環境：

Windows Xp sp3

輸入Name和Serial，無錯誤提示。看說明，只有正確時才有提示

OD載入，搜索字符串，發現兩個字符串：

Panel1DblClick和Panel1Click

一個雙擊一個單擊

先跟隨單擊的：

00457B88   . /B87F4500      dd CKme.00457FB8
00457B8C   . |0B            db 0B
00457B8D   . |50 61 6E 65 6>ascii "Panel1Click"
00457B98   . |06            db 06
00457B99   . |54 46 6F 72 6>ascii "TForm1"
00457B9F     |04            db 04

到00457FB8看看：

往下看一看找到這個：

00458031  |.  81BE 0C030000>cmp dword ptr ds:[esi+0x30C],0x85			;這里有個比較
0045803B      75 76         jnz XCKme.004580B3					;不為0就跳，顯然跳到下面那個地方的，所以[esi+0x30C]的值是關鍵
0045803D  |.  33DB          xor ebx,ebx
0045803F  |>  8D55 E4       /lea edx,[local.7]
00458042  |.  8B86 D4020000 |mov eax,dword ptr ds:[esi+0x2D4]
00458048  |.  E8 FBB2FCFF   |call CKme.00423348
0045804D  |.  8B45 E4       |mov eax,[local.7]
00458050  |.  E8 27BBFAFF   |call CKme.00403B7C
00458055  |.  83C0 03       |add eax,0x3
00458058  |.  8D55 E8       |lea edx,[local.6]
0045805B  |.  E8 A4FAFAFF   |call CKme.00407B04
00458060  |.  FF75 E8       |push [local.6]
00458063  |.  8D55 E0       |lea edx,[local.8]
00458066  |.  8B86 D4020000 |mov eax,dword ptr ds:[esi+0x2D4]
0045806C  |.  E8 D7B2FCFF   |call CKme.00423348
00458071  |.  FF75 E0       |push [local.8]
00458074  |.  8D55 DC       |lea edx,[local.9]
00458077  |.  8BC3          |mov eax,ebx
00458079  |.  E8 86FAFAFF   |call CKme.00407B04
0045807E  |.  FF75 DC       |push [local.9]
00458081  |.  8D45 FC       |lea eax,[local.1]
00458084  |.  BA 03000000   |mov edx,0x3
00458089  |.  E8 AEBBFAFF   |call CKme.00403C3C
0045808E  |.  43            |inc ebx
0045808F  |.  83FB 13       |cmp ebx,0x13
00458092  |.^ 75 AB         \jnz XCKme.0045803F
00458094  |.  33D2          xor edx,edx
00458096  |.  8B86 F0020000 mov eax,dword ptr ds:[esi+0x2F0]
0045809C  |.  E8 BFB1FCFF   call CKme.00423260
004580A1  |.  A1 20B84500   mov eax,dword ptr ds:[0x45B820]		
004580A6  |.  83C0 70       add eax,0x70			     ; 這里顯然是成功的地方
004580A9  |.  BA 14814500   mov edx,CKme.00458114                    ;  恭喜恭喜！注冊成功
004580AE  |.  E8 9DB8FAFF   call CKme.00403950
004580B3  |>  33C0          xor eax,eax				     ;這里有個跳轉來到這里，往上看

再往上看一看發現沒有修改過[esi+0x30C]的值

那就去跟隨Panel1DblClick看看，發現了這個：

00457EF5  |.  83BE 0C030000>cmp dword ptr ds:[esi+0x30C],0x3E
00457EFC  |.  75 0A         jnz XCKme.00457F08
00457EFE  |.  C786 0C030000>mov dword ptr ds:[esi+0x30C],0x85
00457F08  |>  33DB          xor ebx,ebx

原來是這里把[esi+0x30C]的值改為0x85的，但是前提是[esi+0x30C]的值要為0x3E

于是下個內存訪問斷點，重新讓程序運行起來，在注冊碼的輸入框中按下回車

跳到這里來了：

00457D2F  |.  8B93 18030000 mov edx,dword ptr ds:[ebx+0x318]			
00457D35  |.  E8 52BFFAFF   call CKme.00403C8C					;猜測這個call是判斷注冊碼的正確性
00457D3A  |.  75 0A         jnz XCKme.00457D46
00457D3C  |.  C783 0C030000>mov dword ptr ds:[ebx+0x30C],0x3E			;這里賦值了0x3E
00457D46  |>  8B83 0C030000 mov eax,dword ptr ds:[ebx+0x30C]
00457D4C  |.  83C0 10       add eax,0x10
00457D4F  |.  8983 FC020000 mov dword ptr ds:[ebx+0x2FC],eax

往上翻一翻：

00457C40  /.  55            push ebp
00457C41  |.  8BEC          mov ebp,esp
00457C43  |.  51            push ecx
00457C44  |.  B9 05000000   mov ecx,0x5
00457C49  |>  6A 00         /push 0x0
00457C4B  |.  6A 00         |push 0x0
00457C4D  |.  49            |dec ecx
00457C4E  |.^ 75 F9         \jnz XCKme.00457C49
00457C50  |.  51            push ecx
00457C51  |.  874D FC       xchg [local.1],ecx
00457C54  |.  53            push ebx
00457C55  |.  56            push esi
00457C56  |.  8BD8          mov ebx,eax
00457C58  |.  33C0          xor eax,eax
00457C5A  |.  55            push ebp
00457C5B  |.  68 3D7E4500   push CKme.00457E3D
00457C60  |.  64:FF30       push dword ptr fs:[eax]
00457C63  |.  64:8920       mov dword ptr fs:[eax],esp
00457C66  |.  8BB3 F8020000 mov esi,dword ptr ds:[ebx+0x2F8]         ;  輸入的Name的長度L
00457C6C  |.  83C6 05       add esi,0x5                              ;  L = L + 5
00457C6F  |.  FFB3 10030000 push dword ptr ds:[ebx+0x310]            ;  [ebx+0x310]是serial的一部分
00457C75  |.  8D55 F8       lea edx,[local.2]
00457C78  |.  8BC6          mov eax,esi
00457C7A  |.  E8 85FEFAFF   call CKme.00407B04                       ;  算出來L存到內容中，L是serial的一部分
00457C7F  |.  FF75 F8       push [local.2]
00457C82  |.  FFB3 14030000 push dword ptr ds:[ebx+0x314]            ;  [ebx+0x314]是serial的一部分
00457C88  |.  8D55 F4       lea edx,[local.3]
00457C8B  |.  8B83 D4020000 mov eax,dword ptr ds:[ebx+0x2D4]
00457C91  |.  E8 B2B6FCFF   call CKme.00423348                       ;  將輸入Name存到內存中，Name是serial的一部分
00457C96  |.  FF75 F4       push [local.3]
00457C99  |.  8D83 18030000 lea eax,dword ptr ds:[ebx+0x318]
00457C9F  |.  BA 04000000   mov edx,0x4
00457CA4  |.  E8 93BFFAFF   call CKme.00403C3C                       ;  用上面4個部分，生成serial
00457CA9  |.  33D2          xor edx,edx

這樣就生成了serial了，[ebx+0x310]和[ebx+0x314]的內容又是從哪里來呢？剛好往上翻一翻就是了：

00457BD0   .  53            push ebx
00457BD1   .  8BD8          mov ebx,eax
00457BD3   .  8D83 10030000 lea eax,dword ptr ds:[ebx+0x310]	     ; 保存到內存的位置
00457BD9   .  BA 187C4500   mov edx,CKme.00457C18                    ;  黑頭Sun Bird
00457BDE   .  E8 6DBDFAFF   call CKme.00403950
00457BE3   .  8D83 14030000 lea eax,dword ptr ds:[ebx+0x314]	     ; 保存到內存的位置
00457BE9   .  BA 307C4500   mov edx,CKme.00457C30                    ;  dseloffc-012-OK
00457BEE   .  E8 5DBDFAFF   call CKme.00403950
00457BF3   .  B2 01         mov dl,0x1
00457BF5   .  8B83 E4020000 mov eax,dword ptr ds:[ebx+0x2E4]
00457BFB   .  E8 60B6FCFF   call CKme.00423260
00457C00   .  B2 01         mov dl,0x1
00457C02   .  8B83 F0020000 mov eax,dword ptr ds:[ebx+0x2F0]
00457C08   .  E8 53B6FCFF   call CKme.00423260
00457C0D   .  5B            pop ebx
00457C0E   .  C3            retn

于是得到：

設：

用戶名長度為 L

L = L + 5

用戶名為N

得：

serial = 黑頭Sun Bird + L + dseloffc-012-OK+N

其中“+”是連接符號，這里只是方便觀察用戶名和serial的關系

用戶名：goodname

serial: 黑頭Sun Bird13dseloffc-012-OKgoodname

可能是環境原因，如果輸入完正確的srial后馬上點3下圖片會顯示成功，如果等待一段時間后再點3下是不能正常顯示的，須在輸入驗證碼的輸入框中按下回車，再點3下圖片才能正常顯示。