所谓暴力破解，就是通过修改汇编代码进而控制程序的运行流程，达到不需注册码也能正常使用软件的目的。相对于解出算法进而编写注册机，暴破的技术含量是比较低的。但也正是因为一本05年的杂志上介绍“暴力破解”的文章，让我入了这个大坑。近来想重拾调试器，就先从最简单的CrackMe入手，熟练一下各工具方法。

下载CrackMe3文件（我用的是看雪《加密与解密》中的CFF CrackMe #3 程序  http://pan.baidu.com/s/1dD9v9x3 ）。

1.查看此程序是否加壳。加壳的话还得进行脱壳处理。将CrackMe拖到PEID上，显示用Delphi编写。无壳，甚好。

3.打开程序，看看注册码出现异常的时候有何提示。恩，输入错误的注册码，确认。显示了“Wrong Serial,try again!”。我们记下这一串字符，接下来用得到。

4.退出程序，打开OllyDbg，并载入此程序。（当年用的是W32Dasm，属于静态反汇编软件，支持WIN API，具有强大的串式参考功能。因此成为破解入门软件的最佳选择。这次用OllyDbg实施爆破，只是复习一下操作。爆破原理都是相同的）下图是OllyICE，是OllyDbg的汉化版。也一样好用。

载入程序后，出现如下界面：

title上面的“模块 — crackme3”标明了程序领空，我们当前是在crackme的代码内。

5.我们在反汇编窗口“右键——查找——所有参考文本字符串”：

然后会弹出一个文本字符串的对话框，继续“右键——查找文本”：

 然后会弹出对话框，输入前面记下来的那串“Wrong Serial,try again!”。其实为了方便，可以只输入“Wrong”这个字符串，毕竟程序里带“Wrong”的字符不会太多，如下图：

点击“确定”后，会高亮查找结果，此时在对应字符串处“右键——反汇编窗口中跟随”，会在反汇编窗口中跳到对应此串字符的汇编指令：

看到上图的指令，分析一下程序流程：输入ID和注册码后，call调用子函数来判断注册码是否正确（00440F51处，call 00403B2C处的子函数），如果不正确，一个jnz跳到00440F72，弹出“Wrong Serial ，try again！”，提醒说你丫注册码是错的。

为了验证我们的想法，我们在call的前面按F2下个断点，然后一步步跟进，看看call了个什么函数过来：

 然后F9让程序跑起来，输入假的ID “wwwwww” ，按下“注册”。此时程序自然要去call子函数来验证我们的注册码是否正确。可惜它还没走到call的那一步，就停在了我们设的断点上（可以看到信息窗口中的堆栈内容“wwwww”，不知会不会存在缓冲区溢出？XD）：

然后按下几次F8单步步过，直到了00440F34 call指令，程序就要召唤子程序来检验注册码是否正确了！此时改为F7单步步入，跟踪到所call的函数（如图，此函数地址在00403B2C处）：

跟进去之后，这就是用来验证注册码的程序（从 三个push压入堆栈 开始，到 三个pop弹出堆栈+retn 结束）：

从代码中可以发现，程序将输入的注册码与内置的注册码用cmp指令做了比较。（cmp指令执行后，将对标志寄存器ZF产生影响。比如 CMP AX , BX ，当AX=BX时，ZF=1；AX！=BX时，ZF=0。）

也就是说，如果注册码与输入的字符串不相等，ZF=0。此时子程序返回，执行00440F39处的JNZ指令。因为输入的注册码不对，ZF=0，开始执行JNZ，跳转到00440F8C，弹出“Wrong Serial”对话框提示注册码错误。

这就是传说中的“关键跳”，如果将JNZ（ZF=0时就跳转）改为JE（ZF=1时就跳转），得到的结果就会正好相反，即错误的注册码反而会提示注册成功，对的注册码反而会提示错误。

6.那么现在找出那两个“关键跳”（输入ID时call了一下，然后一个jnz。输入注册码时又call了一下，再一个jnz。），如下图：

好，现在只剩下修改汇编代码了。双击对应的JNZ指令，弹出“汇编于此处”的对话框。将只需将“jnz”改为“je”，点击“汇编”即可。用同样的方法修改另一处“jnz”：

修改完毕，“右键——复制到可执行文件——所有修改“：

在弹出的对话框中点击“全部复制”：

然后在出现的新对话框中“右键——保存文件”，完毕。

此时打开新保存的文件，随意输入一个ID和注册码，点击“注册”，即弹出“注册成功”的对话框：

小结：本次主要是重温了OllyDbg的操作。爆破无外乎就是改变程序的验证流程，譬如将关键处的jne改为je，或者jmp，比较不优雅。更优雅的是揣摩出程序作者的验证算法，写出内存补丁或者注册机，这才是高大上的方法。无奈算法一类的是我的软肋，仍需努力啊。