未来函数检测 | 推荐资源 | 热门资源 fun88平台搜索 | 收藏fun88平台网 | 将fun88平台网放到桌面
fun88平台网,最好fun88平台软件下载中心,fun88平台软件,fun88平台书籍,fun88平台公式,fun88平台知识,
fun88平台首页 | 指标公式 | 分析软件 | 行情软件 | 数据软件 | 资讯题材 | 工具应用 | 期货基金 | 书籍教程 | 技术指标 | fun88平台绝技 | 外汇期货 | fun88靠谱知识 |
fun88靠谱软件 大智慧 通达信 飞狐 东财通 操盘手 指南针 同花顺 钱龙 券商软件 手机炒股 和谐软件 证券之星 金融界 分析家 数据下载 数据接口 期货 基金 教程
fun88靠谱公式 大智慧 通达信 飞狐 同花顺 东财通 | fun88靠谱池 大智慧 通达信 | fun88靠谱书籍 | 指标分解 MACD BOLL KDJ OBV CCI RSI DMI SAR 万博体育app DDX DDY DDZ WR CR
当前位置:→ fun88平台网 > 工具应用 > 股软教程 > 正文
一步步教你1分钟内脱掉通达信的衣服
  • 相关简介: 一步步教你1分钟内脱掉通达信的衣服 以通达信3月6日发布的金融终端V7.48为例,使用OEP的方法脱VMP壳,当然这个方法仅限于简单加密的,复杂加密的这个方法不适用 所需要的工具下载地址,请尽量去52和谐官方网站下: 用https替换://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar 用https替换://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E
  • 文件大小: unknow
  • 浏览次数:
  • 运行环境: 通达信
  • 编辑发布: fun88平台网
  • 软件来源: Internet
  • 加入时间: 2020/3/16 19:39:09
  • 解压密码: www.52gfogq.com(请仔细输入!复制无效!)
  • 下载统计:

fun88靠谱软件说明:

一步步教你1分钟内脱掉通达信的衣服

通达信3月6日发布的金融终端V7.48为例,使用OEP的方法脱VMP壳,当然这个方法仅限于简单加密的,复杂加密的这个方法不适用

所需要的工具下载地址,请尽量去52和谐官方网站下:
用https替换://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
用https替换://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar

1.把tdxw.exe拖入到OD,让其正常运行;



2. 在OD界面 Ctrl + G,会出现“输入要跟随的表达式”窗口,输入00401000,点OK,会跳转到00401000代码处;



3. CTRL + B,在Hex处拷贝要查找的二进制串:
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57 89 65 E8 33 DB 89 5D FC 6A 02   
确定后会跳转008C86A7处,往上5行也就是008C8698 (这个地方就是程序的入口点,也就是常说的OEP,记住这个地址,后面会用到)



下面这段代码是以前版本的OEP,所以聪明的人已经猜到,通达信程序,它虽然有版本更新,但是这个程序的入口点基本上不会变的,版本不同有些小的变化,但总体还是那些代码
0086FC68 >/contentnbsp; 55            push ebp
0086FC69  |.  8BEC          mov ebp,esp
0086FC6B  |.  6A FF         push -0x1
0086FC6D  |.  68 207A8C00   push tdxw_dum.008C7A20
0086FC72  |.  68 F2FD8600   push tdxw_dum.0086FDF2                   ;  SE 处理程序安装
0086FC77  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
0086FC7D  |.  50            push eax                                 ;  kernel32.BaseThreadInitThunk
0086FC7E  |.  64:8925 00000>mov dword ptr fs:[0],esp
0086FC85  |.  83EC 68       sub esp,0x68
0086FC88  |.  53            push ebx
0086FC89  |.  56            push esi
0086FC8A  |.  57            push edi
0086FC8B  |.  8965 E8       mov [local.6],esp
0086FC8E  |.  33DB          xor ebx,ebx
0086FC90  |.  895D FC       mov [local.1],ebx
0086FC93  |.  6A 02         push 0x2
0086FC95  |.  FF15 A4C38900 call dword ptr ds:[0x89C3A4]

4. 此时不能直接脱,在OD那行功能键点两个连续黑色左箭头,也就是让OD重新载入tdxw.exe,会回到图一的那个界面;CTRL+G,出现 输入要跟随的表达式,在最上面那个框,这里应该有第一次输入的 00401000,用008C8698 替换,点OK




5. 选中008C8698这行,在开头处鼠标右键,找到 断点  然后选择 内存访问,连续两次 F9,程序应该会在008C8698处中断下来;



6. 打开scylla_x86.exe,在最上面下拉单选择 tdxw.exe (就是通达信程序的这个process),然后在 OEP 处输入刚才的那个地址,点 IAT Autosearch,会出现IAT found 这个窗口,点确定;然后点IAT Autosearch下面的 Get Imports。





7,在scylla_x86 点击 Dump 按钮,会弹出窗口让你保存文件,我们使用默认名tdxw_dump,点确定即可,然后再点击 Fix Dump 按钮,会弹出窗口,找到和选中刚才保存的 tdxw_dump文件,点 打开 后程序会在通达信目录下生成 TdxW_dump_SCY.exe 文件






8. 使用查壳工具检测,已经成功把壳脱掉了。当然这个脱壳的版本会保留vmp残留的垃圾文件,但不会影响程序的运行。如果双击,会提示 “执行文件出错”,需要把TdxW_dump_SCY.exe 改成 tdxw.exe



剩下的,就看各位的本事了。
 

下载链接:(下载本站资源请点击下面进入下载页“蓝色图标”)
一步步教你1分钟内脱掉通达信的衣服下载
上一篇:没有了    下一篇:通达信十档盘口实时单子变化修改方法
精品fun88靠谱公式