老样子，在窗口函数里找nMsg=0x111，wParam=3（通过xspy查的）的分支：

然后是一段switch-case分支，或者是if-esle分支：根据消息码进入对应的处理，按钮的处理消息是WM_COMMAND，对应的值就是0x111

Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分，是一个内核模式设备驱动程序，它包含有窗口管理器、后台控制窗口和屏幕输出管理等。...

这个VersionInformation结构体变量是在上面那个call401390里填充的：

首先获取Name部分，Name长度需要大于等于5，这里分别取1345四个字符除以10保存到一个数组里

通过MessageBox函数交叉引用定位校验的位置，就分析主要逻辑吧，前面那些初始化无关紧要

在窗口过程里，发现保存编辑框内容的部分：根据控件ID判断哪个接收的是哪个值，然后这里会判断NAME需要大于3字节

Delphi程序，截图不方便注释，之后用IDR直接复制代码到everEdit里写注释了：

这里函数里不知道这个[esi+60h]和[esi+64h]，通过动态调试执行可知，这里是分别获取的用户名和ID号，然后验证逻辑就很简单了，用户名和ID号需要是倒序的即可...

这就好办了，可以做一个自动Fa米粒签到（可以换商品），或者其他好玩的功能。提供几个粗糙的函数：