Securom7应该是现在最新版本的Securom了，现在我们来初步研究下。这次的目标是发明工坊2繁体版（其实被Securom7保护的游戏很多，但是像发明工坊2这样只有1CD容量的极少......）
首先入口与前一代有了区别，在区段上这次多了一个.INIT段，入口也指向这个区段内，而前一代是指向.text段内，通过跟踪得知这个区段的作用仅仅是为了解码并填充.text区段的代码（文件中.text区段的文件大小是0）。然后为了以后能跳过这一步，我们在运行到达.text区段的时候dump并修正OEP。这样的文件并不会影响Securom7的正确运行。
然后，从这里的OEP来看，Securom7像是用C++写的，当然这只是题外话。然后在他的WinMain里面才体现出与前一代明显的不同。这一次Securom7的代码非常的难以阅读，模式化的花指令使用，一片片的T标志位检查，还有对随处对代码的计算和的使用，其实如果只是前面2个，完全可以使用工具去处。但是第3个就会出问题，Securom7对代码计算和的使用有两种：一、判断是否与预期的计算和一致，不一致就引发异常；二、使用计算和参与2次加法运算，并以计算结果为下一个EIP。在这两种方法的交替使用下，想看懂代码确实很难。
之后Securom将出现异常，原因是他将检查每个0x1000的整数倍的地址的起始字节是不是"MZ"，从程序的ImageBase+ImageSize至0xC0000000，估计目的是枚举内存中的模块。
下面如果你使用OD调试状态来运行，Securom会给你一个提示说一个必要的安全模块不能激活，不能继续执行。以分析而言，Securom7在运行中解压了一个DLL，它的注释是Securom context library for Explorer（好象是这个，忘了，因为后面并不需要关心它）。所以推测Securom在运行中会向父进程加载这个DLL，然后这个DLL在写入一些什么东西给Securom，以实现继续正确运行。
鉴于此，我们使用其他方法获取了程序的OEP，并dump后使用PEID检测为Borland C++ 1999。
下面我们来看这个dump出来的程序，首先我们看见区段表中不再有Securom的4个区段，然后我们使用OD载入之后发现IAT很完整，调用也没什么问题，但是有些call却是指向一个jmp []，其内存地址处于.Securom区段中，所以我们修改区段表，把被隐藏的Securom的部分重新补出。
然后我们进入了第一个JMP []（地址忘了，不是在自己机器上写的这个帖子...），首先是3个PUSH，然后PUSHFD，修改[ESP+4]，然后POPFD，然后RETN至解码重定向过程。当然我们可以例遍所有的重定向将他们还原。
之后，我们看见大部分的这些跳转都回到了游戏的.text区段中，但是有一些还是在其他的地方，那些是Securom7的最大变态之处。这种偷代码的技术在很多保护软件中都有，但是像Securom7这种一偷就是一个过程，而且数量高达500个以上的我想不会太多。
在被偷走的代码里，被变形的并不多，只是会在遇到call的时候进行下变形，会是下面几种可能：
push 下一段代码的起点
jmp 调用位置
垃圾字节
下一段代码开始
或者是：
push 下一段代码的起点
push 调用位置
retn
垃圾字节
下一段代码开始

之中还会有一些对某个地址内的值减1的操作，然后你会发现减之前这些内存位置中的值就是1，为什么呢？其实只是为了下面那个je指令能成立，然后那个je指令会带我们回到游戏的.text区段中的一条让刚才做过减法的内存地址获得一个新的值，然后再下面是一个jmp指令回到前面je指令后面一条指令继续执行，也就是说实际上是一段没有任何意义的代码。
当然其中还有另一种变形的方式，只不过用的相对较少：
push Loc1
push Loc1
retn
垃圾字节
Loc1:
mov reg, 常量1 <-随机产生，或者是某个垃圾字节的位置
xor reg, 常量2 <-随机产生，或者是某个垃圾字节的位置
push reg
add [esp+4], 常量3 <-修改返回的地址
retn
好了，目前我也就到了这一步，希望没说什么让大家觉得奇怪的话。:D: