彙編命令及OD經常使用命令及斷點設置

彙編
32位CPU所含有的寄存器有：

4個數據寄存器(EAX、EBX、ECX和EDX)對低16位數據的存取，不會影響高16位的數據。這些低16位寄存器分別命名爲：AX、BX、CX和DX，它和先前的CPU中的寄存器相一致。4個16位寄存器又可分割成8個獨立的8位寄存器(AX：AH-AL、BX：BH-BL、CX：CH-CL、DX：DH-DL)，每一個寄存器都有本身的名稱，可獨立存取。

寄存器EAX一般稱爲累加器(Accumulator)     用累加器進行的操做可能須要更少時間。可用於乘、 除、輸入/輸出等操做，使用頻率很高；
寄存器EBX稱爲基地址寄存器(Base Register)它可做爲存儲器指針來使用；
寄存器ECX稱爲計數寄存器(Count Register) 在循環和字符串操做時，要用它來控制循環次數；在位操做中，當移多位時，要用CL來指明移位的位數；
寄存器EDX稱爲數據寄存器(Data Register)   在進行乘、除運算時，它可做爲默認的操做數參與運算，也可用於存放I/O的端口地址

注意：在16位CPU中，AX、BX、CX和DX不能做爲基址和變址寄存器來存放存儲單元的地址，
          在32位CPU中，其32位寄存器EAX、EBX、ECX和EDX不只可傳送數據、暫存數據保存算術邏輯運算結果，

2個變址和指針寄存器(ESI和EDI) 其低16位對應先前CPU中的SI和DI，對低16位數據的存取，不影響高16位的數據。寄存器ESI、EDI、SI和DI稱爲變址寄存器(Index Register)，它們主要用於存放存儲單元在段內的偏移量，用它們可實現多種存儲器操做數的尋址方式，爲以不一樣的地址形式訪問存儲單元提供方便。

2個指針寄存器(ESP和EBP)其低16位對應先前CPU中的BP和SP，對低16位數據的存取，不影響高16位的數據。32位CPU有2個32位通用寄存器EBP和ESP。它們主要用於訪問堆棧內的存儲單元。寄存器EBP、ESP、BP和SP稱爲指針寄存器(Pointer Register)，主要用於存放堆棧內存儲單元的偏移量，用它們可實現多種存儲器操做數的尋址方式，爲以不一樣的地址形式訪問存儲單元提供方便。指針寄存器不可分割成8位寄存器。做爲通用寄存器，也可存儲算術邏輯運算的操做數和運算結果。
EBP爲基指針(Base Pointer)寄存器，用它可直接存取堆棧中的數據 
ESP爲堆棧指針(Stack Pointer)寄存器，用它只可訪問棧頂

6個段寄存器(ES、CS、SS、DS、FS和GS)段寄存器 段寄存器是根據內存分段的管理模式而設置的。內存單元的物理地址由段寄存器的值和一個偏移量組合而成
的，這樣可用兩個較少位數的值組合成一個可訪問較大物理空間的內存地址。
CPU內部的段寄存器：
ECS——代碼段寄存器(Code Segment Register)，其值爲代碼段的段值； 
EDS——數據段寄存器(Data Segment Register)，其值爲數據段的段值； 
EES——附加段寄存器(Extra Segment Register)，其值爲附加數據段的段值； 
ESS——堆棧段寄存器(Stack Segment Register)，其值爲堆棧段的段值； 
EFS——附加段寄存器(Extra Segment Register)，其值爲附加數據段的段值； 
EGS——附加段寄存器(Extra Segment Register)，其值爲附加數據段的段值。

1個指令指針寄存器(EIP)   指令指針EIP、IP(Instruction Pointer)是存放下次將要執行的指令在代碼段的偏移量。

1個標誌寄存器(EFlags)

一、進位標誌CF(Carry Flag)  
進位標誌CF主要用來反映運算是否產生進位或借位。若是運算結果的最高位產生了一個進位或借位，那麼，其值爲1，不然其值爲0。使用該標誌位的狀況有：多字(字節)數的加減運算，無符號數的大小比較運算，移位操做，字(字節)之間移位，專門改變CF值的指令等。

二、奇偶標誌PF(Parity Flag)
奇偶標誌PF用於反映運算結果中「1」的個數的奇偶性。若是「1」的個數爲偶數，則PF的值爲1，不然其值爲0。利用PF可進行奇偶校驗檢查，或產生奇偶校驗位。在數據傳送過程當中，爲了提供傳送的可靠性，若是採用奇偶校驗的方法，就可以使用該標誌位。

三、輔助進位標誌AF(Auxiliary Carry Flag)
在發生下列狀況時，輔助進位標誌AF的值被置爲1，不然其值爲0：
(1)、在字操做時，發生低字節向高字節進位或借位時；
(2)、在字節操做時，發生低4位向高4位進位或借位時。
對以上6個運算結果標誌位，在通常編程狀況下，標誌位CF、ZF、SF和OF的使用頻率較高，而標誌位PF和AF的使用頻率較低。

四、零標誌ZF(Zero Flag)
零標誌ZF用來反映運算結果是否爲0。若是運算結果爲0，則其值爲1，不然其值爲0。在判斷運算結果是否爲0時，可以使用此標誌位。

五、符號標誌SF(Sign Flag)
符號標誌SF用來反映運算結果的符號位，它與運算結果的最高位相同。在微機系統中，有符號數採用碼錶示法，因此，SF也就反映運算結果的正負號。運算結果爲正數時，SF的值爲0，不然其值爲1。

六、溢出標誌OF(Overflow Flag)
溢出標誌OF用於反映有符號數加減運算所得結果是否溢出。若是運算結果超過當前運算位數所能表示的範圍，則稱爲溢出，OF的值被置爲1，不然，OF的值被清爲0。
「溢出」和「進位」是兩個不一樣含義的概念，不要混淆。若是不太清楚的話，請查閱《計算機組成原理》課程中的有關章節。

2、狀態控制標誌位
狀態控制標誌位是用來控制CPU操做的，它們要經過專門的指令才能使之發生改變。
一、追蹤標誌TF(Trap Flag)
當追蹤標誌TF被置爲1時，CPU進入單步執行方式，即每執行一條指令，產生一個單步中斷請求。這種方式主要用於程序的調試。
指令系統中沒有專門的指令來改變標誌位TF的值，但程序員可用其它辦法來改變其值。
二、中斷容許標誌IF(Interrupt-enable Flag)
中斷容許標誌IF是用來決定CPU是否響應CPU外部的可屏蔽中斷髮出的中斷請求。
但無論該標誌爲什麼值，CPU都必須響應CPU外部的不可屏蔽中斷所發出的中斷請求，以及CPU內部產生的中斷請求。
具體規定以下：
(1)、當IF=1時，CPU能夠響應CPU外部的可屏蔽中斷髮出的中斷請求；
(2)、當IF=0時，CPU不響應CPU外部的可屏蔽中斷髮出的中斷請求。
CPU的指令系統中也有專門的指令來改變標誌位IF的值。
三、方向標誌DF(Direction Flag)
方向標誌DF用來決定在串操做指令執行時有關指針寄存器發生調整的方向。具體規定在第5.2.11節——字符串操做指令——中給出。
在微機的指令系統中，還提供了專門的指令來改變標誌位DF的值。


彙編指令：經常使用
MOV 傳送字或字節. 
MOVSX 先符號擴展,再傳送. 
MOVZX 先零擴展,再傳送. 
PUSH 把字壓入堆棧. 
POP 把字彈出堆棧. 
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次壓入堆棧. 
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次彈出堆棧. 
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次壓入堆棧. 
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次彈出堆棧.

XCHG 交換字或字節.( 至少有一個操做數爲寄存器,段寄存器不可做爲操做數) 
CMPXCHG 比較並交換操做數.( 第二個操做數必須爲累加器AL/AX/EAX ) 
XADD 先交換再累加.( 結果在第一個操做數裏 )

ADD 加法. 
ADC 帶進位加法. 
INC 加 1. 
AAA 加法的ASCII碼調整. 
DAA 加法的十進制調整. 
SUB 減法. 
SBB 帶借位減法. 
DEC 減 1. 
NEC 求反(以 0 減之). 
CMP 比較.(兩操做數做減法,僅修改標誌位,不回送結果). 
AAS 減法的ASCII碼調整. 
DAS 減法的十進制調整. 
MUL 無符號乘法. 
IMUL 整數乘法. 
AAM 乘法的ASCII碼調整. 
DIV 無符號除法. 
IDIV 整數除法. 
AAD 除法的ASCII碼調整. 
CBW 字節轉換爲字. (把AL中字節的符號擴展到AH中去) 
CWD 字轉換爲雙字. (把AX中的字的符號擴展到DX中去) 
CWDE 字轉換爲雙字. (把AX中的字符號擴展到EAX中去) 
CDQ 雙字擴展. (把EAX中的字的符號擴展到EDX中去)

邏輯運算指令 
AND 與運算. 
OR 或運算. 
XOR 異或運算. 
NOT 取反. 
TEST 測試.(兩操做數做與運算,僅修改標誌位,不回送結果). 
SHL 邏輯左移. 
SAL 算術左移.(=SHL) 
SHR 邏輯右移. 
SAR 算術右移.(=SHR) 
ROL 循環左移. 
ROR 循環右移. 
RCL 經過進位的循環左移. 
RCR 經過進位的循環右移.


程序轉移指令 
1.簡單的條件轉移指令 
JZ(或jE)    OPR---------------結果爲零轉移, 測試條件ZF=1 
JNZ(或jNE) OPR --------------結果不爲零轉移,測試條件ZF=0 
JS   OPR----------------------結果爲負轉移, 測試條件SF=1 
JNS   OPR---------------------結果爲正轉移, 測試條件SF=0 
JO   OPR--------------------- 溢出轉移,      測試條件OF= 
JNO   OPR --------------------不溢出轉移 ,   測試條件SF=0 
JP   OPR ---------------------結果爲偶轉移, 測試條件SF=1 
JNP   OPR --------------------結果爲奇轉移 , 測試條件SF=0 
JC   OPR -------------------- 有進位轉移 ,   測試條件SF=1 
JNC   OPR --------------------無進位轉移,    測試條件SF=0

2.無符號比較條件轉移指令(如下指令常常是CMP OPD,OPS後面的指令根據比較結果來實現轉移) 
JB(或JNAE) opd --------------小於或者不大於等於則轉移 
JNB(或JAE) opd---------------不小於或者大於等於則轉移 
JA(或NJBE) OPD---------------大於或者不小於等於則轉移 
JNA(或JBE) OPD---------------不大於或者小於等於則轉移

3.帶符號比較條件轉移指令 
JL(或JNGE) --------------小於或者不大於等於則轉移 
JNL(或JGE)--------------不小於或者大於等於則轉移 
JG(或NJLE)---------------大於或者不小於等於則轉移 
JNG(或JLE)---------------不大於或者小於等於則轉移 

調用子程序與返回指令 
CALL     子程序調用指令 
RET   子程序返回指令 

其它指令 
OFFSET   -------------------- 返回偏移地址 
SEG     -------------------- 返回段地址 
EQU(=) -------------------- 等值語句 
PURGE -------------------- 解除語句 
DUP    -------------------- 操做數字段用複製操做符 
SEGMENT,ENDS -------------------- 段定義指令 
ASSUME   -------------------- 段地址分配指令 
ORG    -------------------- 起始偏移地址設置指令 
$      --------------------地址計數器的當前值 
PROC，ENDP -------------------- 過程定義語句 
NAME，TITLE，END -------------------- 程序開始結束語句 
MACRO，ENDM    --------------------宏定義指令 
XLAT    （TRANSLATE） --------------------   換碼指令---- 

條件標誌 
ZF 零標誌 -- 當結果爲負時,SF=1,不然,SF=0. 
AF 輔助進位標誌---運算過程當中第三位有進位值,置AF=1,不然,AF=0 
PF 奇偶標誌------當結果操做數中偶數個"1",置PF=1,不然,PF=0 
SF 符號標誌----當結果爲負時,SF=1;不然,SF=0.溢出時情形例外 
CF 進位標誌----- 最高有效位產生進位值,例如,執行加法指令時,MSB有進位,置CF=1;不然,CF=0.
OF 溢出標誌-----若操做數結果超出了機器能表示的範圍,則產生溢出,置OF=1,不然,OF=0  




OllyDbg 經常使用快捷熱鍵
打開一個新的可執行程序 (F3)
從新運行當前調試的程序 (Ctrl+F2)
當前調試的程序 (Alt+F2)
運行選定的程序進行調試 (F9)
暫時中止被調試程序的執行 (F12)
單步進入被調試程序的 Call 中 (F7)
步過被調試程序的 Call (F8)
跟入被調試程序的 Call 中 (Ctrl+F11)
跟蹤時跳過被調試程序的 Call (Ctrl+F12)
執行直到返回 (Ctrl+F9)
顯示記錄窗口 (Alt+L)
顯示模塊窗口 (Alt+E)
顯示內存窗口 (Alt+M)
顯示 CPU 窗口 (Alt+C)
顯示補丁窗口 (Ctrl+P)
顯示呼叫堆棧 (Alt+K)
顯示斷點窗口 (Alt+B)
打開調試選項窗口 (Alt+O)

F9 使用方法：
Ctrl+F9 運行至ret
Alt+F9 運行至上層調用的下句
Shift+F9 忽略異常運行

BTW：OllyDbg.hlp有中文翻譯版爲什麼不看？
Shift+F9 - 與F9相同，可是若是被調試程序發生異常而停止，調試器會首先嚐試執行被調試程序指定的異常處理（請參考忽略
Kernel32中的內存非法訪問）。
Ctrl+F9 - 執行直到返回，跟蹤程序直到遇到返回，在此期間不進入子函數也不更新CPU數據。由於程序是一條一條命令執行的，所
以速度可能會慢一些。按Esc鍵，能夠中止跟蹤。
Alt+F9 - 執行直到返回到用戶代碼段，跟蹤程序直到指令所屬於的模塊不在系統目錄中，在此期間不進入子函數也不更新CPU數據。
由於程序是一條一條執行的，因此速度可能會慢一些。按Esc鍵，能夠中止跟蹤。

F9 - 讓程序繼續執行。
Shift+F9 - 與F9相同，可是若是被調試程序發生異常而停止，調試器會首先嚐試執行被調試程序指定的異常處理（請參考忽略Kernel32中的內存非法訪問）。
Ctrl+F9 - 執行直到返回，跟蹤程序直到遇到返回，在此期間不進入子函數也不更新CPU數據。由於程序是一條一條命令執行的，因此速度可能會慢一些。按Esc鍵，能夠中止跟蹤。
Alt+F9 - 執行直到返回到用戶代碼段，跟蹤程序直到指令所屬於的模塊不在系統目錄中，在此期間不進入子函數也不更新CPU數據。由於程序是一條一條執行的，因此速度可能會慢一些。按Esc鍵，能夠中止跟蹤。
Ctrl+F11 -Run跟蹤步入，一條一條執行命令，進入每一個子函數調用，並把寄存器的信息加入到Run跟蹤的存儲數據中。Run跟蹤不會同步更新CPU窗口。
F12 - 中止程序執行，同時暫停被調試程序的全部線程。請不要手動恢復線程運行，最好使用繼續執行快捷鍵或菜單選項（像 F9）。
Ctrl+F12 - Run跟蹤 步過，一條一條執行命令，可是不進入子函數調用，，並把寄存器的信息加入到Run跟蹤的存儲數據中。Run跟蹤不會同步更新CPU窗口。
Esc - 若是當前處於自動運行或跟蹤狀態，則中止自動運行或跟蹤；若是CPU顯示的是跟蹤數據，則顯示真實數據。
Alt+B - 顯示斷點窗口。在這個窗口中，您能夠編輯、刪除、或跟進到斷點處。
Alt+C - 顯示CPU窗口。
Alt+E - 顯示模塊列表［list of modules］。
Alt+K - 顯示調用棧［Call stack］窗口。
Alt+L - 顯示日誌窗口。
Alt+M - 顯示內存窗口。
Alt+O - 顯示選項對話框［Options dialog］
Ctrl+P - 顯示補丁窗口。
Ctrl+T - 打開 暫停 Run跟蹤 對話框
Alt+X - 關閉 OllyDbg。
大多數窗口都支持如下的鍵盤命令：
Alt+F3 - 關閉當前窗口。
Ctrl+F4 - 關閉當前窗口。
F5 - 最大化當前窗口或將當前窗口大小改成正常化。
F6 - 切換到下一個窗口。
Shift+F6 - 切換到前一個窗口。
F10 - 打開與當前窗口或面板相關的快捷菜單。
左方向鍵 - 顯示窗口左方一個字節寬度的內容。
Ctrl+左方向鍵 - 顯示窗口左方一欄的內容。
右方向鍵 - 顯示窗口右方一個字節寬度的內容
Ctrl+右方向鍵 - 顯示窗口右方一欄的內容

經常使用斷點 
攔截窗口： 
bp CreateWindow 建立窗口 
bp CreateWindowEx(A) 建立窗口 
bp ShowWindow 顯示窗口 
bp UpdateWindow 更新窗口 
bp GetWindowText(A) 獲取窗口文本 

攔截消息框： 
bp MessageBox(A) 建立消息框 
bp MessageBoxExA 建立消息框 
bp MessageBoxIndirect(A) 建立定製消息框 
bp IsDialogMessageW 

攔截警告聲： 
bp MessageBeep 發出系統警告聲(若是沒有聲卡就直接驅動系統喇叭發聲) 

攔截對話框： 
bp DialogBox 建立模態對話框 
bp DialogBoxParam(A) 建立模態對話框 
bp DialogBoxIndirect 建立模態對話框 
bp DialogBoxIndirectParam(A) 建立模態對話框 
bp CreateDialog 建立非模態對話框 
bp CreateDialogParam(A) 建立非模態對話框 
bp CreateDialogIndirect 建立非模態對話框 
bp CreateDialogIndirectParam(A) 建立非模態對話框 
bp GetDlgItemText(A) 獲取對話框文本 
bp GetDlgItemInt 獲取對話框整數值 

攔截剪貼板： 
bp GetClipboardData 獲取剪貼板數據 

攔截註冊表： 
bp RegOpenKey(A) 打開子健 
bp RegOpenKeyEx 打開子健 
bp RegQueryValue(A) 查找子健 
bp RegQueryValueEx 查找子健 
bp RegSetValue(A) 設置子健 
bp RegSetValueEx(A) 設置子健 

功能限制攔截斷點： 
bp EnableMenuItem 禁止或容許菜單項 
bp EnableWindow 禁止或容許窗口 

攔截時間： 
bp GetLocalTime 獲取本地時間 
bp GetSystemTime 獲取系統時間 
bp GetFileTime 獲取文件時間 
bp GetTickCount 得到自系統成功啓動以來所經歷的毫秒數 
bp GetCurrentTime 獲取當前時間（16位） 
bp SetTimer 建立定時器 
bp TimerProc 定時器超時回調函數 
GetDlgItemInt 得指定輸入框整數值 
GetDlgItemText 得指定輸入框輸入字符串 
GetDlgItemTextA 得指定輸入框輸入字符串 

攔截文件： 
bp CreateFileA 建立或打開文件 (32位) 
bp OpenFile 打開文件 (32位) 
bp ReadFile 讀文件 (32位) 
bp WriteFile 寫文件 (32位) 
GetModuleFileNameA 
GetFileSize 
Setfilepointer 
fileopen 
FindFirstFileA 
ReadFile 
攔截驅動器： 
bp GetDriveTypeA 獲取磁盤驅動器類型 
bp GetLogicalDrives 獲取邏輯驅動器符號 
bp GetLogicalDriveStringsA 獲取當前全部邏輯驅動器的根驅動器路徑 

★★VB程序專用斷點★★ 

文件長度：RtcFileLen 
bp __vbaFreeStr 對付VB程序重啓驗證 
bp __vbaStrCmp 比較字符串是否相等 
bp __vbaStrComp 比較字符串是否相等 
bp __vbaVarTstNe 比較變量是否不相等 
bp __vbaVarTstEq 比較變量是否相等 
bp __vbaStrCopy 複製字符串 
bp __vbaStrMove 移動字符串 
bp MultiByteToWideChar ANSI字符串轉換成Unicode字符串 
bp WideCharToMultiByte Unicode字符串轉換成ANSI字符串 
=============== ================ 
密碼經常使用中斷 
Hmemcpy (win9x專用) 
GetDlgItemTextA 
GetDlgItemInt 
vb: 
getvolumeinformationa 　 
vbastrcomp (trw) 
Bpx __vbaStrComp (記得是兩個 '_') 
MSVBVM60!_vbastrcomp|sofice 
MSVBVM50! |　 
VBAI4STR　 
Ctrl+D 
bpx msvbvm60!__vbastrcomp do "d *(esp+0c)"(softice) 
按幾回F5出冊碼出來了。 
bpx regqueryvalueexa do "d esp－>8"(trw)　 
vbaVarTstEq 判斷是否註冊的函數 
(0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], ax 
改成0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], bx) 
時間經常使用中斷 
GetSystemTime 
GetLocalTime 
GetTickCount 
vb: 
rtcGetPresentDate //取得當前日期　 
殺窗經常使用中斷 
Lockmytask (win9x專用) 
bp ExitProcess 退出進程 
DestroyWindow 
mouse_event (鼠標中斷) 
postquitmessage (Cracking足彩xp,頗有用^_^) 
vb: 
_rtcMsgBox　 
ini文件內容經常使用中斷 
GetPrivateProfileStringA 
GetPrivateProfileProfileInt　 
key文件: 
getprivateprofileint 
ReadFile 
CreateFileA　 
註冊表經常使用中斷 
RegQueryvalueA 
RegQueryvalueExA　 
狗加密中斷
BPIO -h 278 R 
BPIO -h 378 R 　 
其它經常使用函數斷點 
CreateFileA (讀狗驅動程序), 
DeviceIOControl, 
FreeEnvironmentStringsA (對付HASP很是有效). 
Prestochangoselector (16-bit HASP's), '7242' 查找字符串 (對付聖天諾).具體含義參考下面的範例。　 
光盤破解中斷
16: 
getvolumeinformation 
getdrivetype 
int 2fh (dos) 
32: 
GetDriveTypeA 
GetFullPathNameA 
GetWindowsDirectoryA　 
讀磁盤中斷 
GETLASTERROR 返回擴充出錯代碼 　 
限制中斷 
EnableMenuItem 容許、禁止或變灰指定的菜單條目 
EnableWindow 容許或禁止鼠標和鍵盤控制指定窗口和條目（禁止時菜單變灰） 　 
不知道軟盤中斷是什麼了？還有其它特殊中斷，不知道其餘朋友能否說一下了？ 
如ockmytask and mouse_event，這些就不是api32函數？ 
win9x 與 win2k進行破解，以上中斷有部分已經不能用了？ 
不知道在win2k上，以上經常使用中斷函數是什麼了？ 
也就是問密碼、時間、窗口、ini、key、註冊表、加密狗、光盤、軟盤、限制等！ 
瞭解經常使用的中斷，對破解分析能夠作到事半功倍！ 
請你們說一下！還有如何破解了某個軟件時，一重啓就打回原形？ 
不知道下什麼中斷了？能夠分爲三種狀況： 
1.比較可能在註冊表中 
2.比較在特殊文件(*.key *.ini *.dat等) 
3.比較在程序中，沒有任何錯誤提示或者反譯也找不到明顯字符(這個就是我想問的)　 
還有一個是最難的，就是去掉水印！ 
也能夠三種狀況： 
A.水印是位圖文件(bitblt,creatBITMAP等位圖函數) 
B.水印是明顯字符(反譯分析) 
C.水印不是明顯字符(如：This a demo!它只是顯示在另外一個製做文件上,但是*.htm *.exe等) 
C.纔是最難搞，也是不少人想知道的！包括我在內。不知道高手們有何提示了？　 
廣告條： 
能夠分兩種狀況: 
A.從建立窗口進手,能夠用到movewindow或者其它窗口函數! 
B.從位圖進手,也能夠用到bitblt或者其它位圖函數! 
最後能夠藉助一些現有工具(如:api27,vwindset,freespy之類的工具)　 
葡萄雖無樹，藤生棚中秧。 
人處凡塵中，豈不惹塵埃?　 
小球[CCG] 
那要看是在哪做的標記，一般是在註冊表中留下信息！ 
在softice中就要用bpx regqueryvalueexa do "d esp->8"來中斷看看， 
在trw中要用bpx regqueryvalueexa do "d*(esp+8)"來中斷看看。 
還有的是在本目錄下留下注冊信息，常見的有.dat .ini .dll等等， 
我是用bpx readfile來中斷的，還有的是在windows目錄下留下注冊信息。 
你能夠藉助專用的工具幫助你查看，入filemon等！ 　 
vb:　 
一、__vbaVarTstNe //比較兩個變量是否不相等 
二、rtcR8ValFromBstr //把字符串轉換成浮點數 
三、rtcMsgBox 顯示一信息對話框 
四、rtcBeep //讓揚聲器叫喚 
五、rtcGetPresentDate //取得當前日期 　 
針對字串: 
__vbaStrComp 
__vbaStrCmp 
__vbaStrCompVar 
__vbaStrLike 
__vbaStrTextComp 
__vbaStrTextLike 
針對變量: 
__vbaVarCompEq 
__vbaVarCompLe 
__vbaVarCompLt 
__vbaVarCompGe 
__vbaVarCompGt 
__vbaVarCompNe 　 
經常使用斷點（2） 
VB的指針: 
THROW 　 
VB DLL還調用了oleauto32.dll中的部分函數。oleauto32.dll是個通用的proxy/stub DLL，其每一個函數的原型在<oleauto.h>中定義，並在MSDN中有詳細描述。這也有助於理解VB DLL中的函數的做用。 　
舉例： 　 
LEA EAX, [EBP-58] 
PUSH EAX 
CALL [MSVBVM60!__vbaI4Var] 　 
執行call以前敲dd eax+8，獲得的值爲3； 
執行完call以後，eax = 3 
從而可知__vbaI4Var的做用是將一個VARIANT轉換爲I4（即一個長整數）。　 
__vbaVarTstNe彷佛是用來進行自校驗的，正常狀況下返回值爲0。 
已知適用的軟件有：網絡三國智能機器人、音樂賀卡廠。當這兩個軟件被脫殼後都回出錯，網絡三國智能機器人會產生非法*做，而音樂賀卡廠會告訴你是非法拷貝，經過修改__vbaVarTstNe的返回值均可讓它們正常運行。
因此當您遇到一個VB軟件，脫殼後沒法正常運行，而又找不出其它問題時，可試試攔截這個函數，說不定會有用哦。8-）　 
API不太知道,也許能夠經過BIOS在98平臺上讀寫扇區,不過在2000/NT下能夠經過內黑ATAPI,HAL寫扇區
machoman[CCG] 
bpx WRITE_PORT_BUFFER_USHORT 
NT/2000下這個斷點,當edx=1f0h,時,能夠看見EDI地址內數據爲扇區位置數據,必須先 在winice.dat 中裝入hal.sys 詳細內容看ATAPI手冊 　


補充篇: 
關於對VB程序和時間限制程序的斷點 
CrackerABC 
先給出修改能正確反編譯VB程序的W32DASM的地址： 
====================== 
offsets 0x16B6C-0x16B6D 　 
修改機器碼爲： 98 F4 
====================== 　 
VB程序的跟蹤斷點： 　 
============ 
MultiByteToWideChar, 
rtcR8ValFromBstr, 
WideCharToMultiByte, 
__vbaStrCmp 
__vbaStrComp 
__vbaStrCopy 
__vbaStrMove 
__vbaVarTstNe 
rtcBeep 
rtcGetPresentDate (時間API) 
rtcMsgBox 
========= 　 
時間限制斷點： 　 
================ 
CompareFileTime 
GetLocalTime 
GetSystemTime 
GetTimeZoneInformation 
msvcrt.diffTime() 
msvcrt.Time() 
================ 　 
通常處理 
bpx hmemcpy 
bpx MessageBox 
bpx MessageBoxExA 
bpx MessageBeep 
bpx SendMessage　 
bpx GetDlgItemText 
bpx GetDlgItemInt 
bpx GetWindowText 
bpx GetWindowWord 
bpx GetWindowInt 
bpx DialogBoxParamA 
bpx CreateWindow 
bpx CreateWindowEx 
bpx ShowWindow 
bpx UpdateWindow　 
bmsg xxxx wm_move 
bmsg xxxx wm_gettext 
bmsg xxxx wm_command 
bmsg xxxx wm_activate 　 
時間相關 
bpint 21 if ah==2A (DOS) 
bpx GetLocalTime 
bpx GetFileTime 
bpx GetSystemtime 　 
CD-ROM 或 磁盤相關 
bpint 13 if ah==2 (DOS) 
bpint 13 if ah==3 (DOS) 
bpint 13 if ah==4 (DOS) 
bpx GetFileAttributesA 
bpx GetFileSize 
bpx GetDriveType 
bpx GetLastError 
bpx ReadFile 
bpio -h (Your CD-ROM Port Address) R 　 
軟件狗相關 
bpio -h 278 R 
bpio -h 378 R 　 
鍵盤輸入相關 
bpint 16 if ah==0 (DOS) 
bpint 21 if ah==0xA (DOS) 　 
文件訪問相關 
bpint 21 if ah==3dh (DOS) 
bpint 31 if ah==3fh (DOS) 
bpint 21 if ah==3dh (DOS) 
bpx ReadFile 
bpx WriteFile 
bpx CreateFile 
bpx SetFilePointer 
bpx GetSystemDirectory 　 
INI 初始化文件相關 
bpx GetPrivateProfileString 
bpx GetPrivateProfileInt 
bpx WritePrivateProfileString 
bpx WritePrivateProfileInt 　 
註冊表相關 
bpx RegCreateKey 
bpx RegDeleteKey 
bpx RegQueryvalue 
bpx RegCloseKey 
bpx RegOpenKey 　 
註冊標誌相關 
bpx cs:eip if EAX==0 　 
內存標準相關 
bpmb cs:eip rw if 0x30:0x45AA==0 　 
顯示相關 
bpx 0x30:0x45AA do "d 0x30:0x44BB" 
bpx CS:0x66CC do "? EAX" 
查找窗口 
FindWindowA 
BP SetFilePointer 

bpx hmemcpy ;破解萬能斷點，攔截內存拷貝動做(注意：Win9x專用斷點) 
bpx Lockmytask ;當你用其它斷點都無效時能夠試一下，這個斷點攔截按鍵的動做(Win9x專用) 

實在找不到斷點能夠試下面的方法： 
bmsg handle wm_gettext ;攔截註冊碼（handle爲對應窗口的句柄）
bmsg handle wm_command ;攔截OK按鈕（handle爲對應窗口的句柄） 

攔截窗口： 
bpx CreateWindow ;建立窗口 
bpx CreateWindowEx(A/W) ;建立窗口 
bpx ShowWindow ;顯示窗口 
bpx UpdateWindow ;更新窗口 
bpx GetWindowText(A/W) ;獲取窗口文本 

攔截消息框： 
bpx MessageBox(A/W) ;建立消息框 
bpx MessageBoxExA(W) ;建立消息框 
bpx MessageBoxIndirect(A/W) ;建立定製消息框 
攔截警告聲： 
bpx MessageBeep ;發出系統警告聲(若是沒有聲卡就直接驅動系統喇叭發聲) 
攔截對話框： 
bpx DialogBox ;建立模態對話框 
bpx DialogBoxParam(A/W) ;建立模態對話框 
bpx DialogBoxIndirect ;建立模態對話框 
bpx DialogBoxIndirectParam(A/W) ;建立模態對話框 
bpx CreateDialog ;建立非模態對話框 
bpx CreateDialogParam(A/W) ;建立非模態對話框 
bpx CreateDialogIndirect ;建立非模態對話框 
bpx CreateDialogIndirectParam(A/W) ;建立非模態對話框 
bpx GetDlgItemText(A/W) ;獲取對話框文本 
bpx GetDlgItemInt ;獲取對話框整數值 
攔截剪貼板： 
bpx GetClipboardData ;獲取剪貼板數據 
攔截註冊表： 
bpx RegOpenKey(A/W) ;打開子健 ( 例：bpx RegOpenKey(A) if *(esp->8)=='****' )
bpx RegOpenKeyExA(W) ;打開子健 ( 例：bpx RegOpenKeyEx if *(esp->8)=='****' ) 
bpx RegQueryValue(A/W) ;查找子健 ( 例：bpx RegQueryValue(A) if *(esp->8)=='****' ) 
bpx RegQueryValueEx(A/W) ;查找子健 ( 例：bpx RegQueryValueEx if *(esp->8)=='****' ) 
bpx RegSetValue(A/W) ;設置子健 ( 例：bpx RegSetValue(A) if *(esp->8)=='****' ) 
bpx RegSetValueEx(A/W) ;設置子健 ( 例：bpx RegSetValueEx(A) if *(esp->8)=='****' ) 
注意:'****'爲指定子鍵名的前4個字符，如子鍵爲'Regcode'，則'****'= 'Regc' 

功能限制攔截斷點： 
bpx EnableMenuItem ;禁止或容許菜單項 
bpx EnableWindow ;禁止或容許窗口 
bmsg hMenu wm_command ;攔截菜單按鍵事件，其中hMenu爲菜單句柄 
bpx K32Thk1632Prolog ;配合bmsg hMenu wm_command使用，能夠經過這個斷點進入菜單處理程序 
應用示例： 
CALL [KERNEL32!K32Thk1632Prolog] 
CALL [......] <-- 由此跟蹤進入菜單處理程序 
CALL [KERNEL32!K32Thk1632Epilog] 

攔截時間： 
bpx GetLocalTime ;獲取本地時間 
bpx GetSystemTime ;獲取系統時間 
bpx GetFileTime ;獲取文件時間 
bpx GetTickCount ;得到自系統成功啓動以來所經歷的毫秒數 
bpx GetCurrentTime ;獲取當前時間（16位） 
bpx SetTimer ;建立定時器 
bpx TimerProc ;定時器超時回調函數 
攔截文件： 
bpx CreateFileA(W) ;建立或打開文件 (32位) 
bpx OpenFile ;打開文件 (32位) 
bpx ReadFile ;讀文件 (32位) 
bpx WriteFile ;寫文件 (32位) 
bpx _lcreat ;建立或打開文件 (16位) 
bpx _lopen ;打開文件 (16位) 
bpx _lread ;讀文件 (16位) 
bpx _lwrite ;寫文件 (16位) 
bpx _hread ;讀文件 (16位) 
bpx _hwrite ;寫文件 (16位) 
攔截驅動器： 
bpx GetDrivetype(A/W) ;獲取磁盤驅動器類型 
bpx GetLogicalDrives ;獲取邏輯驅動器符號 
bpx GetLogicalDriveStringsA(W) ;獲取當前全部邏輯驅動器的根驅動器路徑 
攔截狗： 
bpio -h 378(或27八、3BC) R ;37八、27八、3BC是並行打印端口 
bpio -h 3F8(或2F八、3E八、2E8) R ;3F八、2F八、3E八、2E8是串行端口 
VB程序專用斷點： 
bpx msvbvm60!rtcMsgBox 
bpx msvbvm60!__vbaStrCmp 
bpx msvbvm60!__vbaStrComp 
bpx msvbvm60!__vbaStrCompVar 
bpx msvbvm60!__vbaStrTextCmp 
bpx msvbvm60!__vbaFileOpen 
bpx msvbvm60!__vbaInputFile 
bpx msvbvm60!__vbaFileSeek 
bpx msvbvm60!__vbaWriteFile 
bpx msvbvm60!__vbaFileClose 
bpx msvbvm60!rtcFileAttributes 
bpx msvbvm60!rtcFileDateTime 
bpx msvbvm60!rtcFileLen 
bpx msvbvm60!rtcFileLength 
bpx msvbvm60!__vbaVarInt 
bpx msvbvm60!__vbaVarCmpGe 
bpx msvbvm60!__vbaVarCmpGt 
bpx msvbvm60!__vbaVarCmpLe 
bpx msvbvm60!__vbaVarCmpLt 
bpx msvbvm60!__vbaVarCmpNe 
bpx msvbvm60!__vbaVarTextCmpEq 
bpx msvbvm60!__vbaVarTextCmpGe 
bpx msvbvm60!__vbaVarTextCmpGt 
bpx msvbvm60!__vbaVarTextCmpLe 
bpx msvbvm60!__vbaVarTextCmpLt 
bpx msvbvm60!__vbaVarTextCmpNe 
bpx msvbvm60!__vbaVarTextTstEq 
bpx msvbvm60!__vbaVarTextTstGe 
bpx msvbvm60!__vbaVarTextTstGt 
bpx msvbvm60!__vbaVarTextTstLe 
bpx msvbvm60!__vbaVarTextTstLt 
bpx msvbvm60!__vbaVarTextTstNe 
bpx msvbvm60!__vbaVarTstEq 
bpx msvbvm60!__vbaVarTstGe 
bpx msvbvm60!__vbaVarTstGt 
bpx msvbvm60!__vbaVarTstLe 
bpx msvbvm60!__vbaVarTstLt 
bpx msvbvm60!__vbaVarTstNe 
注意：VB程序仍然可使用普通API函數，只要函數「最終」CALL了這個函數 
上面的斷點對應VB6程序，若是是VB5程序則將msvbvm60改爲msvbvm50便可