cdygr 发表于 2008-4-3 10:02:46

帮忙看一下,是否是自校验的地方,谢谢

我用自动脱壳机脱壳后,程序不能运行(一闪而过),可能有自校验.截取了一段代码,麻烦帮忙看一下(新手,碰碰运气)
004BFCB5|.E8 B2000000   CALL <JMP.&msvcrt._initterm>
004BFCBA|.83C4 24       ADD ESP,24
004BFCBD|.A1 DC924D00   MOV EAX,DWORD PTR DS:[<&msvcrt._acmdln>]
004BFCC2|.8B30          MOV ESI,DWORD PTR DS:
004BFCC4|.8975 8C       MOV DWORD PTR SS:,ESI
004BFCC7|.803E 22       CMP BYTE PTR DS:,22
004BFCCA|.75 3A         JNZ SHORT HaAuthor.004BFD06
004BFCCC|>46            /INC ESI
004BFCCD|.8975 8C       |MOV DWORD PTR SS:,ESI
004BFCD0|.8A06          |MOV AL,BYTE PTR DS:
004BFCD2|.3AC3          |CMP AL,BL
004BFCD4|.74 04         |JE SHORT HaAuthor.004BFCDA
004BFCD6|.3C 22         |CMP AL,22
004BFCD8|.^ 75 F2         \JNZ SHORT HaAuthor.004BFCCC
004BFCDA|>803E 22       CMP BYTE PTR DS:,22
004BFCDD|.75 04         JNZ SHORT HaAuthor.004BFCE3
004BFCDF|>46            INC ESI
004BFCE0|.8975 8C       MOV DWORD PTR SS:,ESI
004BFCE3|>8A06          MOV AL,BYTE PTR DS:
004BFCE5|.3AC3          CMP AL,BL
004BFCE7|.74 04         JE SHORT HaAuthor.004BFCED
004BFCE9|.3C 20         CMP AL,20
004BFCEB|.^ 76 F2         JBE SHORT HaAuthor.004BFCDF
004BFCED|>895D D0       MOV DWORD PTR SS:,EBX
004BFCF0|.8D45 A4       LEA EAX,DWORD PTR SS:
004BFCF3|.50            PUSH EAX                                 ; /pStartupinfo
004BFCF4|.FF15 6C854D00 CALL DWORD PTR DS:[<&kernel32.GetStartup>; \GetStartupInfoA
004BFCFA|.F645 D0 01    TEST BYTE PTR SS:,1
004BFCFE|.74 11         JE SHORT HaAuthor.004BFD11
004BFD00|.0FB745 D4   MOVZX EAX,WORD PTR SS:
004BFD04|.EB 0E         JMP SHORT HaAuthor.004BFD14
004BFD06|>803E 20       /CMP BYTE PTR DS:,20
004BFD09|.^ 76 D8         |JBE SHORT HaAuthor.004BFCE3
004BFD0B|.46            |INC ESI
004BFD0C|.8975 8C       |MOV DWORD PTR SS:,ESI
004BFD0F|.^ EB F5         \JMP SHORT HaAuthor.004BFD06
004BFD11|>6A 0A         PUSH 0A
004BFD13|.58            POP EAX
004BFD14|>50            PUSH EAX
004BFD15|.56            PUSH ESI
004BFD16|.53            PUSH EBX
004BFD17|.53            PUSH EBX                                 ; /pModule
004BFD18|.FF15 28854D00 CALL DWORD PTR DS:[<&kernel32.GetModuleH>; \GetModuleHandleA
004BFD1E|.50            PUSH EAX
004BFD1F|.E8 2C030000   CALL HaAuthor.004C0050
004BFD24|.8945 98       MOV DWORD PTR SS:,EAX
004BFD27|.50            PUSH EAX                                 ; /status
004BFD28|.FF15 D8924D00 CALL DWORD PTR DS:[<&msvcrt.exit>]       ; \exit(此地一直处于运行状态,按什么
                                                                                 键都没有什么反应,不知啥原因)
004BFD2E|.8B45 EC       MOV EAX,DWORD PTR SS:
004BFD31|.8B08          MOV ECX,DWORD PTR DS:
004BFD33|.8B09          MOV ECX,DWORD PTR DS:

程序下载地址:
http://www.namipan.com/d/%e6%b5%b7%e7%99%be%e5%90%88%e8%af%be%e4%bb%b6%e4%b8%93%e5%ae%b62004%e4%b8%aa%e4%ba%ba%e7%89%88.rar/97c607e480e33e233226a8c91a23bae53fe14d9288057902
说明:程序我已经上传至网络硬盘(纳米),绿色版(第一次运行需要输入序列号,里面有,最好复制粘贴,手工输入容易出错)

[ 本帖最后由 cdygr 于 2008-4-3 14:07 编辑 ]

flybar 发表于 2008-4-3 11:53:13

看看有无调用createfile来打开源文件的,有就可能有自校验,找到自校验的地方就好处理了。

magic659117852 发表于 2008-4-3 12:28:57

/:012 原程序大么传上来看看

cdygr 发表于 2008-4-3 13:36:15

程序30多M,这里不好传呀.愿意帮忙看看的,留下邮箱,我发过来

yybns 发表于 2008-4-3 13:54:14

传到网盘中。/:001

cdygr 发表于 2008-4-3 14:05:58

程序我已经上传至网络硬盘(纳米),绿色版(第一次运行需要输入序列号,里面有,最好复制粘贴,手工输入容易出错)
http://www.namipan.com/d/%e6%b5%b7%e7%99%be%e5%90%88%e8%af%be%e4%bb%b6%e4%b8%93%e5%ae%b62004%e4%b8%aa%e4%ba%ba%e7%89%88.rar/97c607e480e33e233226a8c91a23bae53fe14d9288057902

wiliiwin 发表于 2008-4-3 15:47:36

不是自校验是你脱壳的问题,我脱了可以运行,已运行就出现注册框。

cdygr 发表于 2008-4-3 15:54:52

第一次运行出现输入序列号,正确以后,程序就退出了.能把你的脱壳文件发给我吗?谢谢([email protected])

wiliiwin 发表于 2008-4-3 18:19:54

这个程序是你输入序列号后就退出,刚看了下是比较文件大小的,LZ可以用BPX CreateFileA下断点,有个GetSize的函数

cdygr 发表于 2008-4-3 19:58:55

楼上兄弟,能否给一个教程,学习一下
页: [1] 2
查看完整版本: 帮忙看一下,是否是自校验的地方,谢谢