【新提醒】【图】一步步教你1分钟内脱掉通达信的衣服

 本帖最后由 牛股三绝 于 2020-3-16 08:03 编辑

以通达信3月6日发布的金融终端V7.48为例,使用OEP的方法脱VMP壳,当然这个方法仅限于简单加密的,复杂加密的这个方法不适用

所需要的工具下载地址,请尽量去52和谐官方网站下:
用https替换://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
用https替换://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar

1.把tdxw.exe拖入到OD,让其正常运行;

2. 在OD界面 Ctrl + G,会出现“输入要跟随的表达式”窗口,输入00401000,点OK,会跳转到00401000代码处;

3. CTRL + B,在Hex处拷贝要查找的二进制串:
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57 89 65 E8 33 DB 89 5D FC 6A 02   
确定后会跳转008C86A7处,往上5行也就是008C8698 (这个地方就是程序的入口点,也就是常说的OEP,记住这个地址,后面会用到)

下面这段代码是以前版本的OEP,所以聪明的人已经猜到,通达信程序,它虽然有版本更新,但是这个程序的入口点基本上不会变的,版本不同有些小的变化,但总体还是那些代码
0086FC68 >/$  55            push ebp
0086FC69  |.  8BEC          mov ebp,esp
0086FC6B  |.  6A FF         push -0x1
0086FC6D  |.  68 207A8C00   push tdxw_dum.008C7A20
0086FC72  |.  68 F2FD8600   push tdxw_dum.0086FDF2                   ;  SE 处理程序安装
0086FC77  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
0086FC7D  |.  50            push eax                                 ;  kernel32.BaseThreadInitThunk
0086FC7E  |.  64:8925 00000>mov dword ptr fs:[0],esp
0086FC85  |.  83EC 68       sub esp,0x68
0086FC88  |.  53            push ebx
0086FC89  |.  56            push esi
0086FC8A  |.  57            push edi
0086FC8B  |.  8965 E8       mov [local.6],esp
0086FC8E  |.  33DB          xor ebx,ebx
0086FC90  |.  895D FC       mov [local.1],ebx
0086FC93  |.  6A 02         push 0x2
0086FC95  |.  FF15 A4C38900 call dword ptr ds:[0x89C3A4]

4. 此时不能直接脱,在OD那行功能键点两个连续黑色左箭头,也就是让OD重新载入tdxw.exe,会回到图一的那个界面;CTRL+G,出现 输入要跟随的表达式,在最上面那个框,这里应该有第一次输入的 00401000,用008C8698 替换,点OK

5. 选中008C8698这行,在开头处鼠标右键,找到 断点  然后选择 内存访问,连续两次 F9,程序应该会在008C8698处中断下来;

6. 打开scylla_x86.exe,在最上面下拉单选择 tdxw.exe (就是通达信程序的这个process),然后在 OEP 处输入刚才的那个地址,点 IAT Autosearch,会出现IAT found 这个窗口,点确定;然后点IAT Autosearch下面的 Get Imports。

7,在scylla_x86 点击 Dump 按钮,会弹出窗口让你保存文件,我们使用默认名tdxw_dump,点确定即可,然后再点击 Fix Dump 按钮,会弹出窗口,找到和选中刚才保存的 tdxw_dump文件,点 打开 后程序会在通达信目录下生成 TdxW_dump_SCY.exe 文件

8. 使用查壳工具检测,已经成功把壳脱掉了。当然这个脱壳的版本会保留vmp残留的垃圾文件,但不会影响程序的运行。如果双击,会提示 “执行文件出错”,需要把TdxW_dump_SCY.exe 改成 tdxw.exe

(0)

相关推荐