你还是把程序发上来看看

程序已上传，请大神们帮忙看下，谢谢！

00404CC0  |.  75 1A         |jnz XM2Server.00404CDC
是不是这里呢？

这里我改过 jnz改jmp直接跳，还是会闪退

开两个OD分别带壳和不带壳调试，对比一下比较容易找

不能开两个OD，一是因为哪个壳是加密码的壳，没有正确密码无法启动程序，二是这个有多开检测，只能开启一个~~~~

把脱壳前的文件一起发来，对比才好弄啊

多开可以X掉。第一个问题没懂，总之你先发上来看看呗

就是启动程序会先出来一个密码框让你输入正确密码，只有一个框，什么按键都没有，密码对了就能启动，密码不对什么反应都没有，密码能输入多少位也不清楚，反正无语~加的这个壳倒是直接干掉了，现在就是一启动就闪退~

被加壳的代码是靠输入的密码来解码的，密码算法应该是在6f51d8处，你是怎么脱壳的呢？

闪退断点： bp exitprocess

我也知道是这个，问题是在什么地址上怎么改？？

这个要密码才能脱.

006F519C    3D 98731A9F     cmp eax, 0x9F1A7398                       ; 最终值 = 0x9F1A7398 则密码正确
006F51A1    B8 00000000     mov eax, 0x0
006F51A6    75 11           jnz short 原始.006F51B9
006F51A8    FE87 3E2A4000   inc byte ptr ds:[edi+0x402A3E]
006F51AE    6A 00           push 0x0
006F51B0    FF75 14         push dword ptr ss:[ebp+0x14]
006F51B3    FF97 27294000   call dword ptr ds:[edi+0x402927]
006F51B9    5D              pop ebp
006F51BA    5F              pop edi
006F51BB    5E              pop esi
006F51BC    5B              pop ebx
006F51BD    C2 1000         retn 0x10
006F51C0    817D 18 1201000>cmp dword ptr ss:[ebp+0x18], 0x112
006F51C7  ^ 75 F0           jnz short 原始.006F51B9
006F51C9    817D 1C 60F0000>cmp dword ptr ss:[ebp+0x1C], 0xF060
006F51D0  ^ 75 E7           jnz short 原始.006F51B9
006F51D2    FFA7 0B294000   jmp dword ptr ds:[edi+0x40290B]
006F51D8    33C0            xor eax, eax                              ; 算法开始
006F51DA    51              push ecx
006F51DB    56              push esi
006F51DC    52              push edx
006F51DD    33D2            xor edx, edx
006F51DF    4E              dec esi
006F51E0    46              inc esi
006F51E1    3226            xor ah, byte ptr ds:[esi]                 ; 将 密码的每一位ASCII放在高位 异或
006F51E3    32C2            xor al, dl
006F51E5    05 45444F43     add eax, 0x434F4445                       ; +常量
006F51EA    8AC8            mov cl, al
006F51EC    D3C8            ror eax, cl                               ; 循环右移
006F51EE    35 5A5AAA55     xor eax, 0x55AA5A5A                       ; 异或常量
006F51F3    66:4A           dec dx
006F51F5  ^ 75 EC           jnz short 原始.006F51E3
006F51F7    803E 00         cmp byte ptr ds:[esi], 0x0                ; 相当于循环次数 =  密码长度
006F51FA  ^ 75 E4           jnz short 原始.006F51E0
006F51FC    5A              pop edx
006F51FD    5E              pop esi
006F51FE    59              pop ecx
006F51FF    C3              retn

//下面是填充输入表,没有问题.
006F510F   /EB 04           jmp short 原始.006F5115
006F5111   |8D5417 02       lea edx, dword ptr ds:[edi+edx+0x2]
006F5115   \50              push eax
006F5116    51              push ecx
006F5117    52              push edx
006F5118    50              push eax
006F5119    FF95 A1294000   call dword ptr ss:[ebp+0x4029A1]
006F511F    59              pop ecx
006F5120    0BC0            or eax, eax
006F5122    74 09           je short 原始.006F512D
006F5124    89040F          mov dword ptr ds:[edi+ecx], eax           ; 填充输入表
006F5127    58              pop eax
006F5128    83C1 04         add ecx, 0x4
006F512B  ^ EB CD           jmp short 原始.006F50FA
006F512D    8D8D CA294000   lea ecx, dword ptr ss:[ebp+0x4029CA]
006F5133    8D85 DF294000   lea eax, dword ptr ss:[ebp+0x4029DF]
006F5139    6A 00           push 0x0
006F513B    50              push eax
006F513C    51              push ecx
006F513D    6A 00           push 0x0
006F513F    FF95 0F294000   call dword ptr ss:[ebp+0x40290F]
006F5145    FFA5 0B294000   jmp dword ptr ss:[ebp+0x40290B]
006F514B    8D87 78142700   lea eax, dword ptr ds:[edi+0x271478]
006F5151    FFE0            jmp eax                                   ; OEP
//目测OEP没有密码则解码错误

你脱掉的那个把如下代码NOP掉即可

                                              mov bl,0
0040F16F  |.  A1 14236700   mov eax, dword ptr ds:[0x672314]
0040F174  |.  8906          mov dword ptr ds:[esi], eax
0040F176  |.  EB 0D         jmp short M2.0040F185
0040F178  |>  8B1E          /mov ebx, dword ptr ds:[esi]
0040F17A  |.  FF53 04       |call dword ptr ds:[ebx+0x4]
0040F17D  |.  8BD8          |mov ebx, eax
0040F17F  |.  8B06          |mov eax, dword ptr ds:[esi]
0040F181  |.  8B00          |mov eax, dword ptr ds:[eax]
0040F183  |.  8906          |mov dword ptr ds:[esi], eax
0040F185  |>  84DB           test bl, bl
0040F187  |.  74 05         |je short M2.0040F18E
0040F189  |.  833E 00       |cmp dword ptr ds:[esi], 0x0
0040F18C  |.^ 75 EA         \jnz short M2.0040F178

全NOP

[QUOTE=Mxixihaha;1185016]你脱掉的那个把如下代码NOP掉即可

0040F16F  |.  A1 14236700   mov eax, dword ptr ds:[0x672314]
0040F174  |.  8906          mov dword ptr ds:[esi], eax
0040F176  |. ...[/QUOTE]

谢谢大神，我试下，再次感谢~膜拜~

刚刚已经测试过了，这个方法（全部NOP掉）程序还是闪退~~~

你少了一句修改.  顺便问下,密码是多少?

0040F16D  |.  B3 01         mov bl, 0x1                              ;  改成 mov bl, 0x0

0040F16F      A1 14236700   mov eax, dword ptr ds:[0x672314]         ;  nop
0040F174      8906          mov dword ptr ds:[esi], eax              ;  ..
0040F176      EB 0D         jmp short M2.0040F185                    ;  ..
0040F178      8B1E          /mov ebx, dword ptr ds:[esi]             ;  ..
0040F17A      FF53 04       |call dword ptr ds:[ebx+0x4]             ;  ..
0040F17D      8BD8          |mov ebx, eax                            ;  ..
0040F17F      8B06          |mov eax, dword ptr ds:[esi]             ;  ..
0040F181      8B00          |mov eax, dword ptr ds:[eax]             ;  ..
0040F183      8906          |mov dword ptr ds:[esi], eax             ;  ..
0040F185      84DB           test bl, bl                             ;  ..
0040F187      74 05         |je short M2.0040F18E                    ;  ..
0040F189      833E 00       |cmp dword ptr ds:[esi], 0x0             ;  ..
0040F18C    ^ 75 EA         \jnz short M2.0040F178                   ;  NOP

这个密码我也不知道，强脱的壳。

现在不退了，但还是有问题，所有的关闭功能失效~~

不对,你说谎了. 如果你密码不知道怎么解密出CODE段的代码?  要知道如果爆掉的话 CODE肯定是不正常的

其二,你这个脱壳没有任何问题.经过发现. 程序是绑定了硬件信息而已.  
这个程序的硬件信息是内置的 修改一个跳转即可破解成功.

一直在被忽悠,以为真的是程序效验才来看看. 不老实的求破解,发现了真相.真不逗人喜欢

忽悠???真的没有，对天发誓~这个密码壳真的不用知道密码就可以脱掉，我也是在国外论坛上看到的方法，关于你说的绑定硬件信息就更不是了，我有一个同样的程序，别人给出了密码，只要密码对了就了启动，不会闪退的，然后脱掉壳以后就可直接运行，我对比了两个程序，因为本人懂得不多，怕弄错，所以两个程序都用OD打开一步一步往下走的对比，搞了四五个小时才发现不对的方，这个地方和你给出来要改的地方不一样，但也只是只要改个跳转就行了，不过只是会报错，你这个跳转虽不报错，但关闭功能也没了。
    现在在公司，那个同样的加壳但有密码的程序传不上来，不信的话我传你，你自己试试，有兴趣可以一起聊聊这个东西~

对了，还有一个你应该弄错了，这个程序加的密码壳，密码是不变的，按你说的绑定硬件信息的话，别人拿去后有了密码也运行不了，但这个程序不是说是开发者自己自用的，说白了也是给他钱，他就给密码的，所以绑定硬件信息我觉得根本就不对，再有了这个加壳的软件是2000年那个时候的，加壳软件我也找到了，也反复的试了，同样的方法就能脱掉，反正很无语~

006F51D8    33C0            xor eax, eax                             ; 算法开始
006F51DA    51              push ecx
006F51DB    56              push esi
006F51DC    52              push edx
006F51DD    33D2            xor edx, edx
006F51DF    4E              dec esi
006F51E0    46              inc esi
006F51E1    3226            xor ah, byte ptr ds:[esi]                ; 将 密码的每一位ASCII放在高位 异或
006F51E3    32C2            xor al, dl
006F51E5    05 45444F43     add eax, 0x434F4445                      ; +常量
006F51EA    8AC8            mov cl, al
006F51EC    D3C8            ror eax, cl                              ; 循环右移
006F51EE    35 5A5AAA55     xor eax, 0x55AA5A5A                      ; 异或常量
006F51F3    66:4A           dec dx
006F51F5  ^ 75 EC           jnz short 原始.006F51E3
006F51F7    803E 00         cmp byte ptr ds:[esi], 0x0               ; 相当于循环次数 =  密码长度
006F51FA  ^ 75 E4           jnz short 原始.006F51E0
006F51FC    5A              pop edx
006F51FD    5E              pop esi
006F51FE    59              pop ecx
006F51FF    C3              retn
006F5200    60              pushad                                   ; 用密码解码原始CODE
006F5201    8BF8            mov edi, eax
006F5203    8BF2            mov esi, edx
006F5205    B8 48534148     mov eax, 0x48415348
006F520A    3206            xor al, byte ptr ds:[esi]                ; 启动密码
006F520C    E8 C9FFFFFF     call 原始.006F51DA                         ; 算法开始
006F5211    8BD8            mov ebx, eax
006F5213    3226            xor ah, byte ptr ds:[esi]                ; 继续异或启动密码
006F5215    E8 C0FFFFFF     call 原始.006F51DA                         ; 算法开始
006F521A    C1E9 02         shr ecx, 0x2
006F521D    8BD1            mov edx, ecx
006F521F    3107            xor dword ptr ds:[edi], eax              ; 解密CODE段  如果密码不正确将解密错误
006F5221    8AC8            mov cl, al
006F5223    83C7 04         add edi, 0x4
006F5226    D3C3            rol ebx, cl
006F5228    33C3            xor eax, ebx
006F522A    8ACF            mov cl, bh
006F522C    D3C8            ror eax, cl
006F522E    03D8            add ebx, eax
006F5230    4A              dec edx
006F5231  ^ 75 EC           jnz short 原始.006F521F
006F5233    61              popad
006F5234    C3              retn

没有密码你如何解出正确的代码?  猜?

如果你真的可以,也可以发你的脱壳方法来证实一下. 因为没有正确的密码那个 XOR 的KEY 将是错误的


密码虽是固定的,属于加密壳的启动密码功能. 程序是绑定硬件没有错误. 不用狡辩,看代码说话.   发给你也没什么,但是不老实就是不老实.
硬件信息为 CPUID

00548D6A  |.  8D55 B8       lea edx, dword ptr ss:[ebp-0x48]         ;  算法都是传奇2的稍稍变异封包算法
00548D6D  |.  B8 2C8E5400   mov eax, M2.00548E2C                     ;  ASCII "yjXGBWZN"
00548D72  |.  E8 9124F7FF   call M2.004BB208                         ;  硬件1
00548D77  |.  8B45 B8       mov eax, dword ptr ss:[ebp-0x48]
00548D7A  |.  8D55 BC       lea edx, dword ptr ss:[ebp-0x44]
00548D7D  |.  E8 8624F7FF   call M2.004BB208
00548D82  |.  8D45 BC       lea eax, dword ptr ss:[ebp-0x44]
00548D85  |.  50            push eax
00548D86  |.  8D55 B0       lea edx, dword ptr ss:[ebp-0x50]
00548D89  |.  B8 408E5400   mov eax, M2.00548E40                     ;  ASCII "ybrfIimk"
00548D8E  |.  E8 7524F7FF   call M2.004BB208                         ;  硬件2
00548D93  |.  8B45 B0       mov eax, dword ptr ss:[ebp-0x50]
00548D96  |.  8D55 B4       lea edx, dword ptr ss:[ebp-0x4C]
00548D99  |.  E8 6A24F7FF   call M2.004BB208
00548D9E  |.  8B55 B4       mov edx, dword ptr ss:[ebp-0x4C]
00548DA1  |.  58            pop eax
00548DA2  |.  E8 B1C2EBFF   call M2.00405058
00548DA7  |.  8B55 BC       mov edx, dword ptr ss:[ebp-0x44]
00548DAA  |.  8B45 DC       mov eax, dword ptr ss:[ebp-0x24]
00548DAD  |.  E8 EAC3EBFF   call M2.0040519C                         ;  比较硬件信息中的 CPUID[3]
00548DB2      74 0A         je short M2.00548DBE                     ;  强行JMP 即可
00548DB4  |.  A1 7CB16700   mov eax, dword ptr ds:[0x67B17C]
00548DB9  |.  E8 7283F3FF   call M2.00481130

首先还是要感谢你给出的解决方法，但我也不想和你争论什么，发这贴的时候我已经说了，我只是初学，很多东西不是很懂，我自己在国外论坛上找到了脱壳方法，根本不要密码就能脱，方法也很简单。你自己技术好，至少比我好这是肯定的，但你非要说我是什么不老实，我说谎，很生气，这点我非常不赞同，
     原因很简单，
     第一，你自己技术好，认为没密码不能脱壳就认为我在说谎，天下没有什么是不可能的，你认为不可能的事就真的不可能的话哪所有人都要对你膜拜了~
        第二，我已经在前面对你很谦虚的说了，可以交流一下，也就是说可以给你讲不要密码怎么脱这个壳的，但你呢，直接又是你没兴趣，还是说我狡辩~
        第三，就算你说的是校验机器绑定信息，我一个初学者，只知道是有校验，然后跟据另外一个没有校验的程序得出有闪退校验，这个我说错了吗？我并不像你一样技术好，可以把到底校验什么东西搞清楚，我只知道是闪退，如果我能搞清楚也不会有这个贴子的存在了。
      第四，什么叫我求破解就是求解破，还装什么什么的，这个我更想不通了，根本问题就是闪退，解决闪退校验问题和破解，这两者这间的关系我真不明白你为什么这样说。
      各位来评评理，我哪里不对了，版主如果看到的话出来说句公平话~

还有个问题 我现在也没对你说的这个想通，你说如果绑定了机器信息，别的机器用不了，哪程序作者何必又搞什么密码，（之前就已说明，这程序不是作都自用，也是卖钱的），好就算搞个密码加强保护，但他卖出去给别人，别人的电脑硬件能和他一样，别人拿去后只输个密码就能用了又是为什么，你说的也没有信服力（这只是我自己的理解）

我现在在公司，晚点回去，传怎么脱壳。

脱壳方法就是http://gogil.kr/59这里提供的一个工具“PEPassword Unpacker.exe”。。。