绿色静态反编辑c32asmc32asm静态反汇编工具的教程

c32asm静态反汇编工具的教程 C32ASM静态反汇编工具功能概述 C32Asm现具有如下功能： · 快速静态反汇编PE格式文件(Exe、Dll等) · 提供Hex文件编辑功能，功能强大 · 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能 · 提供内存反汇编功能，提供汇编语句直接修改功能，免去OPCode的直接操作的繁琐 · 提供反汇编语句彩色语法功能，方便阅读分析，能方便自定义语法色彩 · 提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示 · 提供方便的跳转、调用目标地址的代码显示 · 提供汇编语句逐字节分析功能，有助于分析花指令等干扰代码 · 提供对ord调用和非ord调用的import自定义解析功能 · 提供PE文件格式的分析显示功能 · 提供文件拖放功能，直接可以进行文件反汇编或编辑 · 提供主文件命令行模式，方便加入右键菜单进行快速的文件操作 · 提供快速书签定位，多行代码复制，代码注释功能 ASM模式功能介绍 软件最基本的功能就是提供快速的PE格式反汇编 此外还有： 提供输入表、输出表、参考字符、跳转、调用、PE文件分析等显示和导出； 提供反汇编语句彩色语法功能，方便阅读分析，能方便自定义语法色彩； 提供对ord调用和非ord调用的import自定义解析功能； 提供方便的跳转、调用目标地址的代码显示； 提供代码查找，快速定位； 提供书签定位，代码注释，代码复制 等等多项实用功能。 菜单说明 文件菜单 打开文件进行反汇编(O)... Ctrl+O 打开PE格式文件进行反汇编 新建十六进制文件(N) 新建一个十六进制文件 打开十六进制文件(C) 打开一个十六进制文件 关闭(C) 关闭当前编辑的文件 保存(S) Ctrl+S 保存现在编辑的文件 另存为(A).. 复制保存一份现在编辑的文件 导出TXT文件(T) 以TXT文本格式保存一份当前编辑的ASM文件 清除最近文件列表 清除"最近打开"列表中的记录,以文件列表数1/2的数量,按时间从旧到新顺序清除. 最近打开的反汇编文件 列出最近打开的反汇编文件列表名，数量可以自己设定 最近打开的十六进制文件 列出最近打开的十六进制文件列表名，数量可以自己设定 打印(P) Ctrl+P 打印当前ASM文件内容 打印预览(V) 打印预览当前ASM文件内容 打印设置(U) 设置打印格式 退出(X) 退出C32ASM程序 菜单说明 编辑菜单 拷贝(C) 拷贝方式 一种普通拷贝方式和三种自定义拷贝方式 自定义见HEX编辑配置说明 添加注释(M) Ctrl+D 呼出注释对话框写入注释语句,自动生成"注释 - 地址",在ASM处显示 ";注释信息" 跳转(J) Ctrl+J 当光标停在可以跳转(JUMP)的语句上时,地址内容框内出现目标地址的内容,目标地址加亮 此时就可以跳转到目标地址 返回跳转(R) Ctrl+Shift+J 当跳转完成后,"调用显示"对话框就可显示出,跳转的出处,此时可以返回跳转, 或者在"调用显示"处,单击显示跳转的出处,双击返回跳转的出处. 调用(A) Ctrl+L 当光标停在可以调用(Call)的语句上时,地址内容框内出现目标地址的内容,目标地址加亮 此时就可以跳转到目标地址 返回调用(E) Ctrl+Shift+L 当跳转完成后,"调用显示"对话框就可显示出,调用的出处,此时可以返回跳转, 或者在"调用显示"处,单击选择显示跳转的出处,双击返回跳转的出处. 一键跳 Ctrl+Right 在CALL 直接地址 / JMP 直接地址 处使用一键跳,快速到位, 使用"一键返回"快速回到原来的跳跃起点 一键返回 Ctrl+Left 在使用了"一键跳"后定位到目标地址,想快速返回源起跳地址的话使用"一键返回" 对应Hex编辑(H) 在Hex模式上显示对应于ASM命令的Hex值 这时就可以方便的修改Hex值,不用计算定位EIP的位置 结合"汇编代码查询"工具,可以方便的编辑命令,而不用查手册 使用Unicode分析字符串(U) 支持Unicode的字符串显示 如果PE文件是支持Unicode显示的(比如VB等),那么在使用显示字符串功能后, 再使用此功能,就可以增加显示Unicode的字符串显示 搜索菜单 搜索(F) Ctrl+F 弹出搜索对话框（具体说明请看Hex查找功能说明） 搜索下一个(N) F3 往下搜索数据 搜索上一个(P) F3 往上搜索数据 书签(M) F9 把数据的位置记下来,方便快速 上一个书签(E) 快速定位到上一个书签 下一个书签(K) 快速定位到下一个书签 上一次位置(B) Alt+Z 回到上一次的编辑位置 此功能只记忆鼠标动作和跳转动作的位置改变，不记忆键盘动作 下一次位置(F) Alt+X 跳到下一次的编辑位置 此功能只记忆鼠标动作和跳转动作的位置改变，不记忆键盘动作 查看菜单 工具条(T) 包括是否显示标准工具栏和自定义...(注册用户才能使用自定义) 状态条(S) 是否显示状态条 语法高亮管理(S) 用于多种语法高亮模式的管理 可以通过增加、编辑.Keyword目录下 的XML文件,调整语法显示模式 选中你想显示的模式然后双击,关掉管理窗口,看效果吧:) 上方的小按钮用来刷新Keyword目录下的语法高亮文件列表 要想使用自己的,请自行编辑Keyword 的XML文件,或者使用简易编辑器,编辑语法文件 Hex编辑(H) Ctrl+H 打开当前文件的Hex模式 输入表(I) Ctrl+I 显示当前文件的输入表 INCLUDEPICTURE "http://www.helplib.net/help/fb7483fce3df30163f3d5be1b041f576" \* MERGEFORMATINET 显示输入表的树型结构,双击地址快速在ASM定位 可以对在Symbol下的文件进行自定义DLL的解析, 详情请参考"关于解析符号"-"2.对于非ord解析的函数" 点击右键可以将输入表信息导出为TXT文件 输出表(E) Ctrl+E 显示当前文件的输出表 显示输出表的树型结构,双击地址快速在ASM定位 单击右键可以将输出表导出为TXT文件 字符串(R) Ctrl+K 显示当前文件的字符串参考信息 显示字符串的树型结构 ,功能分别是查找/自动智能提示/大小写敏感/收缩树型/展开树型 在输入栏直接回车就可以开始查找文本,双击地址就可快速在ASM内定位 点击右键可以导出为TXT文件 跳转和调用信息(J) 显示所有的跳转和调用信息内容列表 以树型结构列出JMP和CALL的调用列表 在输入栏输入地址,自动查找相应的调用地址,双击地址,在ASM快速定位 点击右键可以导出为TXT文件 地址内容(C) 显示当前地址跳转的内容 "地址内容"会显示当前ASM中跳转目标地址的内容,双击地址内容就可以在ASM中快速定位 调用显示(V) 显示当前地址的调用信息 "调用内容"会显示当前ASM中Call目标地址的内容,双击地址内容就可以在ASM中快速定位 搜索结果(E) 显示搜索结果列表 在搜索时,选中"List In Contain",这样搜索的结果就会写入"搜索结果"列表中 双击相应地址,在ASM中快速定位 PE分析结果(P) Ctrl+P 显示当前文件的PE分析的详细结果 Hex模式功能介绍 Hex模式是一个十六进制的文件编辑器，功能强大，可比HexWorkShop和WinHex，除去一些没有必要的功能外，可以算是一个专业的十六进制编辑工具。速度快，操作方便，功能齐全，是修改文件的一个强大工具。 可是以16、10、8、2多种进制方式显示Hex文件，有时这样的显示很方便。 多种方式选定数据块，多种自定义方式拷贝数据，多种方式粘贴数据，多种方式改变数据，多种数据格式查找数据，填充、插入数据，快速定位的书签功能，凡是方便的数据操作方式都具备。 Hex模式下的工具－进程编辑是很有用的工具，当选择一个进程并且进行"内存编辑"时，Hex将显示此进程的内存代码，这时，就可以对代码进行修改和查找了，内存中查找注册码，是不是可以这样呢。 提供了OPCODE代码到汇编代码的直接切换，当切换到汇编模式时，你就可以看到进程的汇编代码了，对付那些脱壳有难度的软件，这也是一条途径吧。同样可以对付一些片断代码，灵活性大大加强。 具体的应用还要自己慢慢的体会:P 菜单说明 文件菜单 打开文件进行反汇编(O)... Ctrl+O 打开相应的文件进行反汇编或者Hex编辑 新建十六进制文件(N) 新建一个十六进制的文件,文件大小最小是1个字节 打开十六进制文件(H) 打开一个十六进制的文件,也可以拖放文件到窗口,选择用Hex模式打开 关闭(C) 关闭当前编辑的文件 保存(S) Ctrl+S 保存现在编辑的文件 另存为(A) 复制保存一份现在编辑的文件 清除最近文件列表(C) 选择"反汇编文件"或"十六进制文件"清除列表 最近打开的反汇编文件 列出最近打开的反汇编文件列表名，数量可以自己设定 最近打开的十六进制文件 列出最近打开的十六进制文件列表名，数量可以自己设定 退出(X) 退出C32ASM程序 编辑菜单 剪切(T) Ctrl+X 剪切数据（仅当编辑模式为插入模式时候有效） 拷贝(C) 拷贝方式 一种普通拷贝方式和三种自定义拷贝方式 自定义方法见HEX编辑配置说明 粘贴(P) Ctrl+V 粘贴数据 特别粘贴(L) 以特殊格式粘贴数据 例如:"54 68 69 73 20 70 72 6F 67"可以多种形式粘贴 从上往下一次是Oem Text/ASCII/Unicode/ASCII Hex四种格式 全选(A) Ctrl+A 选中所有数据 定义选择块(D) 定义数据块的选择范围 有(文件开始,文件中间,文件结尾,光标位置)四种预定义的位置可以选择 修改数据(M) 修改所选数据 · 如果选择了数据,则修改的数据对象将针对所选数据 · 如果没有选择数据,则修改的数据对象是文件的所有数据 修改的单位可以选择8/16/32位有无符号共6种格式 各种基本操作都可以方便实现 填充(F) 用特定数据填充所选数据范围 如果没有选择数据,不能使用此功能 选择数据后,可以选择使用16进制的相同数据填充或使用随机数据填充 也可以使用右边自定义的数据结构快速填充,需要预先定义好 插入数据(I) Ctrl+Insert 在指定位置插入特定数据 和填充的方式是一样的 撤销(U) Ctrl+U 恢复上一次的数据 重做(R) Ctrl+R 恢复下一次的数据 跳到入口点(P) 直接跳到程序的入口处 跳到(G) Ctrl+G 跳转到相应的位置 跳转的行为是由相对的对象来决定的 文件开始： 从文件开始往下跳转 现在的位置： 从现在的位置往下跳转 现在的位置往上：从现在的位置往上跳转 文件结尾： 从文件结尾往上跳转 按地址切换(A) 按照当前光标的位置切换并定位到汇编模式 汇编(A) 指在汇编模式下进行汇编操作,Hex模式下无效 备忘录(N) 增加一个备忘录(Memo)窗口，窗口提供简单的编辑功能 HEX编辑设置 版面 每行显示 Hex部分每行显示多少个BYTE，值为1 到 32 之间 左面版距离 Hex显示部分和Address显示部分之间的距离 右面版距离 Hex显示部分和ACII显示部分之间的距离 适应窗口 整个显示是否随着窗口的大小变化自动调整每行显示多少字符 如果自动调整，那么用户定义的每行显示多少字符将无效 地址显示 地址部分提供两种格式的显示：十六进制和十进制 颜色 背景色 整个显示的背景颜色 选中时候前景色 选择部分显示出来的颜色 奇数行颜色 奇数行颜色 偶数行颜色 偶数行颜色 选中奇数行颜色 选中时候奇数行颜色 选中偶数行颜色 选中时候偶数行颜色 改动过颜色 改动过的字符显示颜色 选中改动过颜色 改动过数据被选中时候的颜色 地址显示颜色 地址栏显示的颜色 高亮当前行前景色 鼠标当前行在地址栏高亮显示的前景颜色 高亮当前行背景色 鼠标当前行在地址栏高亮显示的背景颜色 Ascii显示颜色 ASCII显示部分的颜色 选中Ascii时颜色 ASCII被选中时候的颜色 字体 整个显示的字体，此选项对中文显示影响比较大，建议使用Fixedys字体，大小个人爱好 控制字符显示为 也就是把0x20以下的不能显示的字符使用一个能显示的字符替代显示，一般缺省是2E也就是小数点 用户喜欢的话可以更改为其他的比如逗号，句号什么别的 通常 显示地址栏 是否显示地址栏 地址栏结尾显示冒号 地址栏部分最后是否使用冒号 地址栏中部显示冒号 地址栏是否使用冒号切为两半显示（仅当地址栏显示模式为16进制的时候有效） 地址栏自动适应 同窗口自动适应 能否拖放数据 能否拖动数据进行编辑 拖动文件使用的连接模式 拖放以后程序适用两种模式，link模式和insert模式，用户可以自己选择程序工作于哪种模式，是否增加文件长度，还是覆盖原来的内容取决于你选择的工作模式是insert还是Normal 显示分割线 在Hex模式下,设定是否显示区域分割线 显示扩展字符 是否显示扩展字符，也就是0x128以后的字符集，如果要显示中文就必须显示扩展字符集 显示控制字符 是否显示控制字符也就是小于0x20的字符集，如果显示的话，屏幕一团糟 输入时替换选择部分 当有选择部分，用户按键输入是否擦除并且替换选择部分（仅当编辑模式为插入模式时候有效） 缺省为插入模式 设定当软件开启时Hex模式缺省使用插入模式还是覆盖模式 小写显示HEX 当HEX编辑区和地址栏为16进制显示模式时是否以小写字母显示 高亮对应光标 设定在Hex模式下时光标所在位置是否以高亮显示 创建备份文件 设定在保存Hex文件时,是否生成一个.bak的备份文件 监视内存变化 设定在内存编辑模式下是否开启内存变化监视功能,当内存数据发生改变时会提示发生变化 一般情况不推荐打开 拷贝设置 提供三组自定义格式 可以定义此格式对应的菜单名 缺省提供了 Hex格式 C格式 汇编格式 三组格式化模式 用户可自定义拷贝格式化过程 二进制的内存格式在拷贝过程中转化为十六进制格式 比如内存中为01，转化为Ascii的01，用户可以在转化后的结果前插入特定的字符，转化结果后补充特定的字符 补充的字符使用20代表补充空格，n补充0d,r补充0a 数据解释器选项 选择相应的选项决定数据解释器是否显示相应的内容 汇编模式颜色选项 选择相应的选项色彩和字体,在Hex的ASM模式下就可以使用了. 数据保存在C32ASM.ini文件里 搜索菜单 搜索(F) Ctrl+F 弹出搜索对话框（具体说明请看Hex查找功能说明） 搜索下一个(N) F3 往下搜索数据 搜索上一个(P) F3 往上搜索数据 书签(M) F9 把数据的位置记下来,方便快速 上一个书签(E) 快速定位到上一个书签 下一个书签(K) 快速定位到下一个书签 上一次位置(B) Alt+Z 回到上一次的编辑位置 此功能只记忆鼠标动作和跳转动作的位置改变，不记忆键盘动作 下一次位置(F) Alt+X 跳到下一次的编辑位置 此功能只记忆鼠标动作和跳转动作的位置改变，不记忆键盘动作 查看菜单 工具条(T) 包括是否显示标准工具栏和自定义...(注册用户才能使用自定义) 状态条(S) 是否显示状态条 汇编模式(A) Ctrl+W 切换到汇编模式 显示模式(M) 十六进制显示(H) Hex部分以十六进制格式显示 十进制显示(D) Hex部分以十进制格式显示 八进制显示(O) HEX部分以八进制格式显示 二进制显示(B) HEX部分以二进制格式显示 十进制显示地址栏 地址栏的现实模式有两种16进制和10进制，是否使用10进制模式显示地址栏 编辑模式 编辑模式有两种，普通模式，和插入模式 · 在普通模式的情况下用户不能够更改文件大小，不能插入数据，只能在原来的数据基础上更改为其他的数据（缺省的时候是这种模式，因为对于PE文件最好不要手动的改变其大小，否则会导致 PE文件不可用） · 在插入模式的情况下用户可以随便的插入，删除数据，改变文件长度，剪切和替换数据 设为只读 设定文件为只读状态，用不能更改任何的数据 数据解释器 数据解释器同WinHex和Hex Workshop的数据解释器行为一样 第一列说明数据的大小，一般是8 bits到64 bits之间 第二列说明数据类型 第三列显示数据的值，双击此列可以编辑数据的值 具体说明 Signed Byte： 有符号的单字节，占8位储存空间，大小为-127到127之间 Unsigned Byte： 无符号的单字节，占8位储存空间，大小为0到255之间 Signed Short： 有符号的双字节，占16位储存空间，大小为- 32767到32767之间 Unsigned Short： 无符号的双字节，占16位储存空间，大小为0到65535之间 Signed Long： 有符号的四字节，占32位储存空间，大小为- 2147483647到2147483647之间 Unsigned Long： 无符号的四字节，占32位储存空间，大小为0到4294967295之间 Signed Quad： 有符号的八字节，占64位储存空间，大小为- 9223372036854775807到9223372036854775807之间 Unsigned Quad： 无符号的八字节，占64位储存空间，大小为0到18446744073709551615之间 Float： 浮点的四字节，占32位储存空间，大小1.5 x 10e-45 到 3.4 x 10e38 Double： 浮点的八字节，占64位储存空间，大小5.0 x 10e-324 到 1.7 x 10e308 DOS Time： MS-DOS time储存格式，占16位储存空间 具体含义如下 Bits Contents 0-4 Second divided by 2 5-10 Minute (0-59) 11-15 Hour (0-23 on a 24-hour clock) DOS Data： MS-DOS data储存格式，占16位储存空间 具体含义如下 Bits Contents 0-4 Day of the month (1-31) 5-8 Month (1 = January, 2 = February, and so on) 9-15 Year offset from 1980 (add 1980 to get actual year) Time_t： Dos下时间储存格式，占32位储存空间，年部分不能小于1970年，也不能大于2039年 当编辑的时候请注意 FILETIME: Asm： 显示汇编操作码，可以双击后自己输入汇编码进行编辑 输入的代码长度如果有几种情况的，将分别显示，请自己选择， 当然最方便的是切换到汇编模式进行编辑。 Hex模式下的反汇编 这个模式是对Hex文件进行反汇编的结果，不管是完整的PE文件还是中间的一段代码，将代码文件用十六进制模式打开后，在查看菜单下使用"切换到汇编模式"就可以将全部文件代码反汇编了 此模式有自己的代码格式可以设定，见Hex编辑设置－汇编模式颜色选项，数据保存在主文件同名的ini文件中，语法高亮显示模式和ASM的一样，可以使用XML语法文件进行设定。 此模式主要功能就是可以以汇编模式直接编辑代码，不用直接修改代码，用过HView的都知道吧：）由于时间问题，现在只是普通的功能，还有其它功能没有加上去，以后的版本将继续改进。 常用的功能就是代码的修改了，直接使用快捷键"空格"，将可以修改当前选中的汇编代码。 如果选中"使用NOP填充"，多于的代码将用90填充； 缺省模式是"自动选择最小代码"，如果不使用此功能，将可以在出现的待选代码中手工选择一个代码。 可以跳转代码的位置，方便定位，但是要注意的是，当前是绝对地址。 在汇编模式下，可以逐个分析字节（使用Ctrl＋UP或Ctrl＋DOWN）,对付初步的干扰代码。 窗口菜单 层叠排列(C) 对多窗口进行层叠排列 横向平铺(T) 对多窗口进行横向平铺排列 纵向平铺(V) 对多窗口进行纵向平铺排列 Windows... 当前打开窗口的列表 帮助菜单 关于C32ASM... 快捷键映射表(M) 显示所有的快捷键列表,方便查询!! 高级菜单 配置(M) · 通常 · 禁止智能菜单 · 最大能列出的最近文件数目 如果因为智能菜单太智能了,反而觉得不爽的话,关掉它吧 · 对话框选项设置 · 帧数 · 动画时间 · 动画回放 搜索字符串.搜索Hex,经常可以看到采用动画显示的对话框 在此就可以设定动画的帧数/动画时间/动画回放 反汇编配置(D) · 显示 · 高亮前景色 · 高亮背景色 · 前景色 · 背景色 · 字体 设定你喜欢的ASM显示色彩配置,确定后就可以使用新的色彩配置, 设定值保存在C32ASM.ini里 · 输入表 · 自动拼写搜索 在输入表的搜索栏输入字符后,是否自动搜索相应函数名 · 自动展开 在显示输入表后,是否自动展开显示所有的函数名 · 直接内容 · 高亮颜色 · 字体 · 后面显示 指定显示EIP后的命令 · 前面显示 指定显示EIP前的命令数 · 显示EIP · 显示HEx · 显示内容 · 显示字符串 设定显示直接内容的各种参数 · 字符串搜索 · 自动拼写搜索 在字符串的搜索栏输入字符后,是否自动搜索相应字符 · 自动展开 在显示字符串后,是否自动展开显示所有的字符 · 分析 · 分析资源 · 分析菜单 · 分析对话框 · 使用跟踪报告 · 自定义输入表分析 对输入表的各种函数进行自定义解析 · 跳转分析的深度 缺省值为 3 设定是否使用各种分析功能 Hex编辑配置(H) 详情请参考Hex编辑设置 语言(L) 提供简体中文和英文两种语言 当然如果你懂其它的语言,欢迎翻译:) 工具菜单 · 汇编代码查询 提供汇编代码的OPCode查询功能,并有自动提供代码最短优化功能 · 进程编辑 提供当前进程以及相应DLL的显示、内存编辑、Dump、进程Kill、进程刷新 提供ImageSize的修正功能 内存编辑： 内存编辑是编辑一个进程的虚拟内存,一个进程的内存类型包括提交,空闲,和保留三种状态 所有状态为提交(Committed)的内存都可以进行内存编辑,空闲和保留状态的内存没有权限进行编辑 大概只有在得到ring0权限的情况下才可以对空闲和保留状态的内存进行编辑 当你更改内容以后都会对进程的内容立即更改，而且更改时不会有任何提示 内存编辑的作用: 可以用来观察程序的堆和栈,程序运行的数据变化情况,当然破解者可以用来找内存注册码:) 对于一个在内存编辑对话框列出来的进程,你可以进行主要内存,或整个内存,或进程的一个子模块进行编辑 ->主要内存包括几乎一个进程所有可用到的内存 它通常为主模块(也就是exe文件所占有的内存,堆和栈) ->整个内存是一个进程所有使用到的虚拟内存,包括和其他进程共享的那部分内存和系统模块内存 **在95/98/Me下没有权限对系统模块内存进行写操作 **在NT内核的系统下可以,因为NT内核系统为每一个进程都拷贝一份系统模块内存 系统模块是被转载在2GB以上的内存地址(例如:kernel32.dll, gdi32.dll,user32.dll) 这些模块被所有进程共享 小技巧:在内存编辑的时候切换到汇编模式就相当于反汇编这个进程了 C32Asm提供直接内存模式的监视内存变化情况 在Hex编辑设置->通常的选项内可以选择打开和关闭此功能(注:这个功能在内存快照模式是不起作用的) 请慎重使用此功能,建议一般情况下关闭，在需要使用时候才打开 · 计算散列值 只在Hex模式下，提供此功能 当在Hex模式下选择数据时，只对选择的数据提供Hash功能 当在Hex模式下没有选择数据时，提供3种方式的Hash功能（16进制的Hex、ASCII字符、文件） · 插件(暂不提供) 提供插件使用功能,并可以提供插件函数进行自制插件功能 缺省提供软件壳检测功能插件,用于检测软件壳,并且可以对未知插件自动分析记录,以备同类识别 · 外挂第三方程序 这一项在软件刚使用时只有少部分工具提供,目的就是让你自行添加常用的工具软件的链接 添加第三方程序的方法 在查看->工具条->自定义...处,点击Tools 详细的使用方法见自定义菜单的Tools栏的使用 自定义菜单 只有注册用户才能使用自定义菜单的功能 Commands 菜单项目自定义 此功能是可以在你想要的位置上添加/删除/移动所需的菜单功能项. 举例说明,如果要在一个Asm模式下的"编辑"菜单中添加一项"书签"菜单的内容,操作如下图所示: 在Asm模式下,选中Catagories下的"搜索"菜单,选中右面的"书签". 在程序下选中"编辑"菜单,把Commands下的"书签"功能项拖放到"添加注释"的功能项下方 如果想移动"书签",把"书签"拖到"编辑"菜单的"添加注释"下,直接放开鼠标; 如果想拷贝"书签",先按住Ctrl键,把"书签"拖到"编辑"菜单的"添加注释"下,然后放开鼠标; 如果想删除"编辑"菜单下的"添加书签"功能项,就把此菜单项拖出此菜单的范围之外,此项随即删除 如果想添加分割栏,在欲添加之处单击右键,选择"Start Group",即可. 其它功能请见右键菜单. ToolBars 工具栏自定义 可以添加/删除/改名/重置工具栏项目 Tools 外挂工具自定义 界面很简单,熟悉VC->Custom的,一定很习惯了 上面四个功能键分别是添加新工具栏/删除一个工具栏/上移工具栏/下移工具栏 单击工具项可以修改工具的描述. Command: 工具所在位置和工具的文件名,更新后"工具"菜单下的工具就可以使用了 如果是采用相对路径的方式,修改更新后,需重启软件,方可使用 Arguments: 是指工具执行所需的参数. Initial Directory: 是指工具执行的初始化目录 KeyBoard 键盘快捷方式自定义 对所有的菜单功能项进行键盘快捷方式自定义. 比如要对"添加注释"功能添加";"作为快捷方式,操作如下: 在Category下,选择"编辑",Commands处选择"添加注释", 在"Current Keys"显示已经设定的键,在"Press New Shortcut Key"下重新定义新的快捷键 单击"Assign",将新的快捷键应用到功能项中,这样";"就作为"注释"的快捷键,是不是和往常一样方便了:) Menu 右键菜单自定义 此项功能只要是可以为右键菜单作添加/删除/修改之用,拖放模式,轻松方便 在左边的"Show Menus for:"中选择一个菜单项,作为当前程序显示的菜单, 然后在右面选择一项右键菜单,菜单弹出,此时可以和程序菜单作添加/删除/修改的操作了 要是你喜欢,你可以把所有的功能都移到右键菜单上,呵呵 Options 功能菜单自定义 在此可以设定: 工具栏的图标大小 是否显示工具栏的提示 人性化菜单是否开启等等 以下是用C32ASM破解的简单过程（挑个软柿子:P） 找软件关键提示字符"软件进入学习版状态，xxxx" 反汇编软件，查看字符串,搜索"软件进入学习版状态",找到，双击地址，定位到0x0040DDD0。 分析代码： /////////////////////////////////////////////////////////////////////////////////////////////// ::0040DDB8:: E8 A3040000 CALL 0040E260 :JMPDOWN ::0040DDBD:: 85C0 TEST EAX,EAX ::0040DDBF:: 0F95C0 SETNE AL 关键点 ::0040DDC2:: 84C0 TEST AL,AL ::0040DDC4:: 8886 4C010000 MOV [ESI+14C],AL 将值写入此地址 ::0040DDCA:: 75 0E JNZ SHORT 0040DDDA AL不是0，就跳，我们要跳 ::0040DDCC:: 6A 00 PUSH 0 ::0040DDCE:: 6A 00 PUSH 0 ::0040DDD0:: 68 B0154300 PUSH 4315B0 ->: 软件进入学习版状态，xxx //////////////////////////////////////////////////////////////////////////////////////////////////////////// 修改代码： 要修改的是 ::0040DDBF:: 0F95C0 SETNE AL 关键点 将AL值直接赋值非0就ok 选中0040DDBF这行，编辑－>对应Hex编辑，快速定位到EXE文件 然后直接选择 编辑－>按地址切换，切换到可修改的汇编模式 按空格修改 SETNE AL －> Mov al，1 NOP 自动填充生成 按Ctrl＋S保存吧，自动生成Bak备份文件，新的文件破解完成:P 注册本软件 　 本软件是Pll621所写的PE格式文件反汇编软件 主要是提供方便快捷的PE/十六进制文件操作功能 采取的是免费注册的方式 未注册版的限制:(欢迎破解本软件的限制功能) 未注册版将不能对查看->自定义...功能进行操作 其他功能都可以完全使用 随着软件升级,以后可能会增加对插件功能的限制 注册对象: 由于本软件使用范围有局限性,所以经考虑只对一定范围的组织群体提供注册 凡是 BCG Beginner Cracking Group (初学者破解联盟) CCG China Cracking Group (中国破解联盟) FCG Free Cracking Group (自由破解联盟) iPB Inside Pandora's Box DFCG Decryption Fans Cracking Group (解密爱好者破解组织) 的成员都可以向各组织的Leader申请注册 各组织Leader的联系方式请查看组织内部的联系方式,在此不方便公布 　 　 注册方法: 如图所示,填写各项目信息,单击"保存"生成注册申请文件,文件名任意 将此文件Email给组织的Leader,就可以申请到注册文件"Key.dat"(文件名一定) 将Key.dat放在C32Asm.exe同一目录下,运行软件就可以使用自定义功能 或者直接提供给Leader上述4条信息,也可以注册得到Key.dat注册文件 　 注册用户注意要点: 1.由于注册文件是基于硬盘的出厂序列号,每个硬盘的序列号都是唯一的, 所以每一份Key.dat文件都是唯一基于本硬盘的,更换硬盘将可能使Key.dat无法工作失去作用, 请重新申请注册文件. 2.对于多硬盘的注册用户请注意,注册所用的序列号是基于最后一个硬盘的序列号, 增加硬盘或减少硬盘的数量都将影响Key.dat的工作,使得注册功能无法使用, 请重新申请注册文件. 常见问题说明 · 关于用途的说明 · 关于定制个性化的快捷键 · 关于系统的 · 关于死机的说明 · 关于主文件命令行的说明 · 关于解析符号的说明 · 关于版权的说明 关于用途的说明 C32ASM是个反汇编的软件,基本的功能当然就是提供PE格式文件的反汇编功能,最初的目的也是用来使Crack更方便的一款工 具,但随着软件的功能增强,使用的目的也不是单一的破解啦,强大的十六进制文件编辑功能,强大的内存编辑功能,和WinHex这类工具相比毫不逊色. 其他功能正在不断的和增加中... 关于定制个性化的快捷键 采用BCGSoft,使得我们可以自定义各个菜单功能的快捷键 如果不喜欢默认的快捷键设定和菜单的分布排列方式,就可以自定义 关于系统的要求 能运行Win98,WinME,WinNT 4.0,Win2000,WinXP的机器就可以使用本软件,但由于反汇编时所需的内存比较大,建议使用64M以上的内存(越大越好),CPU的速度当然是越快越好了 关于死机的说明 反汇编某些脱壳后的文件会出现非法操作，大多数是处理import的时候指针非法造成（原因是脱壳后没有重建import的文件里面的import是一团糟，反汇编的是按照正常的处理流程肯定非法，所以从写了import处 理函数，肥牛报告有些时候反汇编某些软件会退出，分析后发现有些软件的资源，菜单，和对话框都不是标准的（也就是一团垃圾在里面），如果处理的话会非法， 所以需要打开分析报告功能，可以从分析报告中看出到底那里非法，然后在反汇编行为的选项，屏蔽相应的处理部分，此功能和w32asm的那个所谓的anti黄金版功能一样，但是用户的自由度大的多 关于主文件命令行的说明 主文件支持命令行格式 比如c32asm c:1.exe -h(或者/h) 就是使用hex模式打开c:1.exe文件 比如c32asm c:1.exe -d(或者/h) 就是反汇编c:1.exe文件 直接执行c32asm.exe就是缺省的欢迎画面 可以在右键菜单里面增加一个使用c32asm进行16进制编辑或者反汇编的功能菜单 例如： Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT*shellC32Asmcommand] @=""G:CrackC32ASMc32asm.exe" "%1" -h" 其它请相应进行修改 关于解析符号的说明 1. 对于使用ord解析的import 使用ord解析的import就是你反汇编的时候看不到函数名，取而带之的是nornamexxxxxxxx形式，对于这样的dll用户可以自己提供相应的解析规则文件，放到symbol目录下，以mfc42.dll为例说明： symbol目录下文件应为mfc42.ini(文件名同dll名称，后缀为ini) 内容为： [MFC42] 1=DllGetClassObject 2=DllCanUnloadNow 。。。。。。。。。。。。。。。。。。。。。。。。。 其中[MFC42]为节名，必须同文件名，字母必须大写 1= DllGetClassObject的"1"为调用的序号，也就是ord(进制为10进制) =后面的是你需要添加的内容，这里表示ord为1的时候调用的函数名为DllGetClassObject,当然你也可以把DllGetClassObject改为其他的你自己认为有意义的名称。。。。名称字节不能超过255，如果超过 255多余的部分会被截断 如果用户在symbol目录没有提供对应的解析文件 import将会以nonamexxxxxx的形式显示 2．对于非ord解析的函数 对于非ord解析的函数由于目标程序本身就提供了import函数名称信息，所以如果用户想自己定义函数名称，就必须打开反汇编行为选项中的自定义输入表分析选项，并且提供相应的解析规则文件，解析规则文件同ord解析规则文件略有区别，以kennel32.dll为例说明 symbol目录下文件应为kennel32.ini(文件名同dll名称，后缀为ini) 内容为： [KERNEL32] WritePrivateProfileStringA=写ini文件 GetCommandLineA=得到命令行 GetPrivateProfileStringA=读ini文件 。。。。。。。。。。。。。。。。。。。。。。。。。 其中[KERNEL32] 为节名，必须同文件名，字母必须大写 WritePrivateProfileStringA=写ini文件的WritePrivateProfileStringA为目标程序提供的函数名称，=后面的是你需要添加的内容，这里表示WritePrivateProfileStringA的函数名为 写ini文件,当然你也可以把写ini文件改为其他的你自己认为有意义的名称。。。。名称字节不能超过255，如果超过255多余的部分会被截断 如果用户在symbol目录没有提供对应的解析文件 import将会以原来目标程序提供的函数名显示 注意： 使用此功能不同于使用ord解析，使用此功能用户不但要提供解析文件而且必须打开自定义输入表分析选项，而ord解析用户只要提供相应的解析文件就可以，与自定义输入表分析选项没有关系 关于版权的说明 C32ASM软件 免费中文版 本版本软件可以自由拷贝,但是不得用于商业目的. 欢迎测试和破解限制功能 所有版权属于Pll621所有,保留所有权利 意见反馈： 本软件还在编写当中,在功能上还有诸多不方面和欠缺考虑之处, 在稳定性上还有待进一步的修改,BUG多是正常的, 如果有发现BUG之处,请抽空描述会发生BUG的情况并将此BUG告诉作者,感谢! Pll621的联系方式: C32ASM 官方主页: http://www.c32asm.com Pll621 Email: pll621@163.com 后记 Thanks： Zombieys，Staray，Kanxue And All Tester And You Especially Thanks: Hoto Search Code Supply DarkNess0ut Help Producer 作者的话： 记的很早的时候就开始用w32asm了，后来总感觉很多地方不如我自己的使用习惯,于是就试着DIY w32asm，但是DIY的局限性导致我不可能做很大的改动，于是就考虑自己写一个反汇编的,这就是写c32asm的初衷。 C32asm是我业余打发无聊时间时候的产物，它没有注册的时候将不能使用菜单自定义功能,它对国内各大crack组织是个免费的玩意，如果你是 CCG/iPB/FCG/BCG/DFCG这几个组织的成员你可以向你们组织的领导者申请注册码(至于每个组织申请的规则，请自行参考相关的组织) ,但是每个成员只能申请一个，不能多次申请。 　 如果你不是上述组织的成员,那么你有两个途径得到完全功能。第一，努力加入上述组织;第二,自己破解出来......什么???破解不了,那么我只能说:努力,成功就在眼前:) 对于c32asm有什么好的建议和BUG报告请发EMail:pll621@163.com,请不要用qq来联系我,我管理不了那么多好友. pll621 CCG/IPB 功能更新列表 11.14 更改纵向平铺没有响应的问题 在汇编模式增加一个设定基址的功能，平时做汇编的时候都是使用绝对地址,汇编不是很方便， 增加此设定基址功能可以用自己熟悉的4000xxx的方式或者你喜欢的基址作汇编的方式:) 对话框动画显示可选 十六进制搜索能记忆上一次的搜索类型,操作更方便 导出反编译后的TXT文本时,可以自定义需要导出的各个部分 原本在Hex模式下查找到文字后显示在最后一排的问题,现将位置调到中间 解决将一些PE文件认为是DOS文件的错误 调整一下对话框的样子 　 10.20 增加Unicode字符串显示功能 改进ASM模式下,横向滚动条在代码垂直滚动时的自动问题 增加"文件"菜单下,"清除最近文件列表"的功能代码 改进图标,变得漂亮一点啦:)