<input id="ggowu"></input>
  • <menu id="ggowu"></menu>
  • <menu id="ggowu"></menu>
  • <object id="ggowu"></object>
    <menu id="ggowu"><u id="ggowu"></u></menu>
  • <menu id="ggowu"><u id="ggowu"></u></menu>
    <input id="ggowu"><u id="ggowu"></u></input>
    分析家公式網,免費股票公式,股票軟件下載站 用戶登錄  |  用戶 注冊
    通達信主程序脫殼全記錄(圖文)(超多圖片,網速慢慎入)
    • 軟件大?。? Bytes
    • 推薦星級:
    • 更新時間:2020-01-29 00:16:35
    • 軟件類別: 國產軟件 / 通達信
    • 軟件語言:簡體中文
    • 授權方式: 免費版
    • 聯系方式:舞2012
    • 官方主頁: Home Page
    • 點擊大圖:  【一鍵轉帖到論壇】
    • 插件情況:
    • 運行環境:Win9X/Win2000/WinXP/Win2003/Win7/
    • 相關Tags:股票公式 股票軟件
    • (0)0%
      (0)0%

    軟件介紹

     通達信主程序脫殼全記錄(圖文)
    本文原文理想舞2012

     
    UPX加殼入口第一句是PUSHAD;出口關鍵字POPAD;手動脫殼時,用Olldbg載入程序,脫殼程序里面會有好多循環。對付循環時,只能讓程序往前運行,基本不能讓它往回跳,要想法跳出循環圈。
    第一步,先偵殼,偵殼工具為peid0.92,偵測結果如下:(圖000)
    (圖000)
    原來是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo加的殼,UPX是一種壓縮殼,強度很低。
    第二步,我們請出調試利器:Ollydbg1.09,載入程序,出現提示:
    找到PUSHAD(壓棧)標志點(圖001)
                   
     
     
     
     
    點擊右鍵菜單,選擇“編輯注釋”―――“UPX1殼入口點”(圖002,003)
                                    
     
     
     
     
                                  
     
     
     
    用F8進行單步跟蹤,對付循環時,只能讓程序往前運行,基本不能讓它往回跳,要想法跳出循環圈那就是設置“斷點”。見上圖(圖004 005 006 007)
                                        在“00986839”處有一個往回的跳轉,那么就要在其下面的“0098683B”處設置“斷點”―――“運行到選定位置F4”,然后繼續F8往下走;碰到往下的跳轉,那么隨它往下走;碰到沒有實現的跳轉,也不用理睬,繼續F8往下走。(后面碰到類似的情況,處理方法一樣。)
     
     
     
     
    一直往下找,直到發現“POPAD”時,在其地址處設置“斷點”―――“運行到選定位置F4”,然后繼續F8往下走。(圖008 009)
                                     特別注意:在據“POPAD”的地址約10-20個地址時,要停下來,仔細觀測,看有沒有“CALL”語句,否則有可能跑飛掉,找不到剛才所跟蹤的這些地址。最好的辦法是,發現“POPAD”后,直接在該語句處設置斷點,接著往下走。
     
     
     
     
         在走幾行,就會出現上圖畫面,“00622838A”55 DB55 CHAR‘U’―――這是通達信主程序代碼的真正入口,
    也就是我們要找的“OEP”地址。(圖010,011)
     
    點擊右鍵調出菜單,選擇“用OllyDump脫殼調試進程”。(圖012)
     
    (圖013)
                   
     
             出現上圖畫面,記住“修正為:22838A”,點擊“脫殼”進行存盤。(圖013,014)
                             =========下圖為重新載入已脫殼的新文件(圖015)==========
     
     
    用“PEID”檢測,提示已無殼。(圖016),但該文件還不能正常啟動,因為“輸入表”尚未修復。
    第三步,就是修復程序的輸入表。使用importREC,這是最好用的輸入表修復工具。
    1、運行加殼的原版TDX主程序,啟動importREC程序,(圖018)在“附加一個活動進程”中選擇“D:\通達信分析家l論壇版本\TDX.EXE”。
     
     
    (圖018)
                                    2、在“所需的IAT信息”中的“OEP”填入“0022838A”,點擊“自動搜索”按鈕,出現下圖提示:(圖019)
    3、點擊“獲取輸入表”按鈕:(圖020)
     
     
                                      4、點擊“修復轉存文件”按鈕,選擇前面已完成脫殼的新文件,程序會自動生成一個新的“******_。EXE”的執行文件:(圖021 022)
     
    5、再用“PEID”檢測,提示已無殼,編程軟件是Microsoft Visual Basic 5.0 / 6.0。
     
    運行程序,已經可以正常運行了,脫殼完畢。
                                     通達信主程序脫殼全記錄(圖文)第二集
    在上一集里,我們通過手動跟蹤,一步一步的完成整個脫殼過程,目的是初步認識加殼程序的一般性規律,了解程序語言的執行過程。作為初學者,反復練習,不斷增強對程序流程的直覺和理解,這樣的學習過程非常重要,至少我本人就是這樣對待的。
    小結:
    第一步,偵測程序的加殼類型;
    第二步,在程序中尋找殼的起點和結束點;
    第三步,繼續跟蹤確定程序真正的入口點;
    第四步,利用操作軟件的功能脫殼,抓取真正的程序源碼;
    第五步,啟動原版程序,通過軟件抓取輸入表,轉存到已脫殼的文件里,完成整個脫殼過程;
    第六步,對新文件進行檢驗。OK
    在以上列舉的流程中,最難最麻煩的是第二步,今天又學了兩個新招,與大家分享。
    一、ESP定律手動脫殼
    1、ESP定律的原理,網上可搜尋,不再詳述。見諒。
    2、脫殼過程:
    ---用F8進行單步跟蹤,對付循環時,只能讓程序往前運行,基本不能讓它往回跳,要想法跳出循環圈那就是設置“斷點”。見下圖(圖001)
    ―――用F8進行單步跟蹤,在右邊窗口寄存器(FUP)中的“ESP”突現“0012FFA4”時停下,在左下角“命令”欄中輸入“DD 0012FFA4”回車;
     
     
    ―――如下圖所示,鼠標點選“0012FFA4”行,打開右鍵如圖操作,斷點硬件訪問--WORD,F9運行;
     
     
     
    ―――直接來到這里,已經可以看到“009869C4 -E9 C119CAFF JMP TDXW.0062838A”這句了;F8跟蹤;
     
                                      ―――在“009869BF”處有一個往回的跳轉,那么就要在其下面的“009869C1”處設置“斷點”―――“運行到選定位置F4”,然后繼續F8往下走;(碰到往下的跳轉,那么隨它往下走;碰到沒有實現的跳轉,也不用理睬,繼續F8往下走。后面碰到類似的情況,處理方法一樣。)
    ―――在此處可能要反復幾次,最終一定要走到“009869C4”這一行;
     
     
     
    ―――跳轉來到這里,就是程序真正的入口;
                                     
     
    ―――點擊右鍵,按圖示操作,最終生成一個已經脫殼的新文件。
     
     
     
     
    ===其后的操作,和第一集中的方法一樣。
    二、最快的捷徑
    1、用F8進行單步跟蹤,對付循環時,只能讓程序往前運行,基本不能讓它往回跳,要想法跳出循環圈那就是設置“斷點”。
    在“00986839”處有一個往回的跳轉,那么就要在其下面的“0098683B”處設置“斷點”―――“運行到選定位置F4”;
    2、直接按“CTRL+F”,輸入“popad”查找;
    3、直接來到“00833260 61 POPAD”,直接在該行設置“斷點”―――“運行到選定位置F4”;
    4、直接跳轉到:
    009869B7 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
    009869BB 6A 00 PUSH 0
    009869BD 39C4 CMP ESP,EAX
    009869BF ^ 75 FA JNZ SHORT TdxW.009869BB
    009869C1 83EC 80 SUB ESP,-80
    009869C4 - E9 C119CAFF JMP TdxW.0062838A (程序的真正入口跳轉)
                                    通達信主程序脫殼全記錄(圖文)第三集三、內存鏡像法
    ALT+M 打開內存,找到.rsrc,“設置訪問中斷F2”下斷,F9運行,出現如下圖示
     
     
     
     
     
                                     再次打開ALT+M 打開內存,找到UPX0,“設置訪問中斷F2”下斷,F9運行,出現如下圖示
     
    F9運行;其余的操作和前面所敘一樣
    009869B7 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
    009869BB 6A 00 PUSH 0
    009869BD 39C4 CMP ESP,EAX
    009869BF ^ 75 FA JNZ SHORT TdxW.009869BB //這有一個向上的跳轉,要引起注意009869C1 83EC 80 SUB ESP,-80
    009869C4 - E9 C119CAFF JMP TdxW.0062838A //程序的真正入口跳轉
    009869C9 0000 ADD BYTE PTR DS:[EAX],AL
    009869CB 0000 ADD BYTE PTR DS:[EAX],AL
    009869CD 0000 ADD BYTE PTR DS:[EAX],AL
    009869CF 0000 ADD BYTE PTR DS:[EAX],AL
    009869D1 0000 ADD BYTE PTR DS:[EAX],AL
                                     同花順主程序也是UPX加殼,操作方法完全一樣(不再詳敘) 圖001 已接近程序的入口了
     
    圖002 已完成跳轉到達程序真正的入口
     
    圖003 進行脫殼操作,存盤
     
    圖004 進行輸入表修復(其中有一項“?。。。。。。。。。。。。有效:無”的無效指針提示,可忽略)
     
     
    最后進行檢驗。OK

    下載地址(點擊下圖進入下載地址網頁)

      通達信主程序脫殼全記錄(圖文)(超多圖片,網速慢慎入)下載

    軟件評論評論內容只代表網友觀點,與本站立場無關!

       評論摘要(共 0 條,得分 0 分,平均 0 分) 查看完整評論

    下載說明

    * 下載方法:點擊上面的綠色圖片(圖片有“下載地址”文字),就新開一個頁面,點擊“本地高速下載”,或者點擊文字“下載地址1”即可下載軟件

    * 本網站提供的各種股票軟件,例如大智慧軟件,通達信軟件,同花順軟件,飛狐,文華期貨軟件,手機炒股軟件,指南針,東方財富通等等,和各種股票公式指標,例如大智慧公式,通達信公式,同花順公式,操盤手公式,文華公式,飛狐公式,博易大師公式,股票價格計算公式等等公式指標,還有各類股票書籍都來源網上可以免費下載
    * 請一定升級到最新版WinRAR才能正常解壓本站提供的軟件!

    本網提供的公式文件說明:
    * alg格式飛狐股票公式,可以用飛狐交易師或者交易師軟件導入;
    * fnc格式大智慧新一代公式指標,可以用大智慧股票軟件使用,少部分可以用分析家股票軟件引入使用;
    * exp格式大智慧經典版股票公式,僅可以用大智慧經典版股票軟件引入使用;
    * tni和tnc格式通達信股票公式,僅可以用通達信新引入使用,例如可以用通達信股票軟件引入使用;
    * tne,tn6格式通達信公式,可以用通達信公式編輯器5.0版導入,推薦通達信金融終端版本;
    * hxf格式同花順股票公式,僅可以用同花順股票軟件引入使用。
    以上的各種軟件都可以在本網股票軟件欄目找到并下載!

    * 關于股票公式時間限制,如果在引入大智慧公式,交易師公式或者飛狐公式的時候,發現公式名稱欄是空白的,這時候調整電腦時間到1997年,又能出現公式名稱,并且能正常顯示,可能是公式使用期限已過。
    * 關于公式解密收費解密大智慧公式,通達信公式,同花順公式,操盤手公式,飛狐公式,博易大師公式,文華公式和外匯EA等等源碼,可解密完全加密定向加密公式或延時,收費服務無意勿擾,聯系QQ984388831。

    * 關于股票公式源碼編輯
    本網提供的源碼,一般都可以編輯成公式,如果不明白公式的編輯,在本頁右側教程錄像可參考,或者找公式教程資料學習,請搜索:教程

    * 如果您發現下載鏈接錯誤,請點擊報告錯誤謝謝!
    * 站內提供的所有軟件包含和諧及注冊碼均是由網上搜集,若侵犯了你的版權利益,敬請來信通知我們!

    關于本站 | 網站幫助 | 廣告合作 | 下載聲明 | 友情連接 | 網站地圖 |

    聲明:本站所有股票軟件、股票書籍和股票新聞均免費。站內所有廣告,如有收費行為,均與本站無任何關系!請網友小心謹慎。
    Copyright © 2003-2008 70822.Com. All Rights Reserved .
    頁面執行時間:234.37500 毫秒
    乐彩