这一篇中偶们主要讲下API字串参考和和内存断点。这个上篇主要讲述API函数参考。有一点需要指出，破解是调试游戏程序的基础，其中涵盖了OD的使用方法。上一篇文章的字串参考，不仅是出错字串查找，不仅仅是注册破解的时候能用到，你可以给它扩展，应用到游戏调试里边。这一篇讲的APi函数参考，也不仅是注册时候能用的到，也可以应用到其他方面。具体的偶也不清楚，偶也是菜鸟，现学现卖而已。入正题，引入原作者的例子：一个名称为 CrackHead 的crackme，附件已上传，无壳。老规矩，先运行一下这个程序看看：夷，竟然没找到输入注册码的地方！别急，我们点一下程序上的那个菜单“Shit”（真是 Shit 啊，呵呵），在下拉菜单中选“Try It”，会来到一个对话框。我们点一下那个“Check It”按钮试一下，哦，竟然没反应！我再输个“78787878”试试，还是没反应。再试试输入字母或其它字符，输不进去。由此判断注册码应该都是数字，只有输入正确的注册码才有动静。用 PEiD 检测一下，结果为 MASM32 / TASM32，怪不得程序比较小。信息收集的差不多了，现在关掉这个程序，我们用 OllyDBG 载入，按 F9 键直接让它运行起来。再一次，Shit-->Try It，出现个上边的对话框。先不要点那个“Check It”按钮，保持原状态。现在我们没有什么字串好参考了，我们就在 API 函数上下断点，来让被调试程序中断在我们希望的地方。我们在 OllyDBG 的反汇编窗口中右击鼠标，在弹出菜单中选择 查找->当前模块中的名称 (标签)，或者我们通过按 CTR+N 组合键也可以达到同样的效果（注意在进行此操作时要在  OllyDBG 中保证是在当前被调试程序的领空，我在第一篇中已经介绍了领空的概念，如我这里调试这个程序时 OllyDBG 的标题栏显示的就是 “[CPU - 主线程, 模块 - CrackHea]”，这表明我们当前在被调试程序的领空）。通过上面的操作后会弹出一个对话框，名称为  名称位于CrackHea的对话框。对于这样的编辑框中输注册码的程序我们要设断点首选的 API 函数就是 GetDlgItemText 及 GetWindowText。每个函数都有两个版本，一个是  ASCII 版，在函数后添加一个 A 表示，如 GetDlgItemTextA，另一个是 UNICODE 版，在函数后添加一个 W 表示。如  GetDlgItemTextW。对于编译为 UNCODE 版的程序可能在 Win98 下不能运行，因为 Win98并非是完全支持 UNICODE 的系统。而 NT 系统则从底层支持 UNICODE，它可以在操作系统内对字串进行转换，同时支持 ASCII 和  UNICODE 版本函数的调用。一般我们打开的程序看到的调用都是 ASCII 类型的函数，以“A”结尾。又跑题了，呵呵。现在回到我们调试的程序上来，我们现在就是要找一下我们调试的程序有没有调用 GetDlgItemTextA 或 GetWindowTextA 函数。如果调用了就在这儿设断，那么这个断点的附近肯定提供了正确注册码的相关算法。偶们在这个对话框中敲GetW,还好，找到一个 GetWindowTextA。在这个函数上右击，在弹出菜单上选择“在每个参考上设置断点”，我们会在 OllyDBG 窗口最下面的那个状态栏里看到“已设置 2 个断点”。另一种方法就是那个 GetWindowTextA 函数上右击，在弹出菜单上选择“查找输入函数参考”（或者按回车键），将会出现一个名为“参考位于CrackHea:.text到USER32.GetWindowTextA”的对话框。对话框中显示出2条断点。我们可以把两条都设上断点。这个程序只需在第一条指令设断点就可以了。好，我们现在按前面提到的第一条方法，就是“在每个参考上设置断点”，这样上图中的两条指令都会设上断点。断点设好后我们转到我们调试的程序上来，现在我们在被我们调试的程序上点击那个“Check It”按钮，被 OllyDBG 断下。为什么要设GetWindowTextA断点呢？因为你填入注册码可能调用了这个API，实际上他调用的也是这个
GetWindowTextA。下面提供断点处的相关代码：
00401323 |. E8 4C010000         CALL <JMP.&USER32.GetWindowTextA>           ; GetWindowTextA
00401328 |. E8 A5000000         CALL CrackHea.004013D2                      ; 关键，要按F7键跟进去
0040132D |. 3BC6                CMP EAX,ESI                                 ; 比较
0040132F |. 75 42               JNZ SHORT CrackHea.00401373                 ; 不等则完蛋
00401331 |. EB 2C               JMP SHORT CrackHea.0040135F
00401333 |. 4E 6F 77 20 7>      ASCII "Now write a keyg"
00401343 |. 65 6E 20 61 6>      ASCII "en and tut and y"
00401353 |. 6F 75 27 72 6>      ASCII "ou're done.",0
0040135F |> 6A 00               PUSH 0                                      ; Style = MB_OK|MB_APPLMODAL
00401361 |. 68 0F304000         PUSH CrackHea.0040300F                      ; Title = "Crudd's Crack Head"
00401366 |. 68 33134000         PUSH CrackHea.00401333                      ; Text = "Now write a keygen and tut and you're done."
0040136B |. FF75 08             PUSH DWORD PTR SS:[EBP+8]                   ; hOwner
0040136E |. E8 19010000         CALL <JMP.&USER32.MessageBoxA>              ; MessageBoxA
看00401361 |. 68 0F304000         PUSH CrackHea.0040300F                      ; Title = "Crudd's Crack Head"
00401366 |. 68 33134000         PUSH CrackHea.00401333                      ; Text = "Now write a keygen and tut and you're done."
0040136B |. FF75 08             PUSH DWORD PTR SS:[EBP+8]                   ; hOwner
0040136E |. E8 19010000         CALL <JMP.&USER32.MessageBoxA>              ; MessageBoxA
只有注册码填入正确才会出现成功提示。那么这4句代码的注释怎么得来的，看：
00401333 |. 4E 6F 77 20 7>      ASCII "Now write a keyg"
00401343 |. 65 6E 20 61 6>      ASCII "en and tut and y"
00401353 |. 6F 75 27 72 6>      ASCII "ou're done.",0
这个是成功提示框的内容，再自己找找看，就会清楚00401361 |. 68 0F304000         PUSH CrackHea.0040300F                      ; Title = "Crudd's Crack Head"
这个是标题。这个0040136B |. FF75 08             PUSH DWORD PTR SS:[EBP+8]                   ; hOwner 偶不太清楚，可能是将前2句指令的内容入栈吧。请教高手指点迷津。这一句0040136E |. E8 19010000         CALL <JMP.&USER32.MessageBoxA>              ; MessageBoxA 是调用成功提示对话框。由此可以看出0040132F |. 75 42               JNZ SHORT CrackHea.00401373                 ; 不等则完蛋
有一点需要注意，只有点“Check It”按钮，这个GetWindowTextA才真正被调用了。好了今天就到这里，米时间了。不足之处请各位大虾指点。这个上篇还米完，改天再叙。附件先传上去。