當前位置:→ 股海網股軟教程 → 正文
  • 一步步教你1分鐘內脫掉通達信的衣服

  • 相關簡介:一步步教你1分鐘內脫掉通達信的衣服 以通達信3月6日發布的金融終端V7.48為例,使用OEP的方法脫VMP殼,當然這個方法僅限于簡單加密的,復雜加密的這個方法不適用 所需要的工具下載地址,請盡量去52和諧官方網站下: 用https替換://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar 用https替換://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E

  • 文章來源:股海網發布時間:2020-03-16 19:39:09瀏覽次數:下載次數:0收藏:

一步步教你1分鐘內脫掉通達信的衣服

以通達信3月6日發布的金融終端V7.48為例,使用OEP的方法脫VMP殼,當然這個方法僅限于簡單加密的,復雜加密的這個方法不適用

所需要的工具下載地址,請盡量去52和諧官方網站下:
用https替換://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
用https替換://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar

1.把tdxw.exe拖入到OD,讓其正常運行;



2. 在OD界面 Ctrl + G,會出現“輸入要跟隨的表達式”窗口,輸入00401000,點OK,會跳轉到00401000代碼處;



3. CTRL + B,在Hex處拷貝要查找的二進制串:
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57 89 65 E8 33 DB 89 5D FC 6A 02   
確定后會跳轉008C86A7處,往上5行也就是008C8698 (這個地方就是程序的入口點,也就是常說的OEP,記住這個地址,后面會用到)



下面這段代碼是以前版本的OEP,所以聰明的人已經猜到,通達信程序,它雖然有版本更新,但是這個程序的入口點基本上不會變的,版本不同有些小的變化,但總體還是那些代碼
0086FC68 >/$  55            push ebp
0086FC69  |.  8BEC          mov ebp,esp
0086FC6B  |.  6A FF         push -0x1
0086FC6D  |.  68 207A8C00   push tdxw_dum.008C7A20
0086FC72  |.  68 F2FD8600   push tdxw_dum.0086FDF2                   ;  SE 處理程序安裝
0086FC77  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
0086FC7D  |.  50            push eax                                 ;  kernel32.BaseThreadInitThunk
0086FC7E  |.  64:8925 00000>mov dword ptr fs:[0],esp
0086FC85  |.  83EC 68       sub esp,0x68
0086FC88  |.  53            push ebx
0086FC89  |.  56            push esi
0086FC8A  |.  57            push edi
0086FC8B  |.  8965 E8       mov [local.6],esp
0086FC8E  |.  33DB          xor ebx,ebx
0086FC90  |.  895D FC       mov [local.1],ebx
0086FC93  |.  6A 02         push 0x2
0086FC95  |.  FF15 A4C38900 call dword ptr ds:[0x89C3A4]

4. 此時不能直接脫,在OD那行功能鍵點兩個連續黑色左箭頭,也就是讓OD重新載入tdxw.exe,會回到圖一的那個界面;CTRL+G,出現 輸入要跟隨的表達式,在最上面那個框,這里應該有第一次輸入的 00401000,用008C8698 替換,點OK




5. 選中008C8698這行,在開頭處鼠標右鍵,找到 斷點  然后選擇 內存訪問,連續兩次 F9,程序應該會在008C8698處中斷下來;



6. 打開scylla_x86.exe,在最上面下拉單選擇 tdxw.exe (就是通達信程序的這個process),然后在 OEP 處輸入剛才的那個地址,點 IAT Autosearch,會出現IAT found 這個窗口,點確定;然后點IAT Autosearch下面的 Get Imports。





7,在scylla_x86 點擊 Dump 按鈕,會彈出窗口讓你保存文件,我們使用默認名tdxw_dump,點確定即可,然后再點擊 Fix Dump 按鈕,會彈出窗口,找到和選中剛才保存的 tdxw_dump文件,點 打開 后程序會在通達信目錄下生成 TdxW_dump_SCY.exe 文件






8. 使用查殼工具檢測,已經成功把殼脫掉了。當然這個脫殼的版本會保留vmp殘留的垃圾文件,但不會影響程序的運行。如果雙擊,會提示 “執行文件出錯”,需要把TdxW_dump_SCY.exe 改成 tdxw.exe



剩下的,就看各位的本事了。
 

一步步教你1分鐘內脫掉通達信的衣服

  • 下載資源所需積分

    0

  • 當前擁有積分

    0

股海網粉絲必讀
公式解密、改選股聯系QQ:78858997(有償服務)點擊查看詳情...
股海網指標公式幫助使用說明!新手必讀...
股海網新系統使用說明!新手必讀...
股海網VIP用戶組必讀...
說說看法 0條看法
推薦資源

關于我們 - 聯系我們 - 廣告合作 - 下載聲明 - 網站幫助 - 友情鏈接 - SiteMap - TOP
Copyright © 2020 銘網科技,All Rights Reserved.湘ICP備09016573號-10
本站所有廣告和與股海網均無關系,請股友自行判斷真假!股海網客服QQ:78858997
股海網股票軟件下載中心
股海網股票書籍下載中心 湘公網安備43108102000040號
免费试用时时彩平台