OllyDBG 入门系列（二）－字串参考

核心提示： 根据上面的分析，我们知道用户名必须是“RegisteredUser”，OllyDBG 入门系列（二）－字串参考(8)，我们按F9键让程序运行，出现错误对话框，在OllyDBG中按F9键让程序运行，输入我们经分析得出的内容：用户名：RegisteredUser注册码：GFX

根据上面的分析，我们知道用户名必须是“Registered　User”。我们按　F9　键让程序运行，出现错误对话框，点确定，重新在第一个编辑框中输入“Registered　User”，再次点击那个“Register　now　!”按钮，被　OllyDBG　拦下。因为地址　00440F34　处的那个　CALL　我们已经分析清楚了，这次就不用再按　F7　键跟进去了，直接按　F8　键通过。我们一路按　F8　键，来到第二个关键代码处：

00440F49　|.　8B45　FC　　　　　　　　　MOV　EAX,DWORD　PTR　SS:[EBP-4]　　　　　　　　　;　取输入的注册码
00440F4C　|.　BA　2C104400　　　　　MOV　EDX,CrackMe3.0044102C　　　　　　　　　　　　;　ASCII　"GFX-754-IER-954"
00440F51　|.　E8　D62BFCFF　　　　　CALL　CrackMe3.00403B2C　　　　　　　　　　　　　　　;　关键，要用F7跟进去
00440F56　|.　75　1A　　　　　　　　　　　JNZ　SHORT　CrackMe3.00440F72　　　　　　　　　　;　这里跳走就完蛋

大家注意看一下，地址　00440F51　处的　CALL　CrackMe3.00403B2C　和上面我们分析的地址　00440F34　处的　CALL　CrackMe3.00403B2C　是不是汇编指令都一样啊？这说明检测用户名和注册码是用的同一个子程序。而这个子程序　CALL　我们在上面已经分析过了。我们执行到现在可以很容易得出结论，这个　CALL　也就是把我们输入的注册码与　00440F4C　地址处指令后的“GFX- 754-IER-954”作比较，相等则　OK。好了，我们已经得到足够的信息了。现在我们在菜单　查看->断点　上点击一下，打开断点窗口（也可以通过组合键　ALT+B　或点击工具栏上那个“B”图标打开断点窗口）：

为什么要做这一步，而不是把这个断点删除呢？这里主要是为了保险一点，万一分析错误，我们还要接着分析，要是把断点删除了就要做一些重复工作了。还是先禁用一下，如果经过实际验证证明我们的分析是正确的，再删不迟。现在我们把断点禁用，在　OllyDBG　中按　F9　键让程序运行。输入我们经分析得出的内容：

用户名：Registered　User

注册码：GFX-754-IER-954

点击“Register　now　!”按钮，呵呵，终于成功了：

编缉推荐阅读以下文章

• OllyDBG 入门系列（五）－消息断点及 RUN 跟踪
• OllyDBG 入门系列（四）－内存断点
• OllyDBG 入门系列（三）－函数参考
• OllyDBG 入门系列（一）－认识OllyDBG