' + 0x00 + 0x00        I
I  19 - 22  I Char(4)    I PBL Format Version? (0400/0500/0600)I
I  23 - 26  I Long       I Creation/Optimization Datetime      I
I  29 - ff  I String     I Library Comment                     I
I 285 - 288 I Long       I Offset of first SCC data block      I
I 289 - 292 I Long       I Size (Net size of SCC data)         I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I Library Header Block - Unicode (1024 Byte)                   I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'HDR*'                              I
I   5 - 32  I StringW    I 'PowerBuilder' + 0x00 + 0x00        I
I  33 - 40  I CharW(4)   I PBL Format Version? (0400/0500/0600)I
I  41 - 44  I Long       I Creation/Optimization Datetime      I
I  45 - ff  I StringW    I Library Comment                     I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I  Bitmap Block (512 Byte)                                     I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I  1 - 4    I Char(4)    I 'FRE*'                              I
I  5 - 8    I Long       I Offset of next block or 0           I
I  9 - 512  I Bit(504)   I Bitmap, each Bit represents a block I
+-----------+------------+-------------------------------------+
(512 - 8) * 8 = 4032 Blocks are referenced

+--------------------------------------------------------------+
I Node Block (3072 Byte)                                       I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'NOD*'                              I
I   5 - 8   I Long       I Offset of next (left ) block or 0   I
I   9 - 12  I Long       I Offset of parent block or 0         I
I  13 - 16  I Long       I Offset of next (right) block or 0   I
I  21 - 22  I Integer    I Count of entries in that node       I
I  33 - ff  I Chunks     I 'ENT*'-Chunks                       I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I Entry Chunk (Variable Length)                                I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'ENT*'                              I
I   5 - 8   I Char(4)    I PBL version? (0400/0500/0600)       I
I   9 - 12  I Long       I Offset of first data block          I
I  13 - 16  I Long       I Objectsize (Net size of data)       I
I  17 - 20  I Long       I Unix datetime                       I
I  21 - 22  I Integer    I Length of comment                   I
I  23 - 24  I Integer    I Length of objectname                I
I  25 - ff  I String     I Objectname                          I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I Entry Chunk - Unicode (Variable Length)                      I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'ENT*'                              I
I   5 - 12  I CharW(4)   I PBL version? (0400/0500/0600)       I
I  13 - 16  I Long       I Offset of first data block          I
I  17 - 20  I Long       I Objectsize (Net size of data)       I
I  21 - 24  I Long       I Unix datetime                       I
I  25 - 26  I Integer    I Length of comment                   I
I  27 - 28  I Integer    I Length of objectname                I
I  29 - ff  I StringW    I Objectname                          I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I Data Block (512 Byte)                                        I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'DAT*'                              I
I   5 - 8   I Long       I Offset of next data block or 0      I
I   9 - 10  I Integer    I Length of data in block             I
I  11 - XXX I Blob{}     I Data (maximum Length is 502         I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I Trailer Block (in DLL/EXE) always last block (512 Byte)      I
+-----------+------------+-------------------------------------+
I Pos.      I Type       I Information                         I
+-----------+------------+-------------------------------------+
I   1 - 4   I Char(4)    I 'TRL*'                              I
I   5 - 8   I Long       I Offset of Library Header ('HDR*')   I
+-----------+------------+-------------------------------------+

+--------------------------------------------------------------+
I SCC DATA                                                     I
I     Structure of status information chunks                   I
I     in DAT*-blocks (Variable Length)                         I
+---------+----------------------------------------------------I
I Type    I Information                                        I
+---------+----------------------------------------------------I
I String  I Libraryname (the opposite!)                        I
I String  I Objectname                                         I
I String  I Developername                                      I
I Char(1) I Flag                                               I
+---------+----------------------------------------------------I

+--------------------------------------------------------------+
I PB6/7 Status Flags                                           I
+------+------+------------------------------------------------+
I Icon I Flag I Meaning                                        I
+------+------+------------------------------------------------+
I      I  r   I Object is registered                           I
I      I  d   I Object is Checked Out (locked)                 I
I      I  s   I Object (Working Copy) to be checked in         I
I      I  u   I Unknown?! After an Error occurred.             I
I      I      I (Checked out by user <Unknown>                 I
I      I      I  Could be set to 'r' with an Hex-Editor.)      I
+------+------+------------------------------------------------+

DateTimes are stored in Long format in Unix representation.
Timezone is always GMT (+/- 0:00), so the datetime has to be
converted to LocalDateTime via LocalTimeZone conversation.

In the compiled object data blocks, there are at least 2 more
datetimes, starting at byte 23 and the other one at 27!
Looks like these are the modification and regeneration date...

虽然 shudepb DEMO 效果好一点，并在不断的更新，但是同一个程序每次导出的文件都会有不同，大家注意啦。

shudepb是下载的都是DOME版

靠,这都给你发现了......
(我叫阿SHU)

------------------------------------------------------

顺便回楼主


缪赞了.惭愧.


那个是给POWERSHIELD(它是前辈ljcc的作品,当年DEPB可是唯一的PB反编译器啊)混淆过的.并不是因为PBKILLER试用版的原因.

你看代码最前面写着"//Has been Shielded."

看来多讨论一下pb程序还是有好处的，发现这么多东西，不然就只能靠反编译然后写注册机一条路了，对我等编程不行的人来说真的好难。

顺便说一下，理工类的破解方法用爆破sapiyy.dll的返回值的方法是一样的。我直接用破好的综合类的文件覆盖就行了。

楼主能否将爆破的文件发给我下，新手难搞阿！655750@sina.com,或者ssw1213@qq.com 谢谢你啦！！！！！！

老大,如何在OD中查看sapiyy.dll的函数名称?还有如何在gethdserial函数上下断?我弄了两星期了,还是弄不明白,能否说详细一些?谢谢!!!要不把sapiyy.dll发给我吧,mail:huxizh@tom.com