下载地址：
本地下载 | Box.net

现象：
我们的USB设备是复合设备，除RNDIS功能之外还有其他的功能，我用IAD来将RNDIS的两个Interface聚合，同时，RNDIS的两个Interface紧接在已有的Interface之后，其接口编号是02、03。在按照MSDN上的inf文件修改过之后，插入设备后可以正确地找到驱动，但安装完驱动之后立刻蓝屏重启，估计是驱动程序初始化时候出现的错误。

分析：
RNDIS的驱动分为两层，一个是rndismpx.sys，一个是usb8023x.sys，前者实现RNDIS协议栈的功能，后者实现USB-RNDIS的枚举、通信等功能。这是因为RNDIS设备本身是总线无关的，只是目前只有USB-RNDIS的功能，但驱动仍然是分层设计的。用WinDBG打开死机后DUMP出来的log文件，可以看到系统崩溃在以下位置：

eax=00000000 ebx=893461b8 ecx=870da99b edx=870da99b esi=870da958 edi=86dd3870
eip=a6c39216 esp=ba507684 ebp=ba507698 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
usb8023x!SelectConfiguration+0x9a:
a6c39216 8a4805          mov     cl,byte ptr [eax+5]        ds:0023:00000005=??
Resetting default scope

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from a6c39472 to a6c39216

STACK_TEXT:
ba507698 a6c39472 00000000 86dd3870 00000000 usb8023x!SelectConfiguration+0x9a
ba5076b0 a6c39aad 86dd3870 896c8de4 86d57738 usb8023x!InitUSB+0x32
ba5076c4 ba3e115b 86e22ecc 86e22efc 86e22cf8 usb8023x!RndisInitializeHandler+0x2d
ba507724 b9dd4dea ba507760 ba507768 b9dd0200 RNDISMPX!RndismpInitialize+0x2eb
ba5078dc b9dd49cc 8a0d9d88 ba507900 ba5079a8 NDIS!ndisMInitializeAdapter+0x3b7
ba5079b0 b9dd48ba 8a0d9d88 00000000 896dc648 NDIS!ndisInitializeAdapter+0xb9
ba5079e4 b9dd5daf 86ddb698 86ddb7bc 86ddb698 NDIS!ndisPnPStartDevice+0xd6
ba507a14 ba3e5ed6 86d57638 86ddb698 86ddb7e0 NDIS!ndisPnPDispatch+0x306
ba507a30 804ef19f 86d57638 00000000 ba507aac RNDISMPX!PnPDispatch+0x4c

可以看到，是在USB初始化检查配置描述符的时候出错的，于是赶紧检查自己的USB配置描述符，并未发现问题，只好用IDA打开usb8023x.sys，进行逆向分析，定位在系统崩溃的位置：

.text:00011210 call ds:__imp__USBD_ParseConfigurationDescriptor@12 ; USBD_ParseConfigurationDescriptor(x,x,x)
.text:00011216 mov cl, [eax+5] ; 系统崩溃处！
.text:00011216 ; 返回值eax为零，造成内存访问错误，导致系统崩溃。

可以发现，usb8023x.sys在调用完解析配置描述符的函数之后，并没有判断是否解析成功。查询WDK文档可知，USBD_ParseConfigurationDescriptor的返回值是一个指针，指向要查询的接口描述符的首字节。如果找不到该接口的编号，则返回NULL。在这里，驱动没有找到我们的接口描述符，又没有进行失败检验，因此造成了内存访问错误，系统崩溃。可是我的接口描述符明明是有的啊，继续往上看：

.text:000111FA and [ebp+arg_0], 0 ; Interface number从0开始
.text:000111FE add ebx, 18h
.text:00011201 cmp byte ptr [esi+4], 0 ; 有几个Interface？
.text:00011205 mov [ebp+var_8], ebx
.text:00011208 jbe short loc_11233
.text:0001120A
.text:0001120A loc_1120A: ; CODE XREF: SelectConfiguration(x)+B5j
.text:0001120A push 0 ; AlternateSetting
.text:0001120C push [ebp+arg_0] ; Interface number
.text:0001120F push esi ; Configuration Descriptors
.text:00011210 call ds:__imp__USBD_ParseConfigurationDescriptor@12 ; USBD_ParseConfigurationDescriptor(x,x,x)
.text:00011216 mov cl, [eax+5] ; 系统崩溃处！
.text:00011216 ; 返回值eax为零，造成内存访问错误，导致系统崩溃。


可以知道，esi=870da958处保存着配置描述符。[ebp+arg_0]是接口的编号，usb8023x.sys将从接口0开始查找，可是我的RNDIS设备是接口2、3开始的，在WinDBG中看看esi处的数据：

0: kd> db 870da958
870da958  09 02 43 00 02 01 04 c0-00 09 04 02 00 01 02 02  ..C.............
870da968  ff 00 05 24 00 20 01 05-24 01 00 01 04 24 02 00  ...$. ..$....$..
870da978  05 24 06 02 03 07 05 83-03 08 00 01 09 04 03 00  .$..............
870da988  02 0a 00 00 00 07 05 84-02 40 00 00 07 05 04 02  .........@......
870da998  40 00 00 00 00 00 00 00-0a 00 05 0a 46 53 66 6d  @...........FSfm

其中前9个字节的配置描述符并不是从我的设备上传上来的，应该是Windows驱动在对复合设备进行描述符分析的时候自动生成的，可是后面的具体的接口、CDC、端点描述符确是直接memcpy过来的，而usb8023x.sys首先从接口0开始解析，然而接口0是不存在的，自然造成系统的崩溃。

解决：
这个问题主要是usb8023x.sys认定RNDIS的接口必须从0开始，而且驱动没有进行函数返回值的判断，造成的系统崩溃。解决方法也很简单，只需要把自己的设备的RNDIS的接口放到最前面即可。当然，如果USB设备不是复合设备，只有RNDIS一个功能，那么这些问题应该都不会遇到。

转载请注明出处，谢谢。

感谢Design Science公司的宽容，软件很好用，经济条件允许的，请购买正版。

下载：
Box.net | SkyDrive

2010-8-20：之前下载了注册机的童鞋们，不好意思，由于我的电脑之前中了Delphi梦魇病毒，该病毒会感染Delphi编译器，造成Delphi编译的新的程序都带有病毒，但是该病毒不具有破坏力，请各位放心。如果您使用了我的Keymaker，并且机器上有安装Delphi，请把该病毒杀掉（杀的方法可以google或者联系我）。现在已经重新上传了新编译的Keymaker，可以重新下载，谢谢。

买了财智6的一年的授权，暗骂了声财智越来越黑了。上网下了几盘棋，状态还不错，居然还有一盘棋在严重劣势的情况下最后半目获胜的，应该说是运气比较好。

实在是觉得应该干点啥纪念一下，于是把Winfig 4.1给破解了。这个之前做过2.13的注册机，作者改了算法，我就花了点时间，把4.1的keygen给做了，作为新年给自己的礼物，作为纪念吧。

不过之前答应过作者了，不流传该软件的注册机，也不流传任何的keyfile，所以我也不知道我为啥要做这个keygen，只好算是给自己的礼物，呵呵。

感谢Design Science公司的宽容，Mathtype真的很好用，如果喜欢的话，请购买正版。

不截图了，跟以前的一样。

悄悄下载的地址：
Box.net | eSnips | Skydrive

Enjoy it.

此注册机仅供学习研究使用，请勿用于非法用途，请在下载之后24小时内删除，如果您喜欢此软件，请购买正版。

截图：

下载：
Box.net | eSnips | SkyDrive

说点题外话，在写注册机的时候，找到两年多前做的4.1.2的注册机源代码，发现那时候写了一句话，用那个注册机来纪念我的毕业设计，那时候正是大四下学期，正在做毕设，问题很多，弄得头大的不行。而两年多之后的今天，则是找工作已经尘埃落定，我也快告别我的学生生涯了，时间过的很快，也颇有些失落和惆怅，毕竟无忧无虑的日子将再也不复存在了啊，也许几年后的我会再在无意中找到现在做的这个注册机，只是不知道那时会有何感想。

PS1. 这个注册机仅限于桌面版本的，PPC版本的不能用。因为我手里没有合适的手持设备，如果谁有的话，可以联系我，据我观察好像手持设备的注册验证算法也在程序里面。
PS2. 对于这个注册机，调试的不多，也许对于有些Email，生成的注册码不能用，那就实在抱歉了，用默认的用户名，生成的注册码我是试验过的，应该可以用。

破解不难，做了个Patch+Keygen的破解，有需要的可以下载：

eSnips | uushare | SkyDrive

Enjoy it!

保护方式和以前的一样，仍然是Armadillo的壳，然后用的壳的SDK实现的Key和使用日期的限制，破解起来很容易，用工具可以全自动的解决。但考虑到版权问题，这里不提供下载地址了。先上网下载一份dilloDIE 1.5，用默认设置就可以脱掉Fusiondesk.exe的Armadillo壳，但脱完壳之后还不能运行，因为缺少armaccess.dll文件，上网下一份这个dll文件，放在同目录下，就可以使用了，脱壳后的版本就是完整版了。

前两天这个软件升级到1.60了，还是有不少我喜欢的新功能的，来，继续爆破之——对于试用版没法写注册机，嗯。简单说说斗智斗勇的过程吧，这个过程还在继续中，呵呵。我是从1.49开始知道这个软件并开始破解的，由于最开始1.41版的试用版和正式版完全一样，所以网上有流传的注册机，估计注册算法没变，所以后来的试用版本中，到处都是“DELETE * FROM REGCODE”这样的字符串，目的就是在试用版里面清除一切注册信息，一开始我还挺不能理解的，现在理解了，嗯。不过你加就加嘛，整个程序里面到处都加，基本上随便用一个功能，都要干掉一遍注册信息，我真的觉得作者这么干不累吗？

爆破嘛，比较简单。FormCreate里面两个点，一个IsDebuggerPresent，一个校验文件大小，爆掉之后就能进入主程序了。在编辑和很多地方都有暗桩，暗桩就是判断是不是已经收藏了50部影片。在新增的地方有提示，超过50部不让添加，爆破都比较简单。1.49版里面，提示字符串就是标准的字符串，可以很容易搜索到，1.50里面用了个简单的异或加密，对于50部影片的这个数量的校验，1.49里面全都是浮点型的比较，1.50里面有浮点型还有一些简单计算后的比较，这些都没啥，挺正常的。

到了1.60可好，字符串加密用上了更复杂的加密算法，我没仔细看，好像是变形的Base64+RSA吧，因为里面出现了65537，反正是用到了FGInt这个大数库，而且更强大的是，连50次的校验也用这个东西来解密，最狠的是，在frmMain里面有三个Timer，其中后两个都在用大数库来校验50次，我怒，大数运算还是有点耗CPU的，不能一天到晚都用来干这事吧……

其他的暗桩的爆破方法都跟原来的一样，但1.60版里面还新增了一个暗桩，那就是脱过壳的程序将无法从网上下载影片的资料，也无法更新IMDB评分、票房啦之类的信息。这还颇让我为难了一阵儿，后来发现是程序在在线下载资料的时候，加上了判断可执行文件日期时间的部分，如果发现创建时间不对，就不进行网页数据的解析，于是就一直在那儿下载而不见动作了，随便找个软件把日期改成和原来的一样就好了。

这么说吧，保护自己的软件无可厚非，但是保护到现在这个份儿上真的没啥必要了，弄一大堆大数库来进行加密，又费时费力又不起啥作用。暗桩弄得一大堆，当Cracker的考验还成，否则的话，其实挺没劲的，是吧。

在上一篇文章中，我提到了1.49版的破解，但其实我主要是想介绍一下软件的，破解只是提到而已。CHD论坛上有贴子谈到这个软件，也有人提到我的文章，很遗憾，被有人认为我在显摆。说实在的，这个软件的破解非常简单，在作者的博客中也提到了，只要粗通加解密技术的就能轻松地破解，因此破解这么个软件，真的没有什么值得炫耀的，所以有人觉得我在炫耀，我只能说很抱歉了。不过我在写那篇文章的时候的确是有点不爽，我实在是觉得自己什么都不了解就轻视别人，好为人师很不好。

回到正题吧，1.50和1.49的破解方法基本一样，同1.41版本不同，试用版里只在About窗口内有验证注册算法的地方，其他地方没有验证，只有强行地将影片收藏的上限设在50个，然后加了几个不是很复杂的暗桩。在1.50版本里，为了不让cracker通过字符串参考快速找到提示，将字符串做了一个简单的加密——其实就是个异或的变换，很简单的。

由于试用版没有验证的地方，而正式版又不提供下载，所以只能做一个爆破的版本。爆破的方式就是将影片收藏的上限从50个改成了10000个，同时去掉了主界面上的注册按钮，去掉了标题栏上的未注册的标识，在关于窗口里把“未注册”改成了“已注册”——其实都是小改动，难度不大，相信学过一点加解密技术的都能很轻松地实现。

对于软件的破解，在软件官方博客上，作者有这样的文章，请每个想使用破解的兄弟都先看看这篇文章。

软件只有28元，如果真的喜欢，请花钱购买，想试用一下破解版，请在本文后面留言。不再提供破解版的下载了，已经留言的我都发过了，作者做点软件也不容易，主页上的1.51版，说到底为啥升级大家都知道。后来的朋友们，对不起了。