脱壳程序闪退自删除，咋办？

weeweez

最近接触到一款软件，直接运行，弹出对话框，需要注册才能解锁功能，这个不必说，肯定是想办法破解的，第一步就是查壳，用peid和Exeinfo PE显示都是Aspack v2.12 -> Alexey Solodovnikov 脱壳用AspackDie141，生成了看似脱壳成功的Unpacked.ExE文件，双击运行，程序闪退，而且自己删除了，再次运行原来那个原程序（没有脱壳之前的），也是闪退，然后自删除，程序应该是带有反调试的，一时间不知道怎么下手，烦请论坛各位大神指点迷津~~万分感谢~~

CrazyNut

下退出断点试试

weeweez

现在的情况是这样，我直接用ollydbg打开那个脱壳后的Unpacked.ExE（说实话我也不知道到底脱壳成功了没有，用peid检测是Borland Delphi 6.0 - 7.0 [Overlay]，貌似是脱壳了），直接查找所有参考文本字符，找到“”注册成功“”句柄，发现前面是个jnz关键跳

不管了，我直接二进制修改为jmp了，希望大力出奇迹

完事以后保存，运行程序，照样闪退，不知道下哪个断点，还有，闪退问题怎么修复？

romobin

几个方法 ： 1 .不脱壳直接破解 smc 或者直接用补丁工具 2. 不脱壳跟算法， 写算法注册机 3. 程序应该会校验当前目录文件， 还有文件名， 自身crc ，可以下CreateFileA 慢慢跟

weeweez

romobin 发表于 2019-12-12 23:26
几个方法 ： 1 .不脱壳直接破解 smc 或者直接用补丁工具 2. 不脱壳跟算法， 写算法注册机 3. 程序应该会校 ...

大神你说的这些对我来讲太高端了，我还理解不了，现在我想问，我直接这样暴力破了，程序闪退，有没有办法修复~~

romobin

看看不脱壳破解或者打补丁的视频教程， 这个是必修课， 如果这个不会那首先要学会解决程序自校验， 程序被脱壳后会校验自身crc ， 如果跟原始的不匹配 ，或者文件大小
不匹配， 那就删除自身或者闪退，这都是很常见的保护方式。一般删除自身都会写出vbs 或者批处理，也可以跟writefile试试

weeweez

romobin 发表于 2019-12-12 23:36
看看不脱壳破解或者打补丁的视频教程， 这个是必修课， 如果这个不会那首先要学会解决程序自校验， 程序被 ...

我脱壳以后，脱壳程序闪退自删除也就算了，那个没有脱壳的源程序居然也闪退并且自删除，电脑重启关机都无效，只有系统恢复或者重装，程序才能正常打开，这是何解？难道程序第一次运行的时候就做了系统标识？然后校验？

romobin

首先排除你软件目录中是不是多了文件 ，比如脱壳后的文件， 有的程序会校验目录中是否多了少了文件
如果全部卸载了重新安装还出现这种情况， 有可能程序释放或者修改了标志存在某个目录或者注册表
你可以用火绒剑之类监控下程序运行流程

weeweez

romobin 发表于 2019-12-13 15:48
首先排除你软件目录中是不是多了文件 ，比如脱壳后的文件， 有的程序会校验目录中是否多了少了文件
如果全 ...

谢谢你的解答，我再尝试一下