研究对象:缠中说禅-浮云版V2.8;
来源:网络
理由:和谐过程中的一点心得;
软件类型:ChanlunFy_V2.8.dll;
要达到目的:解决过期恢复显示
这个软件根据我碰到的很多软件来讲,还是有点意思,软件除了加强壳还采取了静默式加密。来看看初始特征。[md]
图片1.png (89.47 KB, 下载次数: 0)
下载附件
2023-6-18 20:28 上传
软件出现问题所产生的现象,K线走势图一片空白。
图片2.png (99.83 KB, 下载次数: 0)
下载附件
2023-6-18 20:30 上传
软件加VMProtect v3.00 - 3.5.0壳
图片3.png (126.79 KB, 下载次数: 0)
下载附件
2023-6-18 20:31 上传
[md]52的OD能正常加载。通过智能搜素,没发现任何提示文本。初一看,无从下手,这个时候觉得那种messagebox是多么的可爱。OD加载TDX平台,用内存F2断点试试
图片4.png (113.41 KB, 下载次数: 0)
下载附件
2023-6-18 20:33 上传
通达信点开上图一界面,OD没有任何反应,内存F2断点无效。
图片5.png (48.63 KB, 下载次数: 0)
下载附件
2023-6-18 20:34 上传
改内存访问断点,重复上面的步骤,OD依然没有任何反应,内存访问断点无效。这种和谐的常用方法都失效了,看来这个软件的加密别有洞天。从最原始最基础的地方来分析,从TDX平台的加载机理来分析:
找到OD中模块TCalc,在0399640F地址下F2断点
图片6.png (11.54 KB, 下载次数: 0)
下载附件
2023-6-18 20:36 上传
点击K线图界面,程序断在上面F2断点,F7
图片7.png (16.54 KB, 下载次数: 0)
下载附件
2023-6-18 20:37 上传
走到了地址11700000,该地址没有有效指令,离前面下内存F2和内存访问断点的地址很遥远,可以肯定这里软件动了手脚。重新走到前一条指令,来分析一下这里。
看信息窗口:
图片8.png (13.95 KB, 下载次数: 0)
下载附件
2023-6-18 20:39 上传
数据窗口中跟随地址:
图片9.png (11.62 KB, 下载次数: 0)
下载附件
2023-6-18 20:40 上传
根据我的经验,发现多了红框2排00的数据。把多余的2排00去掉
图片10.png (9.74 KB, 下载次数: 0)
下载附件
2023-6-18 20:42 上传
F7,
图片11.png (24.13 KB, 下载次数: 0)
下载附件
2023-6-18 20:43 上传
运行到了有效指令。写个补丁,把多出来的2排00去掉。看K线图效果:
图片12.png (107.66 KB, 下载次数: 0)
下载附件
2023-6-18 20:44 上传
