学习yyhd给新手看的（第十四集）注册表验证学习总结(保姆级)

molucky

这期第十四集分享，我研究了很久。最主要原因是，我的分析界面与大佬的界面，完全不同，导致处理问题，花了不少时间。
yyhd第十四集原路径https://www.52pojie.cn/thread-1363767-1-1.html

主要问题在，大佬的分析界面在模块CM，而我的分析界面在模块winahfra。（如果大家也有和我一样的问题，请看以下问题处理贴）
经过Hmily大佬的指导，终于找到了问题的原因，问题处理贴路径https://www.52pojie.cn/thread-1982192-1-1.html

来看软件
这次还是来处理灰色按钮，但是增加了重启验证
思路1：直接把灰色按钮变更黑色，问题直接解决，请看上期教程，在此不做分析。https://www.52pojie.cn/forum.php?mod=viewthread&tid=1981357&page=1#pid51720485
思路2：由于知道这次增加了注册表验证，方法1：增加注册表验证内容（该方法修改注册表），  方法2：跳过注册表验证内容（该方法修改软件）（这次主讲这个思路及2个方法）



开始学习新函数RegOpenKeyExA，这函数是什么意思呢？
函数我的理解就是，软件需要打开注册表的信息，就会停止在打开位置，如果该软件不需要打开注册表，就会直接跳过。
如果软件不需要打开注册表验证，即使勾选了这个函数也会直接跳过。（已验证）

把软件拖进OD



设置RegOpenKeyExA断点





按F9运行软件，到达断点RegOpenKeyExA




取消断点



开始分析
已找到注册表验证路径HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\CM0201，但是使用哪个字符串，字符串的值是什么还未知。

按F8来到第一个retn，我们看到了一个新字段usePASS（如果这个字段是字符串，那字符串的值还未出现）继续分析


经过几次的retn后，再次看到路径中的usePASS，确定这个字段为注册表中的字符串，寻找字符串中的值


后面找到一个字段为52pojie_yyhd，这个可能就是usePASS的值



方法1，修改注册表，新增内容
在不改变软件的前提下，在注册表中，增加HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\CM0201，字符串usePASS=52pojie_yyhd
这样注册表就验证成功了，软件将直接可以打开
来测试结果
win+r，打开运行，输入regedit，打开注册表，
在HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node目录下新增项，命名为CM0201
在CM0201目录下，新建字符串usePASS，修改数值为52pojie_yyhd


注册表中创建完成后验证软件，软件验证成功



方法2，跳过注册表验证内容


关键跳转修改成nop，进行保存打包后，进行验证。



如果您觉得我发的内容确实对您有所帮助，请麻烦您支持一个热心值，进行精神鼓励，也是我继续写下去的动力！

探玄珠

学习学习了                             

WENGL

学习了，谢谢分享。

AlexDK

多谢，学习了

echoofw

感谢楼主的分享，学习了

TLDLCC

谢谢分享，学习！

jinronghuan

又可以学习啦，非常感谢！！

zassaa

学校一下

Ff500177

学习学习

mesleeper

感谢大神分享

feiyang2024

很详细，学习了