livingbody 发表于 2014-10-12 18:29

一个小软件【图章制作系统】大问题啊

本帖最后由 livingbody 于 2014-10-12 18:31 编辑

一个小软件【图章制作系统】不会弄呢。
首先查了壳,用工具脱掉了,再看内容如何过注册等很简单,可是保存后一运行他就自我删除了。脱壳的那个软件也是,OD一运行就没了。
不知道怎么检测的,下的几个断点也没有用,检测文件大小、自校验之类的都没用上。
链接:http://pan.baidu.com/s/1o6iarea里面有未脱壳和已脱壳的软件。
005879D5|.BA 9C7A5800   mov edx,Unpacked.00587A9C                ;正式版
005879DA|.E8 F125ECFF   call Unpacked.00449FD0
005879DF|.BA AC7A5800   mov edx,Unpacked.00587AAC                ;HsjMakeSign
005879E4|.8B83 F4060000 mov eax,dword ptr ds:
005879EA|.E8 E9D2F0FF   call Unpacked.00494CD8
005879EF|.84C0          test al,al
005879F1|.74 2B         je XUnpacked.00587A1E
005879F3|.8D55 FC       lea edx,
005879F6|.8B06          mov eax,dword ptr ds:
005879F8|.8B98 14030000 mov ebx,dword ptr ds:
005879FE|.8BC3          mov eax,ebx
00587A00|.E8 9B25ECFF   call Unpacked.00449FA0
00587A05|.8D45 FC       lea eax,
00587A08|.BA C07A5800   mov edx,Unpacked.00587AC0                ;:已注册
00587A0D|.E8 06CFE7FF   call Unpacked.00404918
00587A12|.8B55 FC       mov edx,
00587A15|.8BC3          mov eax,ebx
00587A17|.E8 B425ECFF   call Unpacked.00449FD0
00587A1C|.EB 29         jmp XUnpacked.00587A47
00587A1E|>8D55 F8       lea edx,
00587A21|.8B06          mov eax,dword ptr ds:
00587A23|.8B98 14030000 mov ebx,dword ptr ds:
00587A29|.8BC3          mov eax,ebx
00587A2B|.E8 7025ECFF   call Unpacked.00449FA0
00587A30|.8D45 F8       lea eax,
00587A33|.BA D07A5800   mov edx,Unpacked.00587AD0                ;:未注册

00586F01   .E8 B6D0F0FF   call Unpacked.00493FBC
00586F06   .8B45 FC       mov eax,dword ptr ss:
00586F09   .8B40 0C       mov eax,dword ptr ds:
00586F0C   .83F8 01       cmp eax,0x1
00586F0F   .0F8E A2000000 jle Unpacked.00586FB7
00586F15   .83F8 02       cmp eax,0x2
00586F18   .75 34         jnz XUnpacked.00586F4E
00586F1A   .6A 00         push 0x0
00586F1C   .68 50725800   push Unpacked.00587250                   ;警告
00586F21   .68 58725800   push Unpacked.00587258                   ;请不要使用逆向版本!\r系统检测到您正在使用的是逆向版本,请立即删除本软件!\r如果您是注册用户(或想继续使用),请和作者联系使用注册版本\r如果您继续使用本版本,本软件保护系统将可能对您的系统进行一定程度的破坏(可能不再提醒您),请直接关机!
00586F26   .8B45 FC       mov eax,dword ptr ss:
00586F29   .E8 DE98ECFF   call Unpacked.0045080C
00586F2E   .50            push eax                                 ; |hOwner
00586F2F   .E8 6809E8FF   call <jmp.&user32.MessageBoxA>         ; \MessageBoxA
00586F34   .6A 00         push 0x0
00586F36   .68 3C735800   push Unpacked.0058733C                   ;严重警告
00586F3B   .68 48735800   push Unpacked.00587348                   ;严重警告!\r请直接关机,否则软件每次可能会随机删除您系统中的一个文件!
00586F40   .8B45 FC       mov eax,dword ptr ss:
00586F43   .E8 C498ECFF   call Unpacked.0045080C
00586F48   .50            push eax                                 ; |hOwner
00586F49   .E8 4E09E8FF   call <jmp.&user32.MessageBoxA>         ; \MessageBoxA
00586F4E   >E8 BDBBE7FF   call Unpacked.00402B10






<div align="left"> </div>

heiheidz 发表于 2014-10-12 18:29

微笑的耗子 发表于 2014-10-12 19:14

飘云上有这个逆向教程,你可以去找找

彡墨鱼灬丶 发表于 2014-10-12 19:50

{:6_216:}这个软件的逆向我记得有收藏过一篇,我去找找

Bill 发表于 2014-10-12 19:51

你都看到有提示了,基本上跳过那里jne,jnz,可以尝试一下。

Crack杰 发表于 2014-10-12 20:24

00493981为关键Call,F7进去追码即可

qilei1102 发表于 2014-10-12 20:31

有3中方法逆向它!!!!!!!!

keke120 发表于 2014-10-12 21:20

这个可以追注册码的

Dean 发表于 2014-10-12 21:25

有字符串的?那应该可以慢慢调试尝试一下的

livingbody 发表于 2014-10-12 21:38

Crack杰 发表于 2014-10-12 20:24
00493981为关键Call,F7进去追码即可

那啥,脱壳了,他自动会删除自己
页: [1] 2
查看完整版本: 一个小软件【图章制作系统】大问题啊