一个小软件【图章制作系统】大问题啊

一个小软件【图章制作系统】不会弄呢。
首先查了壳，用工具脱掉了，再看内容如何过注册等很简单，可是保存后一运行他就自我删除了。脱壳的那个软件也是，OD一运行就没了。
不知道怎么检测的，下的几个断点也没有用，检测文件大小、自校验之类的都没用上。

链接：http://pan.baidu.com/s/1o6iarea

里面有未脱壳和已脱壳的软件。

1. 005879D5  |.  BA 9C7A5800   mov edx,Unpacked.00587A9C                ;  正式版
   
2. 005879DA  |.  E8 F125ECFF   call Unpacked.00449FD0
   
3. 005879DF  |.  BA AC7A5800   mov edx,Unpacked.00587AAC                ;  HsjMakeSign
   
4. 005879E4  |.  8B83 F4060000 mov eax,dword ptr ds:[ebx+0x6F4]
   
5. 005879EA  |.  E8 E9D2F0FF   call Unpacked.00494CD8
   
6. 005879EF  |.  84C0          test al,al
   
7. 005879F1  |.  74 2B         je XUnpacked.00587A1E
   
8. 005879F3  |.  8D55 FC       lea edx,[local.1]
   
9. 005879F6  |.  8B06          mov eax,dword ptr ds:[esi]
   
10. 005879F8  |.  8B98 14030000 mov ebx,dword ptr ds:[eax+0x314]
    
11. 005879FE  |.  8BC3          mov eax,ebx
    
12. 00587A00  |.  E8 9B25ECFF   call Unpacked.00449FA0
    
13. 00587A05  |.  8D45 FC       lea eax,[local.1]
    
14. 00587A08  |.  BA C07A5800   mov edx,Unpacked.00587AC0                ;  :已注册
    
15. 00587A0D  |.  E8 06CFE7FF   call Unpacked.00404918
    
16. 00587A12  |.  8B55 FC       mov edx,[local.1]
    
17. 00587A15  |.  8BC3          mov eax,ebx
    
18. 00587A17  |.  E8 B425ECFF   call Unpacked.00449FD0
    
19. 00587A1C  |.  EB 29         jmp XUnpacked.00587A47
    
20. 00587A1E  |>  8D55 F8       lea edx,[local.2]
    
21. 00587A21  |.  8B06          mov eax,dword ptr ds:[esi]
    
22. 00587A23  |.  8B98 14030000 mov ebx,dword ptr ds:[eax+0x314]
    
23. 00587A29  |.  8BC3          mov eax,ebx
    
24. 00587A2B  |.  E8 7025ECFF   call Unpacked.00449FA0
    
25. 00587A30  |.  8D45 F8       lea eax,[local.2]
    
26. 00587A33  |.  BA D07A5800   mov edx,Unpacked.00587AD0                ;  :未注册
    
27. 
    
28. 00586F01   .  E8 B6D0F0FF   call Unpacked.00493FBC
    
29. 00586F06   .  8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
    
30. 00586F09   .  8B40 0C       mov eax,dword ptr ds:[eax+0xC]
    
31. 00586F0C   .  83F8 01       cmp eax,0x1
    
32. 00586F0F   .  0F8E A2000000 jle Unpacked.00586FB7
    
33. 00586F15   .  83F8 02       cmp eax,0x2
    
34. 00586F18   .  75 34         jnz XUnpacked.00586F4E
    
35. 00586F1A   .  6A 00         push 0x0
    
36. 00586F1C   .  68 50725800   push Unpacked.00587250                   ;  警告
    
37. 00586F21   .  68 58725800   push Unpacked.00587258                   ;  请不要使用逆向版本!\r系统检测到您正在使用的是逆向版本,请立即删除本软件!\r如果您是注册用户(或想继续使用),请和作者联系使用注册版本\r如果您继续使用本版本,本软件保护系统将可能对您的系统进行一定程度的破坏(可能不再提醒您),请直接关机!
    
38. 00586F26   .  8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
    
39. 00586F29   .  E8 DE98ECFF   call Unpacked.0045080C
    
40. 00586F2E   .  50            push eax                                 ; |hOwner
    
41. 00586F2F   .  E8 6809E8FF   call <jmp.&user32.MessageBoxA>           ; \MessageBoxA
    
42. 00586F34   .  6A 00         push 0x0
    
43. 00586F36   .  68 3C735800   push Unpacked.0058733C                   ;  严重警告
    
44. 00586F3B   .  68 48735800   push Unpacked.00587348                   ;  严重警告!\r请直接关机,否则软件每次可能会随机删除您系统中的一个文件!
    
45. 00586F40   .  8B45 FC       mov eax,dword ptr ss:[ebp-0x4]
    
46. 00586F43   .  E8 C498ECFF   call Unpacked.0045080C
    
47. 00586F48   .  50            push eax                                 ; |hOwner
    
48. 00586F49   .  E8 4E09E8FF   call <jmp.&user32.MessageBoxA>           ; \MessageBoxA
    
49. 00586F4E   >  E8 BDBBE7FF   call Unpacked.00402B10
    
50. 
    
51. 
    
52. 
    
53. 
    
54. 
    
55. 
    
56. <div align="left"> </div>

复制代码

飘云上有这个逆向教程，你可以去找找

这个软件的逆向我记得有收藏过一篇，我去找找

你都看到有提示了，基本上跳过那里jne,jnz，可以尝试一下。

00493981为关键Call，F7进去追码即可

有3中方法逆向它！！！！！！！！

这个可以追注册码的

有字符串的？那应该可以慢慢调试尝试一下的

Crack杰 发表于 2014-10-12 20:24
00493981为关键Call，F7进去追码即可

那啥，脱壳了，他自动会删除自己