一、火绒剑（安全工具-安全分析工具）

1、开启监控
2、打开软件
3、关闭软件
4、停止监控
5、过滤

①进程信息过滤，进程名等于软件的进程名，如zx.exe

②动作过滤

如果没有运行过程序，打开创建注册表和创建文件，如果运行过就打开写入文件和设置注册表项值操作） 根据过滤信息提取有用信息，去除无用信息（如sougou、本地缓冲之类的无用信息），分别分析文件类日志和注册表日志的信息。（提示，一般分析程序运行最后的文件）

先将软件还在试用期时间内的日志文件或注册表的内容进行记录，之后把时间调整到过期的时间，再次运行监控，查看与之前分析的文件或注册表是否有变动 最后根据之前记录的数据进行修改文件或注册表，软件成功再次运行。

例：中兴开启telnet工具 通过日志文件和注册表监控来看，运行程序后将注册表中的HKEY_USERS\S-1-5-21-3358319323-2193513510-2059771232-1001\SOFTWARE\Enigma Protector\BBC46F97A08C19C7-2034D8F1A7BC2C37\CFDBB6E5C21F3349-9DC5719EE0D44AAC\1809C8AC 进行了修改，同时在C:\Users\Houge\AppData\Local\Temp\EDA55E59生成了相关文件，将注册表与文件相互印证比对。

二、破解试用时间限制和使用次数

一是只需将该文件(EDA55E59)删掉，同时将注册表（1809C8AC）的数据修改为在试用期内相对应日期的二进制数据，并把系统时间调整到试用期内的时间就可以重新运行。

二是最简单的方式：将文件(EDA55E59)、注册表（1809C8AC）一并删除 备注：可以使用指定在试用期运行的软件（RunAsDate等），就不用再修改系统时间了。

上述是关于时间的破解，下面介绍关于次数的破解

将注册表中的HKEY_USERS\S-1-5-21-3358319323-2193513510-2059771232-1001\SOFTWARE\Enigma Protector\D98C1DD404B2008F-980980E97E42F8EC\D98C1DD404B2008F-980980E97E42F8EC\00000000文件删除即可，根据注册表路径可知，该软件使用Enigma Protector进行试用期的保护。

注意，火绒剑监控时可以先不用填写监控对象的进程过滤，否则有部分因dll文件调动的文件或注册表的创建、修改无法监控到。

三、进阶分析

通过查看注册表二进制数据分析，上述软件只有在注册表数据与日期相对应才可以正常启动。我们通过修改系统日期的方式逐天进行分析注册表数据的变动情况，最后可以得出

1、软件如果是第一次运行，注册表（1809C8AC）第二行数值数据（00000008）第一位一定是02开始，之后每天运行数值会+1

2、该软件注册表（1809C8AC）只有第二行数值数据（第一位、第三位）根据奇、偶日期分别进行数值计算递增，数值会按正常日期递增+1

3、注册表（1809C8AC）第二行数值数据（00000008）第三位数值相对变动，不会因删除注册表或文件导致从头改变，数值与日期相对应