近日在家学习破解。黑鹰的教程。感觉很好：下面是一点经验：

vc的程序入口特征：

push ebp
mov ebp,esp
push -1
push 49A4A8
push 4363B8
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
sub esp,58
push ebx
push esi
push edi                           
mov dword ptr ss:[ebp-18],esp

大概是push后面的数值会变。其他基本不会变。vc完了

初级,修改程序,用ultraedit等工具修改exe文件,称暴力破解,简称爆破
中级,追注册码
高级,写注册机
 
先说这爆破。所谓爆破，就是指通过修改可执行文件的源文件，来达到相应的目的。
举个例子好了，比如说某共享软件，它比较用户输入的注册码，如果用户输入的，跟它通过用户名（或其它）算出来的注册码相等的话（也就是说用户输入的注册码正确了），那么它就会跳到注册成功的地方去，否则就跳到出错的地方去。

常见的修改方法有两种，我给你举例说明：
no.1
在某软件中，这样来进行注册：
00451239 CALL 00405E02  (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JZ 004572E6   (!!!<--此为关键跳转，如果用户输入的注册码正确，就跳向成功处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册失败
...提示用户注册码不正确等相关信息
...
004572E6 ...  <--(注册成功处!!!)
...提示用户注册成功等相关信息

在软件执行到00451239处的时候，CALL置0045E02处来进行注册码判断。接着回来后就来一个跳转语句，即如果用户输入的注册码正确就跳到004572E6处，跳到此处，就算是注册成功了。如果用户输入的注册码不正确的话，那么就不会在0045123D处进行跳转，而一直执行下去。在下面等它的，是注册失败部分。

我们只要把那个关键跳转JZ给改为JNZ(如果用户输入的注册码错误，就注册成功，输入正确则注册失败)。当然你也可以将JNZ修改为Jmp，这样的话，你输入的注册码无论正确与否。都可以注册成功。

no.2
我们再来讲一下另外的一种情况：
00451239 CALL 00405E02  (关键CALL，用来判断用户输入的注册码是否正确)
0045123D JNZ 004572E6   (!!!<--此为关键跳转，如果用户输入的注册码不正确，就跳向失败处，即004572E6处)
0045XXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX YYYYYYYYYY
XXXXXXXX 执行到此处，就提示用户注册成功
...提示用户注册成功等相关信息
...
004572E6 ...  <--(注册失败处!!!)
...提示用户注册码不正确等相关信息

它与第一种不同的，就是第一种情况是如果注册码正确，就跳到注册成功处，如果没有跳走，就会执行到失败处。而这一种情况则是如果注册码不正确，就跳到注册失败处，否则将执行到注册成功处。
这种情况的修改，除了把JNZ改为JZ外，还可以将其改为Nop，Nop这个指令没有任何意义，将该条指令修改为Nop后，便可随意输入注册码来进行注册了。
原理以经给你讲了，下面我们再来讲一下具体的修改办法吧。（我假设你以经明白了我所说的工具的使用方法）

先说一下虚拟地址和偏移量转换的问题，在SoftICE和W32Dasm下显示的地址值是所谓的内存地址（memory offset），或称之为虚拟地址（Virual Address，VA）。而十六进制工具里，如：Hiew、Hex Workshop等显示的地址就是文件地址，称之为偏移量（File offset) 或物理地址(RAW offset)。
所以当我们要通过那些十六进制工具来对可执行文件中的相应指令进行修改的话，先要找到它的File offset。我们没有必要去使用那些专门的转换工具，在W32Dasm中就有这个功能，比如说你W32Dasm中来到0045123D处，在W32Dasm界面下方的状态栏中就会出现该条指令的虚拟地址和偏移地址，即@:0045123D @offset 0005063Dh 后面的这个0005063Dh就是相应的偏移地址。我们得到该地址后，便可用UltraEdit等十六进制工具来对可执行文件进行修改了。比如使用UltraEdit，你先用UltraEdit打开该可执行文件，然后按Ctrl+G，接着输入你得到的偏移地址，就可以来到其相应的机器码处。
再给你讲一下机器码，所谓的机器码。就是你看到的那些个十六进制数据了。

以下这几个是爆破时要用到的，其它的如果感兴趣，可自行查看相关资料：
JZ/JE=74;JNZ/JNE=75;JMP=EB;Nop=90

爆破的时候，只要对以上机器码进行相应的修改就行了，比如第一种情况的时候，可以将74修改为EB，即将JZ修改为JMP。而第二种情况，责需将75修改为90，即将JNZ修改为Nop。

no.1
mov  eax [      ]  这里可以是地址，也可以是其它寄存器
mov  edx [      ]  同上，该条指令也可以是pop edx
call 00??????   关键call
test eax eax      
jz(jnz)或jne(je)  关键跳转
看明白了吧，在关键CALL之前，软件会把两个注册码分别放入eax和edx中，你只要在CALL处下d eax或d edx就能看到正确的注册码了。
no.2
mov  eax [      ]  这里可以是地址，也可以是其它寄存器
mov  edx [      ]  同上，该条指令也可以是pop edx
call 00??????   关键call
jne(je)         关键跳转
以上两种情况最为常见，而那些个不太常见的情况，我后面会提到。

----------------------------------------------------------------------

自己调试的Delphi的程序。基本的入口点

0044FE34 >  55               push ebp

0044FE35    8BEC             mov ebp,esp

0044FE37    83C4 F0          add esp,-10

0044FE3A    B8 54FC4400      mov eax,Project1.0044FC54

0044FE3F    E8 F05DFBFF      call Project1.00405C34

0044FE44    A1 E40F4500      mov eax,dword ptr ds:[450FE4]

0044FE49    8B00             mov eax,dword ptr ds:[eax]

0044FE4B    E8 7CE0FFFF      call Project1.0044DECC

-----------------------------------------------

破解的思路大致是

1、找错误提示。。。。分析

2、最常用的方法是下相应的断点

常见断点设置

字符串

bp GetDlgItemTextA(W) ****

bp GetDlgItemInt

bp GetWindowTextA(W) ****

bp GetWindowWord

bmsg XXXX wm_gettext

对话框

bp MessageBeep

bp MessageBoxA(W) ****

bp MessageBoxExA(W)

bp DialogBoxParamA(W)

bp GreateWindowExA(W)

bp ShowWindow

bp UpdateWindow

bmsg XXXX wm_command

对于VB的程序用bp MessageBoxA是无法断下来的，bp rtcMsgBox

注册表相关

bp RegCreateKeyA(W)

bp RegDeleteKeyA(W)

bp RegQueryValueA(W)

bp RegCloseKey

bp RegOpenKeyA(W) ****

时间相关

bp GetLocalTime

bp GetFileTime

bp GetSystemtime

INI初始化文件相关

bp GetPrivateProfileStringA  ****//xor eax,eax--->or eax,eax

bp GetPrivateProfileInt

bp WritePrivateProfileString

bp WritePrivateProfileInt

文件访问相关

bp ReadFile

bp WriteFile

bp CreateFileA  ****

bp SetFilePointer

bp GetSystemDirectory