x兴照片恢复工具逆向过程

首先用Exeinfo PE查一下壳，如下图


很明显，软件使用的是ASprotect的壳，这壳我没找到什么好的方法脱掉，直接带壳逆向

拖入OD后发现是这个样子，跟以前看到的无壳程序不一样，不要慌，先点击左边圆圈里的按钮，再点击蓝色圆圈里的按钮，会进入如下图所示的窗口

这时候再点击箭头指的地方，按下回车键，发现来到了这里

这时候就可以用下断点了，如下图所示

点击"插件-箭头所在的地方”，出现如下窗口

勾选MessageBoxExA，点击确认，回到程序窗口，点击注册，随便输入一个数，点注册后会发现OD已经成功断下（记得要取消对话框MessageBoxExA断点）


来到“堆栈区”（箭头所指的地方），往上翻，你会发现到一个“返回到”，选中它，按下回车键

往上翻，会发现je，但那个并不是我们要找到（你可以下断试试），继续往上翻

来到这里，看见了字符串，但并没有发现跳转，继续往上翻

来到这里，看到了字符串，但只看见一处大跳转，还是往上跳，故这里不是，继续往上翻

来到这里，但这里有很多跳转，所以我们往上翻到子程序开头，下断点


就像这样，点击运行后（先要把调试程序的对话框点掉，然后点击注册）然后F8单步分析

运行到这里，可以看到jnz变红了，按回车键看看下面是什么

直接跳到了注册失败，不行，不能让它这样，把它nop掉

(选择“用nop填充")
我们继续F8，来到这个call，按一下F7进去看看（如果不进去程序跑飞）

可以看到，这里如果就是关键段了，把它改成这样


F9运行后就注册成功了

因为这个程序加了壳，所以我们要用打补丁的方法，就像这样

至此，逆向成功
后续：
再次打开这个软件的时候，会发现这个软件还是显示着已注册，说明它肯定会查找注册文件，我们来试试能不能找到注册文件
打开“火绒剑”，点击“过滤",按照如下图所示进行设置

点击”开启监控”后打开软件，捕捉到这么多动作

搜索"regflag",会找到一个动作，选中它，右键路径，选择“跳转到”

点击这里，定位到注册表

再右键它，选择导出

试试导出注册表文件能不能使其他电脑上的这个软件注册，结果可以，功能能正常使用
完

我觉得楼主这帖很强！

感谢楼主

感谢楼主

感谢楼主

谢谢分享

谢谢分享

如果楼主能每天都分享一些，那就更好了

谢谢分享

谢谢分享