通达信主程序脱壳全记录(图文)第一集完整版

通达信主程序脱壳全记录（图文）

UPX加壳入口第一句是PUSHAD；出口关键字POPAD；手动脱壳时，用Olldbg载入程序，脱壳程序里面会有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。

第一步，先侦壳，侦壳工具为peid0.92,侦测结果如下：（图000）

（图000）

原来是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo加的壳，UPX是一种压缩壳，强度很低。

第二步，我们请出调试利器：Ollydbg1.09,载入程序，出现提示：

用F8进行单步跟踪，对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈那就是设置“断点”。见上图（图004 005 006 007）

下走。（后面碰到类似的情况，处理方法一样。）

一直往下找，直到发现“POPAD”时，在其地址处设置“断点”―――“运行到选定位置F4”，然后继续F8往下走。（图008 009）

下走。

在走几行，就会出现上图画面，“00622838A”55 DB55 CHAR‘U’―――这是通达信主程序代码的真

点击右键调出菜单，选择“用OllyDump脱壳调试进程”。（图012）

出现上图画面，记住“修正为：22838A”,点击“脱壳”进行存盘。（图013 014）

＝＝＝＝＝＝＝＝＝下图为重新载入已脱壳的新文件（图015）＝＝＝＝＝＝＝＝＝＝

用“PEID”检测，提示已无壳。（图016），但该文件还不能正常启动，因为“输入表”尚未修复。

第三步，就是修复程序的输入表。使用importREC，这是最好用的输入表修复工具。

1、运行加壳的原版TDX主程序，启动importREC程序，（图018）在“附加一个活动进程”中选择“D:\通达信分析家l论坛版本\TDX.EXE”。

2、在“所需的IAT信息”中的“OEP”填入“0022838A”，点击“自动搜索”按钮，出现下图提示：（图019）

3、点击“获取输入表”按钮：（图020）

4、点击“修复转存文件”按钮，选择前面已完成脱壳的新文件，程序会自动生成一个新的“******_。EXE”的执行文件：（图021 022）

5、再用“PEID”检测，提示已无壳，编程软件是Microsoft Visual Basic 5.0 / 6.0。

运行程序，已经可以正常运行了，脱壳完毕。

11