通达信主程序脱壳全记录(图文) UPX加壳入口第一句是;出口关键字POPAD;手动脱壳时,用Olldbg载入程序,脱壳程序里面会有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。
第一步,先侦壳,侦壳工具为peid0.92,侦测结果如下:(图000)
 (图000)
原来是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo加的壳,UPX是一种压缩壳,强度很低。
第二步,我们请出调试利器:Ollydbg1.09,载入程序,出现提示:
 找到PU SHAD(压栈)标志点(图001)
  》》 右键菜单,选择“编辑注释”―――“UPX1壳入口点”(图002,003)
    用F8进行单步跟踪,对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈那就是设置“断点”。见上图(图004 005 006 007)
在“00986839”处有一个往回的跳转,那么就要在其下面的“0098683B”处设置“断点”―――“运行到选定位置F4”,然后继续F8往下走;碰到往下的跳转,那么随它往下走;碰到没有实现的跳转,也不用理睬,继续F8往下走。(后面碰到类似的情况,处理方法一样。)
  一直往下找,直到发现“POPAD”时,在其地址处设置“断点”―――“运行到选定位置F4”,然后继续F8往下走。(图008 009)
特别注意:在据“POPAD”的地址约10-20个地址时,要停下来,仔细观测,看有没有“CALL”语句,否则有可能跑飞掉,找不到刚才所跟踪的这些地址。最好的办法是,发现“POPAD”后,直接在该语句处设置断点,接着往下走。
  在走几行,就会出现上图画面,“00622838A”55 DB55 CHAR‘U’―――这是通达信主程序代码的真正入口,
也就是我们要找的“OEP”地址。(图010,011)
 》》 右键调出菜单,选择“用OllyDump脱壳调试进程”。(图012)
 (图013)
 出现上图画面,记住“修正为:22838A”,》》 “脱壳”进行存盘。(图013,014)
=========下图为重新载入已脱壳的新文件(图015)==========
  用“PEID”检测,提示已无壳。(图016),但该文件还不能正常启动,因为“输入表”尚未修复。
第三步,就是修复程序的输入表。使用importREC,这是最好用的输入表修复工具。
1、运行加壳的原版TDX主程序,启动importREC程序,(图018)在“附加一个活动进程”中选择“D:\通达信分析家l论坛版本\TDX.EXE”。
 (图018)
2、在“所需的IAT信息”中的“OEP”填入“0022838A”,》》 “自动搜索”按钮,出现下图提示:(图019)
 3、》》 “获取输入表”按钮:(图020)
 4、》》 “修复转存文件”按钮,选择前面已完成脱壳的新文件,程序会自动生成一个新的“******_。EXE”的执行文件:(图021 022)
  5、再用“PEID”检测,提示已无壳,编程软件是Microsoft Visual Basic 5.0 / 6.0。
运行程序,已经可以正常运行了,脱壳完毕。
通达信主程序脱壳全记录(图文)第二集
在上一集里,我们通过手动跟踪,一步一步的完成整个脱壳过程,目的是初步认识加壳程序的一般性规律,了解程序语言的执行过程。作为初学者,反复练习,不断增强对程序流程的直觉和理解,这样的学习过程非常重要,至少我本人就是这样对待的。
小结:
第一步,侦测程序的加壳类型;
第二步,在程序中寻找壳的起点和结束点;
第三步,继续跟踪确定程序真正的入口点;
第四步,利用操作软件的功能脱壳,抓取真正的程序源码;
第五步,启动原版程序,通过软件抓取输入表,转存到已脱壳的文件里,完成整个脱壳过程;
第六步,对新文件进行检验。OK
在以上列举的流程中,最难最麻烦的是第二步,今天又学了两个新招,与大家分享。
一、ESP定律手动脱壳
1、ESP定律的原理,网上可搜寻,不再详述。见谅。
2、脱壳过程:
---用F8进行单步跟踪,对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈那就是设置“断点”。见下图(图001)
―――用F8进行单步跟踪,在右边窗口寄存器(FUP)中的“ESP”突现“0012FFA4”时停下,在左下角“命令”栏中输入“DD 0012FFA4”回车;
 |
通达信主程序脱壳全记录(图文)(超多图片,网速慢慎入)
- 软件大小:0 Bytes
- 推荐星级:
- 更新时间:2020-01-29 00:16:35
- 软件类别: 国产软件 / 通达信
- 软件语言:简体中文
- 授权方式: 免费版
- 联系方式:舞2012
- 官方主页: Home Page
- 点击大图: 【一键转帖到论坛】
- 插件情况:
- 运行环境:Win9X/Win2000/WinXP/Win2003/Win7/
- 相关Tags:指标公式 股票软件,公式源码
-
(0)0%(0)0%
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论
* 使用方法:点击上面蓝色块,打开新页面按照提示进行
* 本网站提供的各种股票软件,例如大智慧软件,通达信软件,同花顺软件,东方财富通等等,和各种股票公式指标,例如大智慧公式,通达信公式,同花顺公式,文华公式,博易大师公式,股票价格计算公式等等公式指标等,都来源网上公开来源收集
本网提供的公式文件说明:
* alg格式飞狐股票公式,可以用飞狐交易师或者交易师软件导入;
* fnc格式大智慧新一代公式指标,可以用大智慧股票软件使用,少部分可以用分析家股票软件引入使用;
* exp格式大智慧经典版股票公式,仅可以用大智慧经典版股票软件引入使用;
* tni和tnc格式通达信股票公式,仅可以用通达信新引入使用,例如可以用通达信股票软件引入使用;
* tne,tn6格式通达信公式,可以用通达信公式编辑器5.0版导入,推荐通达信金融终端版本;
* hxf格式同花顺股票公式,仅可以用同花顺股票软件引入使用。
以上的各种软件都可以在本网股票软件栏目找到!
* 关于股票公式时间限制,如果在引入大智慧公式,交易师公式或者飞狐公式的时候,发现公式名称栏是空白的,这时候调整电脑时间到1997年,又能出现公式名称,并且能正常显示,可能是公式使用期限已过。
* 关于还原公式源码如果你忘记了自己编写的大智慧公式,通达信公式,同花顺公式,操盘手公式,飞狐公式,博易大师公式,金字塔公式,文华公式和交易师公式等等公式的密码,本网可帮恢复源码,有.偿.服.务无意勿扰,点击在线咨询联系我。
* 关于股票公式源码编辑
本网提供的源码,一般都可以编辑成公式,如果不明白公式的编辑,在本页右侧教程录像可参考,或者找公式教程资料学习,请搜索:教程
* 如果您发现软件内容或者链接错误,请点击报告错误谢谢!
* 站内提供的所有软件包含源码均是由网上搜集,若侵犯了你的版权利益,请联系通知我们!