第四课 W32DASM介绍
一、静态分析
欲破解一软件，首先应该先用用这个软件，了解一下功能是否有限制，最好阅读一下软件的说明或手册,特别是自己所关心的注册部分的使用说明，这样也许能够找到点线索。
所谓静态分析即从反汇编出来的程序清单上分析。从提示信息入手进行分析.
目前，大多数软件在设计时，都采用了人机对话方式。所谓人机对话，即在软件运行过程中，需要由用户选择的地方，软件即显示相应的提示信息，并等待用户按键选择。而在执行完某一段程序之后，便显示一串提示信息，以反映该段程序运行后的状态，是正常运行，还是出现错误，或者提示用户进行下一步工作的帮助信息。为此，如果我们对静态反汇编出来的程序清单进行阅读，可了解软件的编程思路，以便顺利破解。
人机对话方式给破解带来了方便.

二、W32DASM介绍
crack时常用的静态分析工具是W32DASM.W32DASM目前是8.93版.
大家要用的是W32DASM黄金版中文版,功能强,能完美显示中文
下载 :我主页的破解工具栏目
pw32dasmgold能很方便地反汇编程序，它主要用于静态分析软件,不要用它作动态分析。其使用也很简单，参照后面的范例很快就能掌握。


写破解教程必看------这里只介绍一下如何截取W32DASM部分代码，这样方便写破解心得。
你将鼠标移到W32DASM最左边，点一下，将有一红点出现，再按住shift键，移到你需要的下一行，再按鼠标一下，将选中一段，按CTRL＋C复制，CTRL＋V粘贴到你的记事本或其它编辑处。

三、 实际修改地址(偏移地址)和行地址(虚拟地址)
pw32dasmgold反汇编出来的代码由三列组成
第一列 行地址(虚拟地址)
第二列 机器码(最终修改时用ultraedit修改)
第三列 汇编指令

  第一列 第二列 第三列
:0041BE38 2B45F0 sub eax, dword ptr [ebp-10]
:0041BE3B 6A42 push 00000042
:0041BE3D 50 push eax
:0041BE3E FF75F4 push [ebp-0C]
:0041BE41 FF75F0 push [ebp-10]
:0041BE44 FF35A8AB4400 push dword ptr [0044ABA8]
:0041BE4A FFD7 call edi
:0041BE4C 8345F443 add dword ptr [ebp-0C], 00000043
:0041BE50 391D78AB4400 cmp dword ptr [0044AB78], ebx
:0041BE56 0F84F5000000 je 0041BF51


在W32DASM下将绿色的光条移到某一行代码上 , 在窗口底部可看到
例如@:00461456 @:Offset 00060856h
第一个@指示行地址(虚拟地址),@00461456 与W32DASM光条所在行的第一列相同
第二个@指示实际修改地址(偏移地址) , @Offset 00060856h h表示十六进制
offset的英文意思是偏移

****破解程序的最后一步(注意:修改程序时必须确保程序已脱壳):
用ultraedit找到实际修改地址(偏移地址),修改机器码,从而完成exe文件的修改
方法:打开欲修改的文件,敲入ctrl-g,0x偏移地址(如上面的敲入0x60856),即可到达实际修改地址
四.pw32dasmgold的使用
1."反汇编"菜单下的"打开文件"打开可执行文件,如aa.exe即可


注意:可执行文件不能有壳,切记!!
若有壳,参照第1,2课脱壳
2."参考"菜单中的"串式参考",出现一个新的窗口,使其变小,刚好位于pw32dasmgold主窗口的前面


找到其中的某一条目,双击鼠标左键,你会看到主窗口的绿色光条会移到某一行上
多次反复双击,看绿色光条一共会移到哪几行,有时只有1行,有时有很多行
3.pw32dasmgold只要会用这两个地方就可以了,其他的不用掌握