帮忙看一下,是否是自校验的地方,谢谢

cdygr

我用自动脱壳机脱壳后,程序不能运行(一闪而过),可能有自校验.截取了一段代码,麻烦帮忙看一下(新手,碰碰运气)
004BFCB5  |.  E8 B2000000   CALL <JMP.&msvcrt._initterm>
004BFCBA  |.  83C4 24       ADD ESP,24
004BFCBD  |.  A1 DC924D00   MOV EAX,DWORD PTR DS:[<&msvcrt._acmdln>]
004BFCC2  |.  8B30          MOV ESI,DWORD PTR DS:[EAX]
004BFCC4  |.  8975 8C       MOV DWORD PTR SS:[EBP-74],ESI
004BFCC7  |.  803E 22       CMP BYTE PTR DS:[ESI],22
004BFCCA  |.  75 3A         JNZ SHORT HaAuthor.004BFD06
004BFCCC  |>  46            /INC ESI
004BFCCD  |.  8975 8C       |MOV DWORD PTR SS:[EBP-74],ESI
004BFCD0  |.  8A06          |MOV AL,BYTE PTR DS:[ESI]
004BFCD2  |.  3AC3          |CMP AL,BL
004BFCD4  |.  74 04         |JE SHORT HaAuthor.004BFCDA
004BFCD6  |.  3C 22         |CMP AL,22
004BFCD8  |.^ 75 F2         \JNZ SHORT HaAuthor.004BFCCC
004BFCDA  |>  803E 22       CMP BYTE PTR DS:[ESI],22
004BFCDD  |.  75 04         JNZ SHORT HaAuthor.004BFCE3
004BFCDF  |>  46            INC ESI
004BFCE0  |.  8975 8C       MOV DWORD PTR SS:[EBP-74],ESI
004BFCE3  |>  8A06          MOV AL,BYTE PTR DS:[ESI]
004BFCE5  |.  3AC3          CMP AL,BL
004BFCE7  |.  74 04         JE SHORT HaAuthor.004BFCED
004BFCE9  |.  3C 20         CMP AL,20
004BFCEB  |.^ 76 F2         JBE SHORT HaAuthor.004BFCDF
004BFCED  |>  895D D0       MOV DWORD PTR SS:[EBP-30],EBX
004BFCF0  |.  8D45 A4       LEA EAX,DWORD PTR SS:[EBP-5C]
004BFCF3  |.  50            PUSH EAX                                 ; /pStartupinfo
004BFCF4  |.  FF15 6C854D00 CALL DWORD PTR DS:[<&kernel32.GetStartup>; \GetStartupInfoA
004BFCFA  |.  F645 D0 01    TEST BYTE PTR SS:[EBP-30],1
004BFCFE  |.  74 11         JE SHORT HaAuthor.004BFD11
004BFD00  |.  0FB745 D4     MOVZX EAX,WORD PTR SS:[EBP-2C]
004BFD04  |.  EB 0E         JMP SHORT HaAuthor.004BFD14
004BFD06  |>  803E 20       /CMP BYTE PTR DS:[ESI],20
004BFD09  |.^ 76 D8         |JBE SHORT HaAuthor.004BFCE3
004BFD0B  |.  46            |INC ESI
004BFD0C  |.  8975 8C       |MOV DWORD PTR SS:[EBP-74],ESI
004BFD0F  |.^ EB F5         \JMP SHORT HaAuthor.004BFD06
004BFD11  |>  6A 0A         PUSH 0A
004BFD13  |.  58            POP EAX
004BFD14  |>  50            PUSH EAX
004BFD15  |.  56            PUSH ESI
004BFD16  |.  53            PUSH EBX
004BFD17  |.  53            PUSH EBX                                 ; /pModule
004BFD18  |.  FF15 28854D00 CALL DWORD PTR DS:[<&kernel32.GetModuleH>; \GetModuleHandleA
004BFD1E  |.  50            PUSH EAX
004BFD1F  |.  E8 2C030000   CALL HaAuthor.004C0050
004BFD24  |.  8945 98       MOV DWORD PTR SS:[EBP-68],EAX
004BFD27  |.  50            PUSH EAX                                 ; /status
004BFD28  |.  FF15 D8924D00 CALL DWORD PTR DS:[<&msvcrt.exit>]       ; \exit(此地一直处于运行状态,按什么
                                                                                   键都没有什么反应,不知啥原因)
004BFD2E  |.  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]
004BFD31  |.  8B08          MOV ECX,DWORD PTR DS:[EAX]
004BFD33  |.  8B09          MOV ECX,DWORD PTR DS:[ECX]

程序下载地址:
http://www.namipan.com/d/%e6%b5%b7%e7%99%be%e5%90%88%e8%af%be%e4%bb%b6%e4%b8%93%e5%ae%b62004%e4%b8%aa%e4%ba%ba%e7%89%88.rar/97c607e480e33e233226a8c91a23bae53fe14d9288057902
说明:程序我已经上传至网络硬盘(纳米),绿色版(第一次运行需要输入序列号,里面有,最好复制粘贴,手工输入容易出错)

[ 本帖最后由 cdygr 于 2008-4-3 14:07 编辑 ]

flybar

看看有无调用createfile来打开源文件的，有就可能有自校验，找到自校验的地方就好处理了。

magic659117852

/:012 原程序大么  传上来看看

cdygr

程序30多M,这里不好传呀.愿意帮忙看看的,留下邮箱,我发过来

yybns

传到网盘中。/:001

cdygr

程序我已经上传至网络硬盘(纳米),绿色版(第一次运行需要输入序列号,里面有,最好复制粘贴,手工输入容易出错)
http://www.namipan.com/d/%e6%b5%b7%e7%99%be%e5%90%88%e8%af%be%e4%bb%b6%e4%b8%93%e5%ae%b62004%e4%b8%aa%e4%ba%ba%e7%89%88.rar/97c607e480e33e233226a8c91a23bae53fe14d9288057902

wiliiwin

不是自校验是你脱壳的问题，我脱了可以运行，已运行就出现注册框。

cdygr

第一次运行出现输入序列号,正确以后,程序就退出了.能把你的脱壳文件发给我吗?谢谢([email protected])

wiliiwin

这个程序是你输入序列号后就退出,刚看了下是比较文件大小的,LZ可以用BPX CreateFileA下断点,有个GetSize的函数

cdygr

楼上兄弟,能否给一个教程,学习一下