软件注册保存分两个地方 一个是注册表 一个是本地文件
注册表是验证你安装软件的时间到现在使用多长时间

本地文件验证是要你一定要在2007年11月使用

这本地文件验证我下的是 bp ReadFile
能找到那个验证文件在

0012DA58   00000>
0012DA5C   0012D>
0012DA60   0015A>UNICODE "C:\WINDOWS\Registration\R000000000007.clb"
0012DA64   0015C>
0012DA68   7C92E>返回到 ntdll.7C92E5E5
0012DA6C   7C810>返回到 kernel32.7C810C30 来自 ntdll.ZwSetInformationFile

接下来怎么办?能不能给个思路我 我走了很多遍没找到办法

7C80180E >  6A 20           push    20
7C801810    68 A89B807C     push    7C809BA8
7C801815    E8 AC0C0000     call    7C8024C6
7C80181A    33DB            xor     ebx, ebx
7C80181C    8B4D 14         mov     ecx, dword ptr [ebp+14]
7C80181F    3BCB            cmp     ecx, ebx
7C801821    74 02           je      short 7C801825
7C801823    8919            mov     dword ptr [ecx], ebx
7C801825    64:A1 18000000  mov     eax, dword ptr fs:[18]
7C80182B    8B40 30         mov     eax, dword ptr [eax+30]
7C80182E    8B7D 08         mov     edi, dword ptr [ebp+8]
7C801831    83FF F4         cmp     edi, -0C
7C801834    0F84 A8010000   je      7C8019E2
7C80183A    83FF F5         cmp     edi, -0B
7C80183D    0F84 94010000   je      7C8019D7
7C801843    83FF F6         cmp     edi, -0A
7C801846    74 53           je      short 7C80189B
7C801848    8BC7            mov     eax, edi
7C80184A    25 03000010     and     eax, 10000003
7C80184F    83F8 03         cmp     eax, 3
7C801852    74 4F           je      short 7C8018A3
7C801854    8B75 18         mov     esi, dword ptr [ebp+18]
7C801857    3BF3            cmp     esi, ebx
7C801859    0F85 FF000000   jnz     7C80195E

断下来以后的代码是这些

[课程]Linux pwn 探索篇！