这一章使用第一人称叙述，使用ai过了一次。
显示器右下角的IDA反汇编窗口泛着冷光，机箱里传来蟑螂啃噬电路板的细响。我把康师傅泡面桶推到桌角，任红油凝成蜡状。sub_4012D0函数的控制流图铺满整个CRT屏幕，德国人用VMProtect加的壳在第七层嵌套里露出破绽——某个跳转指令偏移量出现了非对齐的0xCC断点痕迹。
右手边的IBM Model M键盘突然卡键，空格键弹簧里卡着半片蟑螂翅膀。我捏着镊子清理时，注意到注册验证模块在调用CryptGenRandom前插入了异常的系统空闲检测——这年头连盗版校验都要监测CPU占用率？
从堆满电子元件的抽屉里翻出并口调试器，接上COM2端口。Windows 2000深蓝色的经典壁纸上，Parallel Port Driver的黄色叹号格外刺眼。我咬着舌尖更新完驱动，用SoftICE设下硬件断点。当第七次触发异常时，终于捕获到那个伪装成GDI32.dll导出函数的自校验线程。
"抓到你了......"喉咙里挤出的气声把自己吓了一跳。开发商把RSA密钥拆成三组素数，分别藏在注册表Hive文件、虚拟设备驱动和屏幕保护程序里。我摸出抽屉底层的TDK CD-R，启动刻录机时发现光头被蟑螂分泌物糊住了。
用棉签蘸着无水乙醇清理光驱时，突然想起上周在华强北花30块买的《逆向工程核心原理》。书里提到的Import Address Table Hook检测法，正适合对付这个在运行时动态修补API的壳。切到Windbg输入"!dh -a advapi32"，果然发现LoadLibraryExW的入口点被改写到0x7FFE0300。
凌晨三点四十七分，示波器突然捕捉到PCI总线上的异常时钟脉冲。我在VMware里导入物理内存镜像，用IDA的QEMU插件模拟出特定步进的Pentium III处理器——这是某俄罗斯论坛泄露的破解技巧，专门对付基于CPUID校验的防盗机制。
"验证通过"的绿色弹窗跳出来时，后背的冷汗已经浸透工装衬衫。破解补丁生成器自动生成了七十六个劫持DLL，我却在资源段里发现更惊人的秘密——开发商预留的调试后门，竟是用VB6写的COM组件，校验算法和工控系统常见的Modbus协议高度相似。
汉化工作比预想棘手。用Restorator打开RCData时，发现所有对话框模板都被XOR了动态密钥。挂上OllyDbg追踪CreateDialogIndirectParamA调用栈，终于在消息循环里捕获到密钥生成算法：系统启动时间秒数的平方取末四位。