金融终端V7.65(32位)vmp3.5.0脱壳的一种方法
下载new_tdx7.65.part1.rar和new_tdx7.65.part2.rar
解压后查壳如下图:
可见是加了VMProtect v.3.00-3.5.0壳,选项为非压缩。
一、电脑系统环境
二、脱壳软件环境
采用如下的设置:
三、脱壳步骤
1. 把TDXW.exe放入X64DBG打开。
2. 查看内存布局
看到共分7个段,算是比较简单的一种加壳选项了。
3. 在最后一个段“.rsrc”下一次性内存访问断点:
得如下结果:
4. 按F9运行一次得如下结果:
5.类似地,再在 “.data”段下一次性内存访问断点得如下结果:
得如下结果:
6. 按2次F9运行二次得如下结果:
表明程序已经走出加壳区,进入原程序代码段,OEP应该就在附近。
7. 鼠标左键点击“CPU”返回汇编窗口:
得如下结果:
8. 双击堆栈区的一行,跳转到的位置,ret语句的下一句就可作为一个OEP:鼠标向上滚动,即可找到OEP:
顺着红线往上找,ret语句的下一句就可作为一个OEP。
9. 启动scylla, 最后鼠标右键删除无效节点:
10. dump存盘, 修正:
11. 检查脱壳后的情况:
表明已经脱壳了。
12. 将脱壳文件tdxw_dump_SCY.exe改名为tdxw.exe,双击运行,正常:
若不改名直接运行会有错误提示:
通达信禁止修改主程序名称。当然可以将其去掉。
优化已脱壳的主程序步骤与下帖类似:https://www.55188.com/thread-23971991-1-1.html
这里就不重复了。