reverse-tutorial

shark-恒：

爆破、找注册码、去nag、窗口暂停、修改标题、ESP脱壳、IMPrec修复、BP ExitProcess、外挂、灰色按钮、查找字符串、程序领口暂停K查看调用、ESP断点

r4dom:

codecave ：添加对话框、添加菜单栏、让一个窗口无法关闭（registerclass，destroywindow)、trap window message（WndProc、DlgProc)、通过dll注入添加消息框、利用call stack和resource hack定位nag、True Bruteforcing、注册表时间限制、patchers

VB程序:

不能使用call-stack，不能使用strings，no helpful strings， no recognizable API calls，VB Decompiler、vbaStrCmp、main callback。110（WM_INITDIALOG)

反调试：UDD file、代码混淆、控制流混淆、自编码、Windows api（IsDebuggerPresent、GetTickCount、checkBreakpoint、ZwQuerySystemInformation)、模糊预测、垃圾代码，change "jmp" to "push xxx;ret"会让IDA分析困难。Manually Loading Imports.

步骤：search strings -> search internal calls -> looking for suspicious call

添加区段：CCF add section -> make it executable

TLS: 64个DWORD，tls代码在主程序之前运行，当程序一加载进od就终止了说明有tls

调试：消息断点、条件断点

实战：

1：全能上网计时器(注册破解），unicode搜索（UNREG,LINCENSE)