|
本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!
5HB
本帖最后由 livingbody 于 2014-10-12 18:31 编辑
一个小软件【图章制作系统】不会弄呢。
首先查了壳,用工具脱掉了,再看内容如何过注册等很简单,可是保存后一运行他就自我删除了。脱壳的那个软件也是,OD一运行就没了。
不知道怎么检测的,下的几个断点也没有用,检测文件大小、自校验之类的都没用上。
里面有未脱壳和已脱壳的软件。
- 005879D5 |. BA 9C7A5800 mov edx,Unpacked.00587A9C ; 正式版
- 005879DA |. E8 F125ECFF call Unpacked.00449FD0
- 005879DF |. BA AC7A5800 mov edx,Unpacked.00587AAC ; HsjMakeSign
- 005879E4 |. 8B83 F4060000 mov eax,dword ptr ds:[ebx+0x6F4]
- 005879EA |. E8 E9D2F0FF call Unpacked.00494CD8
- 005879EF |. 84C0 test al,al
- 005879F1 |. 74 2B je XUnpacked.00587A1E
- 005879F3 |. 8D55 FC lea edx,[local.1]
- 005879F6 |. 8B06 mov eax,dword ptr ds:[esi]
- 005879F8 |. 8B98 14030000 mov ebx,dword ptr ds:[eax+0x314]
- 005879FE |. 8BC3 mov eax,ebx
- 00587A00 |. E8 9B25ECFF call Unpacked.00449FA0
- 00587A05 |. 8D45 FC lea eax,[local.1]
- 00587A08 |. BA C07A5800 mov edx,Unpacked.00587AC0 ; :已注册
- 00587A0D |. E8 06CFE7FF call Unpacked.00404918
- 00587A12 |. 8B55 FC mov edx,[local.1]
- 00587A15 |. 8BC3 mov eax,ebx
- 00587A17 |. E8 B425ECFF call Unpacked.00449FD0
- 00587A1C |. EB 29 jmp XUnpacked.00587A47
- 00587A1E |> 8D55 F8 lea edx,[local.2]
- 00587A21 |. 8B06 mov eax,dword ptr ds:[esi]
- 00587A23 |. 8B98 14030000 mov ebx,dword ptr ds:[eax+0x314]
- 00587A29 |. 8BC3 mov eax,ebx
- 00587A2B |. E8 7025ECFF call Unpacked.00449FA0
- 00587A30 |. 8D45 F8 lea eax,[local.2]
- 00587A33 |. BA D07A5800 mov edx,Unpacked.00587AD0 ; :未注册
- 00586F01 . E8 B6D0F0FF call Unpacked.00493FBC
- 00586F06 . 8B45 FC mov eax,dword ptr ss:[ebp-0x4]
- 00586F09 . 8B40 0C mov eax,dword ptr ds:[eax+0xC]
- 00586F0C . 83F8 01 cmp eax,0x1
- 00586F0F . 0F8E A2000000 jle Unpacked.00586FB7
- 00586F15 . 83F8 02 cmp eax,0x2
- 00586F18 . 75 34 jnz XUnpacked.00586F4E
- 00586F1A . 6A 00 push 0x0
- 00586F1C . 68 50725800 push Unpacked.00587250 ; 警告
- 00586F21 . 68 58725800 push Unpacked.00587258 ; 请不要使用逆向版本!\r系统检测到您正在使用的是逆向版本,请立即删除本软件!\r如果您是注册用户(或想继续使用),请和作者联系使用注册版本\r如果您继续使用本版本,本软件保护系统将可能对您的系统进行一定程度的破坏(可能不再提醒您),请直接关机!
- 00586F26 . 8B45 FC mov eax,dword ptr ss:[ebp-0x4]
- 00586F29 . E8 DE98ECFF call Unpacked.0045080C
- 00586F2E . 50 push eax ; |hOwner
- 00586F2F . E8 6809E8FF call <jmp.&user32.MessageBoxA> ; \MessageBoxA
- 00586F34 . 6A 00 push 0x0
- 00586F36 . 68 3C735800 push Unpacked.0058733C ; 严重警告
- 00586F3B . 68 48735800 push Unpacked.00587348 ; 严重警告!\r请直接关机,否则软件每次可能会随机删除您系统中的一个文件!
- 00586F40 . 8B45 FC mov eax,dword ptr ss:[ebp-0x4]
- 00586F43 . E8 C498ECFF call Unpacked.0045080C
- 00586F48 . 50 push eax ; |hOwner
- 00586F49 . E8 4E09E8FF call <jmp.&user32.MessageBoxA> ; \MessageBoxA
- 00586F4E > E8 BDBBE7FF call Unpacked.00402B10
- <div align="left"> </div>
复制代码
|
评分
-
参与人数 1 | THX +1 |
收起
理由
|
heiheidz
| + 1 |
链接: http://pan.baidu.com/s/1qWBczwS 密码: |
查看全部评分
|