作为新手，学了一段时间逆向，尝试破解FSCapture9.7遇到不少困难，
也得到了高手的指点，其中一个方法就是堆栈暂停回溯法，引起很多思考。对于这个软件来说，系统暂停后，用户区调用了很多的call才到核心代码。
后来又看论坛了解了，精准型消息断点，x64dbg表达式 打印日志等文章。
针对用户名和密码文本输入的思考有一个想法，对于无法搜索字符串，无法通过文本框下api断点，是不是可以找第一次文本在寄存器中出现的语句下断点？运气好的话可以直接到达关键代码段，就算不能，那也已经非常接近关键代码段，单步跟踪应该也能到达关键代码段。于是做如下尝试：
系统：win7 64
未注册版软件如下
链接：7c9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4i4K6g2X3N6%4u0t1g2%4f1&6h3U0N6D9f1h3x3$3N6$3I4u0c8q4q4q4f1e0q4%4i4K6y4r3M7s2N6V1i4K6y4p5x3$3!0G2y4H3`.`.
提取码：3oo7

过程如下

1.给注册按钮下精准消息断点

参考文章
偷换windows窗口过程 6f7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8X3I4A6P5r3W2S2L8X3N6E0K9h3&6Y4K9r3q4@1k6g2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4K6p5#2z5e0R3I4y4U0b7`.
消息万能断点_win7万能断点  http://bbs.pediy.com/showthread.php?t=98274
精准型消息断点  c7fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9s2g2S2L8X3I4S2L8W2)9J5k6i4A6Z5K9h3S2#2i4K6u0W2j5$3!0E0i4K6u0r3M7q4)9J5c8U0j5K6y4U0f1#2y4e0l9J5y4H3`.`.

首先载入程序，在程序入口自动暂停

点击运行，弹出过期窗口，点击输入注册码按钮，开始注册

输入用户名，密码，此处不要点击注册，进入句柄窗口，获取句柄

进入句柄窗口，点击刷新

显示了当前程序的所有控件句柄信息，选择注册按钮，
此处我们需要复制注册按钮的父窗体句柄，注册按钮的句柄，后面会用到

现在开始下精准消息断点，前提要载入user32.dll的符号信息
搜索internalcallwinproc，F2下断点

进入断点窗口，
精准消息断点参数如下：
模块=user32.dll.__InternalCallWinProc@20
暂停条件   
arg.get(1)==0x父句柄  && arg.get(2)==0x111 && arg.get(4)==0x按钮句柄
举例
arg.get(1)==0x191008 && arg.get(2)==0x111 && arg.get(4)==0xB0DCA

2.通过内存断点返回用户领空

F9运行程序，程序跑起来了，点击注册按钮，程序断在internalcallwinproc处，检查堆栈参数是否正确

返回内存布局页面给code下内存断点

点击F9运行程序，断在用户领空

3.利用步进直到满足条件功能，打印所有的寄存器日志信息

参考
菜鸟的福音-x64dbg完美追踪方案b8aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6X3L8%4u0#2L8g2)9J5k6i4m8Z5M7q4)9K6c8X3#2G2k6q4)9K6c8s2k6A6k6i4N6@1K9s2u0W2j5h3c8Q4x3U0k6S2L8i4m8Q4x3@1u0@1K9h3c8Q4x3@1b7I4z5o6f1#2x3o6t1&6i4K6t1$3j5h3#2H3i4K6y4n7K9r3W2Y4K9r3I4A6k6$3S2@1i4K6y4p5P5o6j5@1k6r3u0Y4      https://bbs.kanxue.com/thread-279502.htm
X64Dbg 介绍->表达式- iBinary   ab6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3K9f1u0A6L8X3q4J5P5g2)9J5c8Y4m8Q4x3V1j5I4y4U0x3#2z5e0p5&6y4g2)9J5k6h3S2@1L8h3H3`.

此时把断点禁止，以免跟踪时被暂停

点击菜单栏的跟踪，选择步进直到满足条件功能

步进直到满足条件的参数设置如下：
日志文本：###{modname@cip}{a:cip}#{i:cip}--->eax{a:eax}--ebx{a:ebx}--ecx{a:ecx}--edx{a:edx}--esp{a:esp}--ebp{a:ebp}--esi{a:esi}--edi_{a:edi}
日志条件：mod.party(cip)!=1  意思是仅当用户领空时打印日志

此处的输出有2种，1.如果选择了日志保存位置，会以log文件的形式，输出到指定目录；2，如果不选择目录，会默认输出到日志选项卡
因为输出内容非常多，此处我们选择保存log文件

点击确定后开始跟踪，指定步数后暂停

4.找到用户名或者密码的语句

找到保存的log目录

利用搜索功能，查找用户名或者密码.
找到第一次出现的用户名或者密码，记下地址

5.用转到表达式功能ctrl+G，定位到代码，下断点。
或者，在到达位置往上找到段的起始位置下断点后跟踪程序

重新运行程序，断在关键代码区域，开始单步跟踪分析程序

跟踪不久发现相关注册信息

继续跟踪，发现了关键跳转语句，跳向不同的注册类型。选择某一个类型即可注册成功。

本文结束

[培训]科锐逆向工程师培训第53期2025年7月8日开班！