（三）用于盗版的软件

　　1、动态调试类工具

　　Soft-ICE：使用Soft-ICE可以很容易的跟踪一个软件、或是监视软件产生的错误进行除错，它有DOS、Windows3.1、Windows95/98/NT/2000/各个平台上的版本。这个本是用来对软件进行调试、跟踪、除错的工具，在解密高手手中变成了最恐怖的破解工具。

　　TRW2000：TRW2000是中国人自己编写的调试软件，完全兼容Soft-ICE各条指令，由于现在许多软件能检测Soft-ICE存在，而对TRW2000的检测就差了许多，因此目前它成了解密高手们的最爱。TRW2000专门针对软件破解进行了优化，在Windows下跟踪调试程序，跟踪功能更强；可以设置各种断点，并且断点种类更多；它可以象一些脱壳工具一样完成对加密外壳的去除，自动生成EXE文件，因此它的破解能力更强，在解密者手中对共享软件的威胁更大。它还有在DOS下的版本，名为TR。　　

　　2、静态反汇编工具

　　解密高手常将Soft-ICE和TRW2000比作屠龙刀，而将W32dasm8.93则比作倚天剑。W32dasm8.93可方便地反汇编程序，它能静态分析程序流程，也可动态分析程序。在原有的普通版的基础上，一些调试高手又开发出了W32dasm8.93黄金版，加强了对中文字符串的提取，对国产共享软件的威胁也就更大了。例如开心斗地主这个很好玩的共享软件，用黄金版对其反汇编可以直接看到注册码（开心斗地主的早期版本，普通版不能），您说它厉害不？

　　Hiew是一个十六进制工具，它除了普通十六进制的功能外，它还有个特色，能反汇编文件，并可以用汇编指令修改程序。

　　这两个软件也是解密高手们最常用的静态反汇编工具。

　　也有些解密高手喜欢用IDAProAvanced来进行静态反汇编的，实际上IDA同w32dasm有很多相同的功能：可以快速到达指定的代码位置；可以看到跳到指定的位置的jmp的命令位置；可以看参考字符串；可以保存静态汇编等。

　　为什么要用静态反汇编工具呢？如果汇编基础不够好，或者目标软件跟踪、调试起来太困难（哇，迷路了——怎么走进汇编从林了？！），这时这些静态反汇编工具就发挥作用了。用它们可以直接将软件反汇编（如果是加了壳的要先进行脱壳），从中找到有用的提示信息。

　　3、VisualBasic程序调试工具

　　Smartcheck是专门针对VisualBasic程序的调试软件，由于VB程序执行时从本质上讲是解释执行，它们只是调用VBXXX.DLL（动态链接库）中的函数，因此VB的可执行文件是伪代码，程序都在VBXXX.dll里面执行。若用Soft-ICE跟踪调试只能在动态链接库里面用打转转，看不到有利用价值的东西，而且代码质量不高，结构还很复杂。当然只要了解其特点用Soft-ICE也可破解，但SmartCheck的出现，大大方便了调试高手们。

　　SmartCheck是NuMega公司出品的一款出色的调试解释执行程序的工具，目前最新版是V6.03。它非常容易使用，甚至于不需要懂得汇编语言都能轻易驾驭它。它可将VB程序执行的操作完全记录下来，使解密高手轻而易举的调试跟踪大部分VB程序，从而得到对其有用的东西，如软件的注册码，后门，程序设计流程以及程序缺陷等。

　　OllyDbg：它是一个新的动态追踪工具。OllyDbg运行在Ring3级，所以不能用它来调试系统的0级程序，不过由于Ring3的原因，可以一边调试程序，一边听MP3，这在TRW2000下是不能想像的（至于Soft－ICE中，你可以借助IceDUMP达到目的，不过需要你有ISA声卡）。而且它是典型的视窗界面，对于习惯了菜单和窗口的用户可以很快上手，不必记忆繁琐的命令行，直接显示FPU、MMX、SSE、3DNOW等特殊寄存器。

　　4、Dephi程序调试程序

　　DeDe是专门针对Dephi程序的调试软件，由于Dephi程序反汇编后的可读性不是很强，所以有了此类专门针对Dephi程序的工具。用DeDe调试Dephi程序可以轻松的得到其相关的资源，如窗体，模块信息，单元信息，项目等，从中可以得到木马高手感兴趣的东西，如前所述，如注册码，后门，程序设计流程以及程序缺陷等。一句话，木马高手用DeDe的主要目的就是为了调试木马程序，为己所用。

　　5、十六进制编辑器

　　十六进制编辑器可以用十六进制方式编辑文件，修改文件的内容。虽然Hiew就是一款是十六进制工具，但它是DOS界面，因此很多解密高手又准备了一款Windows下的工具，这样的工具很多，如：UltraEdit、WinHex、HexWorkshop等，其中UltraEdit比较有特色，操作方便，更有汉化版可用。

　　WinHex是一款优秀的、和UltraEdit齐名的16进制文件与磁盘编辑软件。WinHex以文件小、速度快，功能不输于其它的Hex十六进位编辑器，从而得到了ZDNetSoftwareLibrary五颗星最高评价！除了可做Hex与ASCII码编辑修改、多文件寻替换功能、磁盘磁区编辑（支持FAT16、FAT32和NTFS）自动搜寻编辑等功能外，其最具特色的是其自8.3版以后新增的RAM编辑功能！离开了RAM编辑功能WinHex也只能算作一个普通的16进制文件编辑软件，但有了这个功能，使WinHex得以进入优秀16进制编辑软件行列！

　　6、注册表监视工具

　　注册表监视工具主要有RegShot、Regmon或RegSnap等。在微软操作系统中，众多的设置都存放在注册表中，注册表是Windows的核心数据库，表中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的正常运行。在应用软件安装时，有可能将一些必要的信息放进去，如安装时间、使用次数、注册码等，其中也有解密高手们感兴趣的信息。

　　RegShot、Regmon或RegSnap就是监视注册表变化的工具，通过它可以了解、监视应用程序在注册表中的动作，解密高手常利用它们来监视应用软件在注册表中的变化，如在注册表中建立了哪些键值，在哪个位置。如果在运行软件前先运行注册表监视软件，那么它们在注册表中的一举一动都逃不过你的眼睛！

　　7、文件监视工具

　　Filemon是文件监视工具。可监视系统中指定文件运行状况，如指定文件打开了哪个文件，关闭了哪个文件，对哪个文件进行了数据读取等。通过它，任何您指定监控的文件有任何读、写、打开其它文件的操作都能被它监视下来，并提供完整的报告信息。解密高手经常利用Filemon监控文件系统，查看在文件运行后系统中的文件变化情况，如建立了哪个文件，打开并写入了哪些文件，以便窥视木马的一举一动。

　　8、自动脱壳工具

　　现在许多软件都加了壳，使得解密工作较之当初难多了。那么什么是“壳”呢？壳是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。经过加壳的软件在跟踪时已无法看到其真实的十六进制代码，因此可以起到保护软件的目的。大部分的程序加壳是为了防止反跟踪，防止程序被人跟踪调试，防止程序算法被别人静态分析。

　　Procdump就是个对付软件加壳的脱壳工具，它可剥去许多种壳，还文件本来面目，这样再修改文件内容就容易多了。由于它还允许使用者自己编写脚本文件，因此利用它能脱去新版加壳软件的壳。它同时还是一款优秀的PE格式修改工具。解密高手用它来脱去软件的“壳”（好比将甲鱼的壳给扒去了，这样再对付甲鱼就容易多了——宰杀全由他们！），进而再用其它软件来分析它。

　　9、侦测文件类型和入口点工具

　　这样的工具有Typ、FileInfo、Language2000和冲击波2000等。它们被用来侦测软件被加壳类型或程序入口点。其中冲击波2000能轻易的找到任何加密壳的入口点，包括ASProtect以及幻影的加密壳都行；Language2000更是解密高手的称心武器，该软件是用什么软件编制的，用的是什么软件加的壳，只要用Language2000加载运行该软件，就可以一清二楚，明明白白。

　　这类软件一般是配合Procdump和调试软件使用的，用它们找到程序加壳类型和入口点，用Procdump或Soft-ICE、Trw2000脱壳。解密高手用这类软件的目的是为了了解木马是用什么软件加的“壳”，用什么软件编制的程序，为脱壳和用相应的软件跟踪调试做准备。

　　10、手动脱壳（加）工具

　　解密高手用加壳工具干什么？当然是用来脱壳和加壳了。一方面可以用加壳软件给软件脱壳（一般说来，用什么软件加的壳就可以用什么软件脱壳，当然最好版本相同。当然也有例外，如ASPack、PECompact等就没有内建解压缩功能，所以就不能解自己压缩的壳。）；另一方面解密高手要发布自己的作品，为减少文件体积便于上传，或出于保护自己的作品等考虑，他们也需要给自己的作品加壳。现在网上有很多专门的加壳程序可供给软件加壳。

　　如果你对加壳的概念还有些含糊，在这里我们再提提它。加壳，其实就是给可执行文件加上个外衣。用户执行的只是这个外壳程序，也就是当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后以后的工作就交给真正的程序了。所以，这些工作只是在内存中运行，而我们是无法知道程序具体是怎么样在内存中运行的。

　　11、资源修改工具

　　eXeScope是一个可以修改软件资源的工具，功能强大。eXeScope能在没有资源文件的情况下分析、显示不同的信息，重写可执行文件的资源，包括EXE，DLL，OCX等文件的资源它都可以修改编辑。它可以直接修改用VC++及DELPHI编制的程序的资源，包括菜单、对话框、字串表等，是汉化软件的常用工具。在解密高手手中，它常被用来修改文件资源中的菜单、对话框、字串表等，用以显示他所需要的信息，例如更改版本号、版权信息等。

　　12、API调用查询工具

　　顾名思义，这个程序是用来侦测软件都调用了哪些API。API就是Windows程序执行时所呼叫的函数，跟DOS下的INT(中断)差不多，Windows提供了很多这样的函数让程序设计者套用，主要目的是为了节省软件开发的时间，方便大家开发软件。APISpy就是这样一个监控API调用的软件，可以工作在Windows95/98/NT/2000平台下。它可以查看应用程序调用了哪些API，从而得出对解密高手有用的API调用信息，通过这些API调用来设定断点，进而一步一步达到调试软件的目的。　　

　　13、注册机制作工具

　　何为注册机？注册机就是针对某一软件，通过一定算法算出注册码的程序。CrackCode可以从另一进程的内存中取出你想要的注册码，有了它，很多软件可以用二十秒时间写出注册机来。令人惊奇的是用CrackCode制作的“注册机”在运行后，可以让注册码自己跳出来，直接显示在屏幕上！

点这里回到文章导读>>>　　点这里进入文章论坛>>>