寻找真正的入口（OEP）--广义ESP定律

1.前言
在论坛上看到很多朋友，不知道什么是ESP定律，ESP的适用范围是什么，ESP定律的原理是什么，如何使用ESP定律？看到了我在“”调查结果发现,大家对ESP定律很感兴趣，当然因为实在是太好用了，现在我就来告诉大家什么是ESP定律，它的原理是什么！
BTW：在看完了手动脱壳入门十八篇了以后，再看这篇文章也许会对你更有帮助！
在下面地址下载：
http://www.jetdown.com/down/down.asp?id=37350&no=1
2.准备知识
在我们开始讨论ESP定律之前，我先给你讲解一下一些简单的汇编知识。
1.call
这个命令是访问子程序的一个汇编基本指令。也许你说，这个我早就知道了！别急请继续看完。
call真正的意义是什么呢？我们可以这样来理解：1.向堆栈中压入下一行程序的地址；2.JMP到call的子程序地址处。例如：
00401029 . E8 DA240A00 call 004A3508
0040102E . 5A pop edx
在执行了00401029以后，程序会将0040102E压入堆栈，然后JMP到004A3508地址处！
2.RET
与call对应的就是RET了。对于RET我们可以这样来理解：1.将当前的ESP中指向的地址出栈；2.JMP到这个地址。
这个就完成了一次调用子程序的过程。在这里关键的地方是：如果我们要返回父程序，则当我们在堆栈中进行堆栈的操作的时候，一定要保证在RET这条指令之前，ESP指向的是我们压入栈中的地址。这也就是著名的“堆栈平衡”原理！
3.狭义ESP定律
ESP定律的原理就是“堆栈平衡”原理。
让我们来到程序的入口处看看吧！
1.这个是加了UPX壳的入口时各个寄存器的值！
EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0
ESI 77F51778 ntdll.77F51778
EDI 77F517E6 ntdll.77F517E6
EIP 0040EC90 note-upx.<ModuleEntryPoint>
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 0 DS 0023 32bit 0(FFFFFFFF)
S 1 FS 0038 32bit 7FFDE000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_MOD_NOT_FOUND (0000007E)
2.这个是UPX壳JMP到OEP后的寄存器的值！
EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0
ESI 77F51778 ntdll.77F51778
EDI 77F517E6 ntdll.77F517E6
EIP 004010CC note-upx.004010CC
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 1 DS 0023 32bit 0(FFFFFFFF)
S 0 FS 0038 32bit 7FFDE000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_MOD_NOT_FOUND (0000007E)
呵呵~是不是除了EIP不同以外，其他都一模一样啊！
为什么会这样呢？
我们来看看UPX的壳的第一行：
0040EC90 n> 60 pushad //****注意这里*****
0040EC91 BE 15B04000 mov esi,note-upx.0040B015
PUSHAD就是把所有寄存器压栈！我们在到壳的最后看看：
0040EE0F 61 popad //****注意这里*****
0040EE10 - E9 B722FFFF jmp note-upx.004010CC //JMP到OEP
POP就是将所有寄存器出栈！
而当我们PUSHAD的时候，ESP将寄存器压入了0012FFC0--0012FFA4的堆栈中！如下：
0012FFA4 77F517E6 返回到 ntdll.77F517E6 来自 ntdll.77F78C4E //EDI
0012FFA8 77F51778 返回到 ntdll.77F51778 来自 ntdll.77F517B5 //ESI
0012FFAC 0012FFF0 //EBP
0012FFB0 0012FFC4 //ESP
0012FFB4 7FFDF000 //EBX
0012FFB8 7FFE0304 //EDX
0012FFBC 0012FFB0 //ECX
0012FFC0 00000000 //EAX
所以这个时候，在教程上面就告诉我们对ESP的0012FFA4下硬件访问断点。也就是说当程序要访问这些堆栈，从而恢复原来寄存器的值，准备跳向苦苦寻觅的OEP的时候，OD帮助我们中断下来。
于是我们停在0040EE10这一行！
总结：我们可以把壳假设为一个子程序，当壳把代码解压前和解压后，他必须要做的是遵循堆栈平衡的原理，让ESP执行到OEP的时候，使ESP=0012FFC4。
4.广义ESP定律
很多人看完了教程就会问：ESP定律是不是就是0012FFA4，ESP定律的适用范围是不是只能是压缩壳！
我的回答是：NO！
看完了上面你就知道你如果用0012FFA8也是可以的，ESP定律不仅用于压缩壳他也可以用于加密壳！！！
首先，告诉你一条经验也是事实---当PE文件运行开始的时候，也就是进入壳的第一行代码的时候。寄存器的值总是上面的那些值，不信你自己去试试！而当到达OEP后，绝大多的程序都第一句都是压栈！（除了BC编写的程序，BC一般是在下面几句压栈）
现在，根据上面的ESP原理，我们知道多数壳在运行到OEP的时候ESP=0012FFC4。这就是说程序的第一句是对0012FFC0进行写入操作！
最后我们得到了广义的ESP定律，对只要在0012FFC0下，硬件写入断点，我们就能停在OEP的第二句处！！
下面我们来举个例子,就脱壳进阶第一篇吧！
载入OD后，来到这里：
0040D042 N> B8 00D04000 mov eax,Notepad.0040D000 //停在这里
0040D047 68 4C584000 push Notepad.0040584C
0040D04C 64:FF35 00000000 push dword ptr fs:[0] //第一次硬件中断，F9
0040D053 64:8925 00000000 mov dword ptr fs:[0],esp
0040D05A 66:9C pushfw
0040D05C 60 pushad
0040D05D 50 push eax
直接对0012FFC0下硬件写入断点，F9运行。（注意硬件中断）
在0040D04C第一次硬件中断，F9继续！
0040D135 A4 movs byte ptr es:[edi],byte ptr ds:[esi] //访问异常，不管他 shift+F9继续
0040D136 33C9 xor ecx,ecx
0040D138 83FB 00 cmp ebx,0
0040D13B ^ 7E A4 jle short Notepad.0040D0E1
第二次硬件中断。
004058B5 64 db 64 //断在这里
004058B6 89 db 89
004058B7 1D db 1D
004058B8 00 db 00
004058B9 00 db 00
这里也不是，F9继续！
004010CC /. 55 push ebp
004010CD |. 8BEC mov ebp,esp //断在这里，哈哈，到了！（如果发现有花指令，用ctrl+A分析一下就能显示出来）
004010CF |. 83EC 44 sub esp,44
004010D2 |. 56 push esi
快吧！还不过瘾，在来一个例子。
脱壳进阶第二篇
如果按上面的方法断不下来，程序直接运行了！没什么，我们在用另一种方法！
载入后停在这里，用插件把OD隐藏！
0040DBD6 N>^\E9 25E4FFFF jmp Note_tEl.0040C000 //停在这里
0040DBDB 0000 add byte ptr ds:[eax],al
0040DBDD 0038 add byte ptr ds:[eax],bh
0040DBDF A4 movs byte ptr es:[edi],byte ptr ds:[esi]
0040DBE0 54 push esp
F9运行，然后用SHIFT+F9跳过异常来到这里：
0040D817 ^\73 DC jnb short Note_tEl.0040D7F5 //到这里
0040D819 CD20 64678F06 vxdcall 68F6764
0040D81F 0000 add byte ptr ds:[eax],al
0040D821 58 pop eax
在这里对0012FFC0下硬件写入断点！（命令行里键入HW 12FFC0）SHIFT+F9跳过异常，就来到OEP的第二行处：（用CTRL+A分析一下）
004010CC /. 55 push ebp
004010CD |. 8BEC mov ebp,esp //断在这里
004010CF |. 83EC 44 sub esp,44
004010D2 |. 56 push esi
004010D3 |. FF15 E4634000 call dword ptr ds:[4063E4]
004010D9 |. 8BF0 mov esi,eax
004010DB |. 8A00 mov al,byte ptr ds:[eax]
004010DD |. 3C 22 cmp al,22
就这样我们轻松搞定了两个加密壳的找OEP问题！
5.总结
现在我们可以轻松的回答一些问题了。
1.ESP定律的原理是什么？
堆栈平衡原理。
2.ESP定律的适用范围是什么？
几乎全部的压缩壳，部分加密壳。只要是在JMP到OEP后，ESP=0012FFC4的壳，理论上我们都可以使用。但是在何时下断点避开校验，何时下断OD才能断下来，这还需要多多总结和多多积累。欢迎你将你的经验和我们分享。
3.是不是只能下断12FFA4的访问断点？
当然不是，那只是ESP定律的一个体现，我们运用的是ESP定律的原理，而不应该是他的具体数值，不能说12FFA4，或者12FFC0就是ESP定律，他们只是ESP定律的一个应用罢了！
4.对于STOLEN CODE我们怎么办？
哈哈，这正是寻找STOLEN CODE最好的办法！当我们断下时，正好断在了壳处理STOLEN CODE的地方，在F8一会就到OEP了！
6.后话
以上的方法原理都是我自己总结，自己的经验，如果有什么不对的地方，有什么没解释清楚的地方。还请海涵！但是如果觉得我很厉害，那就大可不必，因为ESP定律也是别人教我的，不是我第一个提出来的！我只是个比你们早飞一点的菜鸟罢了^-^
看了上面的文字希望能对你在寻找OEP的时候有帮助，但是别忘了一句话：菜鸟认为找OEP很难，高手认为修复才是最难！ 好了，下一篇应该写IAT的修复原理了！让我们共同努力吧！

OD常用断点和一些常用破解思路

解自校验

bpx CreateFileA
bpx GetFileSize
bpx SetFilePointer
bpx ExitProcess
F12堆栈调用

破解思路

C类
Point-H法
bp GetDlgItem(断输入框)
bp MessageBoxA(断对话框)

字符串法

F12堆栈调用
B、D类
DEDE、PE Explorer作为强有力的辅助工具
关键还是找按妞事件
Point-H法
bp GetDlgItem(断输入框)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
V类
VBExplorer、GetVBRes、SmatCheck作为强有力的辅助工具
关键还是找按妞事件
bp rtcMsgBox(断对话框)
*********************************

如果是重启验证就使用最开始的那些断点

C类语言破解

1、bp MessageBoxA(W)(断对话框)—Ctrl+N
2、Point-H法
3、bp GetDlgItem/GetWindowTextA(W)/GetWindowTextLengthA(W) (断输入框)

4、字符串法—插件/搜索所有参考文本

Delphi/BC++语言破解

1、DEDE结合PE Explorer找按妞事件
2、Point-H法
3、bp GetDlgItem/GetWindowTextA(W)/GetWindowTextLengthA(W) (断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样，可以通过DEDE查找FormCreate/FormShow，找到关键标志位

VB语言破解

1、VBExplorer查找按钮事件
2、有提示框则   bp rtcMsgBox(断对话框)
3、通过bp __vbaStrCmp/__vbaStrComp/__vbaVarTstEq
4、万能断点法(816C24法)
5、字符串法—插件/搜索所有参考文本

易语言破解

1、借助E-Code Explorer查找按钮事件
2、下消息断点，查看堆栈再返回
3、eCode法–断按钮事件
4、字符串法—插件/搜索所有参考文本

按钮事件固定模式：

0040EC78      837D F4 00       cmp dword ptr ss:[ebp-C],0          ；关键判断
0040EC7C      0F84 3B000000    je dcse.0040ECBD                     ；关键跳
0040EC82      68 04000080      push 80000004
0040EC87      6A 00            push 0
0040EC89      68 EC904000      push dcse.004090EC
0040EC8E      68 01030080      push 80000301
0040EC93      6A 00            push 0
00 40EC95      68 00000000      push 0
0040EC9A      68 04000080      push 80000004
0040EC9F      6A 00            push 0
0040ECA1      68 F1904000      push dcse.004090F1
0040ECA6      68 03000000      push 3
0040ECAB      BB 00030000      mov ebx,300
0040ECB0      E8 92000000      call dcse.0040ED47
0040ECB5      83C4 28          add esp,28
0040ECB8      E9 36000000      jmp dcse.0040ECF3
0040ECBD      68 04000080      push 80000004
0040ECC2      6A 00            push 0
0040ECC4      68 CC904000      push dcse.004090CC
0040ECC9      68 01030080      push 80000301
0040ECCE      6A 00            push 0
0040ECD0      68 00000000      push 0
0040ECD5      68 04000080      push 80000004
0040ECDA      6A 00            push 0
0040ECDC      68 02914000      push dcse.00409102
0040ECE1      68 03000000      push 3
0040ECE6      BB 00030000      mov ebx,300
0040ECEB      E8 57000000      call dcse.0040ED47
0040ECF0      83C4 28          add esp,28
0040ECF3      8BE5             mov esp,ebp
0040ECF5      5D               pop ebp
0040ECF6      C3               retn

******************************************************************************************************************************************
按钮事件

1、有注册错误/正确提示

bp MessageBoxA
bp rtcMsgBox
如果事先找不到按钮事件，可以通过下消息断点，返回后回溯即可找到按钮事件起始位置

2、无任何提示

bp GetDlgItem
可以通过bp GetDlgItem获取按钮事件代码

3、未注册一启动或者关闭就跳出个注册框或者提示框

bp RegOpenKey(A)
bp CreateFileA
bp GetPrivateProfileStringA
文件: reg/ini/dll/其他
至于保存到什么文件，可以使用以下方法
1、查找字符串，看是否有可疑文件名或者注册表键名
2、猜。。。下断点观察
3、按钮事件跟踪

4、未注册一启动或者关闭就打开网页链接
bp ShellExecuteA
类似的组合
Cmp/test/其他判断
Je/jne/jne/jz XXXXXXXX
软件启动—>判断是否注册—>是否Open
断下后回溯代码即可找到关键点，常用的方法，转存跟踪法

5、未注册就功能使用限制

判断是否注册—>某种功能是否让你使用,如果不能够用，一定会有提示的，或是错误提示或是弹出注册框等，那么从提示入手即可找到解除限制的关键
不完美破解：解除功能限制

6、未注册就日期限制

bp GetLocalTime 获取本地时间
bp GetSystemTime 获取系统时间
bp GetFileTime 获取文件时间
一般下这几个断点比较难分析关键
捷径:查找字符串–找可疑文件–一般以DLL多见
只要不让它读取到这个DLL即可解除限制

7、Demo(演示试用版)–功能残缺

这个和上面的功能限制不一样
功能限制是软件本身就有这个功能，对程序而言，相对应的功能代码也存在
Demo即是没这个功能，空架子一个而已
一句话：破解也无用！

8、网络验证

无法登陆有错误提示者：下消息断点回溯代码，找按钮事件，从头来过，从按钮事件开始跟踪，找网络验证CALL(所需要登陆的地址在这个CALL里面)，接下来就是分析返回值或者改登陆地址为本地(127.0.0.1)，再后面就需要改某些跳转了
无法登陆自动退出者：下bp ExitProcess断下(一般可以断下)回溯代码，找按钮事件，从来来过，从按钮事件开始跟踪，找网络验证CALL(所需要登陆的地址在这个CALL里面)，接下来就是分析返回值或者改登陆地址为本地(127.0.0.1)，再后面就需要改某些跳转了

9、狗加密

一般狗加密软件，一启动就会检测所需要的狗文件，若没有狗文件，提示错误
这里我们有两个入手点
1、“一启动就会检测所需要的狗文件”，下bp CreateFileA等断点，断下后，回溯
2、“若没有狗文件，提示错误”，下bp MessageBoxA，断下后，回溯

总结：
从上面的介绍说明可以看出，有这么一个共同点—按钮事件，可以这么说，按钮事件是我们的思路之门
按钮事件可以这样得来：
1、通过下相应断点，回溯代码
2、通过辅助工具快捷的得到（VBExplorer、DEDE）

******************************************************************************************************************************************
重启验证

80%-90%的软件基本都是重启验证类型

1、注册表类型
Bpx RegOpenKeyA(W)
Bpx RegOpenKeyExA(W)
2、ini文件类型(*.reg/*.ini)
Bpx GetPrivateProfileStringA
3、其他文件类型(*.dat/*.lic…)
Bpx CreateFileA(W)
Bpx ReadFile
4、DLL文件操作类型
如果没有什么有效的拦截函数，不妨试一下Bpx CreateFileA(W).余下的就是通过你的经验去判断了(例如：35课)
注意：建议使用Bpx断点，这样，比较快捷、准确。尚若Bpx失效，再尝试bp
方便断点设置的有以下3个断点插件，APIBreak中国版(不带Point-H)，APIBreak英文版(带Point-H)、+BP-Olly

******************************************************************************************************************************************
去nag框的方法

1、若是Delphi&BCB程序，可以通过FormCreate法查找到FormCreate，再单步跟踪，找到窗口的调用CALL，一般它的具体形式是call dword ptr ds:[edx+E8]

2、OD载入程序后，单步跟踪，找到窗口的调用CALL
注意看第37课

******************************************************************************************************************************************
两种经典方法

1、Point-H法
此法类似下断点bp GetWindowText(A/W)，但是，在某些Point-H断不下来的情况下，bp GetWindowText(A/W)却可以断下来。Point-H能够断下来的，bp GetWindowTextA基本上都可以顺利断下

2、转存跟踪法
到底是byte/word/Dword断点，一般情况下是byte，其他特殊情况大家临场判断

******************************************************************************************************************************************
一些常规断点

拦截窗口：

bp CreateWindow 创建窗口
bp CreateWindowEx(A/W) 创建窗口
bp ShowWindow 显示窗口
bp UpdateWindow 更新窗口
bp GetWindowText(A/W) 获取窗口文本

拦截消息框：

bp MessageBox(A/W) 创建消息框
bp MessageBoxExA 创建消息框
bp MessageBoxIndirect(A/W) 创建定制消息框

拦截警告声：

bp MessageBeep 发出系统警告声(如果没有声卡就直接驱动系统喇叭发声)

拦截对话框：

bp DialogBox 创建模态对话框
bp DialogBoxParam(A/W) 创建模态对话框
bp DialogBoxIndirect 创建模态对话框
bp DialogBoxIndirectParam(A/W) 创建模态对话框
bp CreateDialog 创建非模态对话框
bp CreateDialogParam(A) 创建非模态对话框
bp CreateDialogIndirect 创建非模态对话框
bp CreateDialogIndirectParam(A/W) 创建非模态对话框
bp GetDlgItemText(A) 获取对话框文本
bp GetDlgItemInt 获取对话框整数值

拦截剪贴板：

bp GetClipboardData 获取剪贴板数据

拦截注册表：

bp RegOpenKey(A/W) 打开子健
bp RegOpenKeyEx(A/W) 打开子健
bp RegQueryValue(A/W) 查找子健
bp RegSetValue(A/W) 设置子健
bp RegSetValueEx(A/W) 设置子健

功能限制拦截断点：

bp EnableMenuItem 禁止或允许菜单项
bp EnableWindow 禁止或允许窗口

拦截时间：

bp GetLocalTime 获取本地时间
bp GetSystemTime 获取系统时间
bp GetFileTime 获取文件时间
bp GetTickCount 获得自系统成功启动以来所经历的毫秒数
bp GetCurrentTime 获取当前时间（16位）
bp SetTimer 创建定时器
bp TimerProc 定时器超时回调函数

拦截文件：

bp CreateFileA 创建或打开文件 (32位)
bp OpenFile 打开文件        (32位)
bp ReadFile 读文件          (32位)
bp WriteFile 写文件          (32位)
bp GetPrivateProfileStringA     (ini文件)

拦截驱动器：

bp GetDriveTypeA 获取磁盘驱动器类型
bp GetLogicalDrives 获取逻辑驱动器符号
bp GetLogicalDriveStringsA 获取当前所有逻辑驱动器的根驱动器路径

★★VB程序专用断点★★

bp __vbaStrCmp 比较字符串是否相等
bp __vbaStrComp 比较字符串是否相等
bp __vbaVarTstNe 比较变量是否不相等
bp __vbaVarTstEq 比较变量是否相等
bp __vbaStrCopy 复制字符串
bp __vbaStrMove 移动字符串
bp MultiByteToWideChar ANSI字符串转换成Unicode字符串
bp WideCharToMultiByte Unicode字符串转换成ANSI字符串

******************************************************************************************************************************************
灰色按钮

有两种情况：通过代码和控件属性

VB语言:

代码：ctrl+b查找 816C24，在JMP下断，然后F2运行程序，把 push ebp 改为 retn，或者把这些代码全NOP掉
控件属性：VBExplorer 辅助工具改属性

Delphi/BC++语言:

代码：通过DEDE找FormCreate，记下地址，改 retn
控件属性：相关辅助工具改属性

易语言
代码：bp EnableWindow，断下后返回，把 push ebp 改为 retn
控件属性：用十六进制工具查找 BOB4C5A5 ，把它后面的 07 改 05

破解时常用断点：
VB MASM32 VC BCB 易语言 Delphi

VB破解

1、VBExplorer查找按钮事件

2、有提示框则bp rtcMsgBox
3、通过bp __vbaStrCmp/__vbaStrComp/__vbaVarTstEq
bp __vbaStrCmp
bp __vbaStrComp

4、万能断点法(816C24法)
注册验证程序可以用这个断点下断，一般离程序访问注册表很近：
bp __vbaStrToAnsi
5.F12堆栈调用
总结：
VB程序破解的关键跳转，一般与其它语言的不同,没有JPM XXXXXXX
一般以 JE/JNE XXXXXXXXX 跳转记录一般不会很远(虽然是短距离跳转，但是关键就在这里，可以设置大量的信息） 。如果发现False/True 可能是关键点
VB:
XXXXXXX JE/JNE XXXXX
设置信息
设置信息
Delphi BC++ 易语言 VC++ 汇编:
XXXXXXX JE/JNE XXXXX
设置信息
设置信息
XXXXXXX JMP XXXXX
设置信息
设置信息

VC++ 汇编(有的 一段，一段的)：
XXXXXXX JE/JNE XXXXX
设置信息
设置信息
retn
push xx
设置信息
设置信息
retn
push xx
设置信息
设置信息
retn

易语言

易语言破解思路:
1. 信息框法 bp MessageBoxA(断对话框)
2.字符串法
查看易语言文本信息:
bp GetProcessHeap F9运行4次，取消断点 执行ALT+F9 用户代码 F8单步走
或者在区段为”.data”/”.ecode”下断，运行

3.窗口标题法 bp SetWindowTextA
4.F12堆栈调用

0040C0CB=易语言.0040C0CB (ASCII “shaonanshaonvluntan”)

DELPHI破解:

1、DEDE、PE Explorer ResScope作为强有力的辅助工具找按妞事件
2、Point-H法
3、bp GetDlgItem/GetDlgItemTextA(断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样的
可以通过查找FormCreate/FormShow—-DEDE，找到关键标志位！
来判断程序怎么样的判断是否注册或者用户类型
7. 窗口标题法 bp SetWindowTextA
8.F12堆栈调用
注册表:
bpx RegCreateKeyExA 对于Delphi程序程序来说，用这个断点比较合适
bp RegCreateKeyExA 对于加了壳的程序
注册码：Rc1-420+用户名（不能为整数,)+C00L

C+破解

C类
Point-H法
bp GetDlgItem(断按下按钮)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
窗口标题法 bp SetWindowTextA
★★C+程序专用断点★★
bp lstrcmpA (KERNEL32.lstrcmpA) 比较用法
bp _mbscmp //比较
C类程序的经典断点:
bp GetWindowTextA(断按下按钮) //也是适用于其它语言
bp GetWindowTextLengthA(断按下按钮) //也是适用于其它语言
bp GetDlgItem(断按下按钮)            //也是适用于其它语言
bp GetDlgItemTextA
ds:[004021C8]=77C01881 (msvcrt._mbscmp)

BC++破解

1、DEDE、PE Explorer作为强有力的辅助工具找按妞事件
2、Point-H法
3、bp GetDlgItem/GetDlgItemTextA(断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样的
可以通过查找FormCreate/FormShow—-DEDE，找到关键标志位！
来判断程序怎么样的判断是否注册或者用户类型
7.窗口标题法 bp SetWindowTextA
8.F12堆栈调用

bpx RegCreateKeyExA 对于Delphi程序程序来说，用这个断点比较合适
bp RegCreateKeyExA 对于加了壳的程序

MASM32 / TASM32破解
入口点 :
004011C7 6A 00           push 0
004011C9 E8 5E070000     call 0040192C
004011CE A3 70614000     mov dword ptr ds:[406170],eax
004011D3 6A 00           push 0
004011D5 68 EE114000     push MASM32.004011EE
004011DA 6A 00           push 0
004011DC 68 C8000000     push 0C8
Point-H法
bp GetDlgItem(断按下按钮)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
窗口标题法 bp SetWindowTextA

OD常用断点

1、限制程序功能函数

EnableMenuItem 允许、禁止或变灰指定的菜单条目

EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目（禁止时菜单变灰）

2、对话框函数

CreateDialog 从资源模板建立一非模态对话窗

CreateDialogParam 从资源模板建立一非模态对话窗

CreateDialogIndirect 从内存模板建立一非模态对话窗

CreateDialogIndirectParam 从内存模板建立一非模态对话窗

DialogBox 从资源模板建立一模态对话窗

DialogBoxParam 从资源模板建立一模态对话窗

DialogBoxIndirect 从内存模板建立一模态对话窗

DialogBoxIndirectParam 从内存模板建立一模态对话窗

EndDialog 结束一模态对话窗

MessageBox 显示一信息对话框

MessageBoxEx 显示一信息对话框

MessageBoxIndirect 显示一定制信息对话框

GetDlgItemInt 得指定输入框整数值

GetDlgItemText 得指定输入框输入字符串

GetDlgItemTextA 得指定输入框输入字符串

Hmemcpy 内存复制 （非应用程序直接调用）

3、磁盘处理函数1273?GAMEHK所有–admin?11326

GetDiskFreeSpaceA 获取与一个磁盘的组织有关的信息，以及了解剩余空间的容量

GetDiskFreeSpaceExA 获取与一个磁盘的组织以及剩余空间容量有关的信息

GetDriveTypeA 判断一个磁盘驱动器的类型

GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母

GetFullPathNameA 获取指定文件的详细路径

GetVolumeInformationA 获取与一个磁盘卷有关的信息

GetWindowsDirectoryA 获取Windows目录的完整路径名

GetSystemDirectoryA 取得Windows系统目录（即System目录）的完整路径名

4、文件处理函数

CreateFileA 打开和创建文件、管道、邮槽、通信服务、设备以及控制台

OpenFile 这个函数能执行大量不同的文件操作

ReadFile 从文件中读出数据

ReadFileEx 与ReadFile相似，只是它只能用于异步读操作，并包含了一个完整的回调

WriteFile 将数据写入一个文件

WriteFileEx 与WriteFile类似，只是它只能用于异步写操作，并包括了一个完整的回调

SetFilePointer 在一个文件中设置当前的读写位置

SetEndOfFile 针对一个打开的文件，将当前文件位置设为文件末尾

CloseHandle 关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等

_lcreat 创建一个文件

_lopen 以二进制模式打开指定的文件

_lread 将文件中的数据读入内存缓冲区

_lwrite 将数据从内存缓冲区写入一个文件

_llseek 设置文件中进行读写的当前位置

_lclose 关闭指定的文件

_hread 将文件中的数据读入内存缓冲区

_hwrite 将数据从内存缓冲区写入一个文件

OpenFileMappingA 打开一个现成的文件映射对象

CreateFileMappingA 创建一个新的文件映射对象

MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间

MapViewOfFileEx （内容同上）

CreateDirectoryA 创建一个新目录

CreateDirectoryExA 创建一个新目录

RemoveDirectoryA 删除指定目录

SetCurrentDirectoryA 设置当前目录

MoveFileA 移动文件

DeleteFileA 删除指定文件

CopyFileA 复制文件

CompareFileTime 对比两个文件的时间

SetFileAttributesA 设置文件属性

SetFileTime 设置文件的创建、访问及上次修改时间

FindFirstFileA 根据文件名查找文件

FindNextFileA 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件

FindClose 关闭由FindFirstFile函数创建的一个搜索句柄

SearchPathA 查找指定文件

GetBinaryTypeA 判断文件是否可以执行

GetFileAttributesA 判断指定文件的属性

GetFileSize 判断文件长度

GetFileTime 取得指定文件的时间信息

GetFileType 在给出文件句柄的前提下，判断文件类型

5、注册表处理函数

RegOpenKeyA 打开一个现有的注册表项

RegOpenKeyExA 打开一个现有的注册表项

RegCreateKeyA 在指定的项下创建或打开一个项

RegCreateKeyExA 在指定项下创建新项的更复杂的方式

RegDeleteKeyA 删除现有项下方一个指定的子项

RegDeleteValueA 删除指定项下方的一个值

RegQueryValueA 获取一个项的设置值

RegQueryValueExA 获取一个项的设置值

RegSetValueA 设置指定项或子项的值

RegSetValueExA 设置指定项的值

RegCloseKey 关闭系统注册表中的一个项（或键）

6、时间处理函数

CompareFileTime 比较两文件时间

GetFileTime 得文件建立，最后访问，修改时间

GetLocalTime 得当前本地时间

GetSystemTime 得当前系统时间

GetTickCount 得windows启动至现时毫秒

SetFileTime 设置文件时间

SetLocalTime 设置本地时间

SetSystemTime 设置系统时间

7、进程函数

CreateProcessA 创建一个新进程

ExitProcess 以干净的方式关闭一个进程

FindExecutableA 查找与一个指定文件关联在一起的程序的文件名

FreeLibray 释放指定的动态链库

GetCurrentProcess 获取当前进程的一个伪句柄

GetCurrentProcessId 获取当前进程一个唯一的标识符

GetCurrentThread 获取当前线程的一个伪句柄

GetExitCodeProces 获取一个已结束进程的退出代码

GetExitCodeThread 获取一个已结束线程的退出代码

GetModuleHandleA 获取一个应用程序或动态链接库的模块句柄

GetPriorityClassA 获取特定进程的优先级别

LoadLibraryA 载入指定的动态链接库，并将它映射到当前进程使用的地址空间

LoadLibraryExA 装载指定的动态链接库，并为当前进程把它映射到地址空间

LoadModule 载入一个windows应用程序，并在指定的环境中运行

TerminateProcess 结束一个进程