========================================
8、此时小心地按F12,再接着走出几个CALL,你会来到如下代码处:
0137:004417ED CALL 004231A4
0137:004417F2 MOV EAX,[EBP-0C] ←④过了这一行,下命令D EAX将看到你的姓名。
0137:004417F5 LEA EDX,[EBP-08]
0137:004417F8 CALL 004416F8 ←⑤此CALL就是根据姓名计算序列号
0137:004417FD MOV EDX,[EBP-08] ←⑥将计算结果的地址放入EDX,此时D EDX能看到正确的序列号
0137:00441800 POP EAX
0137:00441801 CALL 00403B44
0137:00441806 JNZ 00441822 ←③此处如不跳转,则程序能跳过0441835的CALL,因此向上分析
0137:00441808 PUSH 00000040
0137:0044180A MOV ECX,0044186C
0137:0044180F MOV EDX,00441878
0137:00441814 MOV EAX,[00442C30]
0137:00441819 MOV EAX,[EAX]
0137:0044181B CALL 0043EEF4
0137:00441820 JMP 0044183A ←②这里可跳过下面的0137:00441835的CALL,再向上看看
0137:00441822 PUSH 00000010
0137:00441824 MOV ECX,00441884
0137:00441829 MOV EDX,0044188C
0137:0044182E MOV EAX,[00442C30]
0137:00441833 MOV EAX,[EAX]
0137:00441835 CALL 0043EEF4 ←①过了这一行,将出现Wrong Code的出错框。因此向上
看看何处能跳过此CALL
------------------------CRACKME6!CODE+???------------------------ 注意此处是crame的领空,领空名和你的程序名字相同。此例的程序名是Crackme6.exe
9、你可在0137:004417F2一行设断,将光标移到这一行,按F9或双击鼠标。(在TRW2000下双击鼠标无效,只能按F9),然后再次运行cracme程序,将会中断004417F2一行,再具体分析。因此从上面分析可知,在过了这一行0137:004417FD ,下命令D EDX将看到正确的序列号。(注:命令D是显示内存的数据)。
==========================
各位老大我真是不明白了,我按F12怎么就没看到这一步呢?
有一次倒是看到了。但却是在这几条的上面,试问,我怎么才能按教材说的走到这几条中下断点呀!我哭死了。难道就这么难学吗?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)