吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 4051|回复: 95

[经验资料] 选股软件去除时间暗桩

  [复制链接] 出处:吾爱破解
ShareKing 发表于 2022-2-10 00:51 | 显示全部楼层 |阅读模式

要达到目的:解决过期恢复正常功能
这个软件有时间限制,去年脱壳时我是不知道的,脱完壳后一切功能正常,今天拿出来想用一下,没想到不能用了,是悄悄的不能用了。


084651dntyf1aftrg41t9b.png
084701vdqhc0dxv5ov54vf.png
上面原版界面,加的是VMProtect v3.00 - 3.5.0壳
打开Tdxw.exe,
084829vefll9edkuldlfvd.png
趋势为王2处一片空白,指标失灵了。我的印象中去年脱完壳后一切正常的,今天的现象说明软件还有时间暗桩。OD加载Tdxw.exe正常运行,内存中找到QSWW.dll,去QSWW.dll的IAT看看有哪些与时间相关的函数,如果能找到GetLocalTime、Time等函数就简单了。
把带点时间日期相关的函数一一下硬件访问断点,找到下面几处:
[Asm] 纯文本查看 复制代码
592D590A  - FF25 1C303059   jmp dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>]        ; kernel32.GetSystemTimeAsFileTime
592D59DC  - FF25 A8303059   jmp dword ptr ds:[<&kernel32.GetDateFormatW>]                 ; kernel32.GetDateFormatW
592D59E2  - FF25 AC303059   jmp dword ptr ds:[<&kernel32.GetTimeFormatW>]                 ; kernel32.GetTimeFormatW

打开软件日k线界面,上面所下断点都没有反应。看来软件作者不想让人轻松找到这个时间暗桩,如果程序IAT中没有GetLocalTime、Time这些函数,建议别下GetLocalTime函数断点,玩通达信的都知道,这种实时软件,通达信中的程序对GetLocalTime函数调用太频繁了,会把人搞崩溃。要让QSWW.dll在OD中断下来,看看QSWW.dll实时在调用哪些程序。Od中查找所有模块间的调用,全部下断点。


084945zzyu4lsomle8x33x.png
085023ls17n2wwwxvux1vl.png
换看K线图,OD没反应,一个断点也没断下来。有点神奇了,不把QSWW.dll断到OD来分析,那就不好下手。ctrl+M,到程序代码段去下内存访问断点,
085117v1vvftlgmpd91m9t.png
通达信中继续换看K线图,OD终于有反应了,断在,
[Asm] 纯文本查看 复制代码
59249BE9   /E9 62470000     jmp qsww.5924E350

删除内存访问断点,F7跟踪,看能不能跟踪出它是如何实时读取时间的,能找到实时取时间的地方那么软件里的时间暗桩也就能解了。


085325zfzfe668pmpx8z7a.png
085342rr6fcyhcx6khh7nn.png
085357dwvwz0pljj9f0mpg.png
085415j946heq6yfz5g0h4.png
085439sxs7975ssdj9spd0.png
085451jei2zmixbxox3dxv.png
085505tapq7dvadznwp6dn.png

[Asm] 纯文本查看 复制代码
592A334C    FF15 1C303059   call dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>]       ; kernel32.GetSystemTimeAsFileTime

看到调用GetSystemTimeAsFileTime函数,但前面对这个函数下断点的时候,这个函数没有断下来。难道脱壳不完整?还能把软硬断点给屏蔽了?来分析一下这段代码:

[Asm] 纯文本查看 复制代码
592A332E   /74 18             je short qsww.592A3348

才能跳到
[Asm] 纯文本查看 复制代码
592A334C    FF15 1C303059   call dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>]       ; kernel32.GetSystemTimeAsFileTime

没有访问GetSystemTimeAsFileTime函数,可能592A332E   /74 18             je short qsww.592A3348条件不成立,那么
[Asm] 纯文本查看 复制代码
592A3343    FF55 F4           call dword ptr ss:[ebp-0xC]

这个call要调用什么?F8


085622lr4x2r6a12em53wj.png
[Asm] 纯文本查看 复制代码
592A3343    FF55 F4           call dword ptr ss:[ebp-0xC]                                   ; KernelBa.GetSystemTimePreciseAsFileTime

调用GetSystemTimePreciseAsFileTime,这个函数从堆栈 ss:[00197A5C]=76AA5D60 (KernelBa.GetSystemTimePreciseAsFileTime)来,根本不在QSWW.dll的IAT中,难怪前面找不到。下面一路F8,跟踪到

[Asm] 纯文本查看 复制代码
59262768    8945 E8           mov dword ptr ss:[ebp-0x18],eax                               ; //eax=60B8FB02,时间戳{2021年6月3日}
5926276B    8955 EC           mov dword ptr ss:[ebp-0x14],edx
5926276E    6A 00             push 0x0
59262770    68 80969800       push 0x989680
59262775    8B55 F4           mov edx,dword ptr ss:[ebp-0xC]
59262778    52                push edx
59262779    8B45 F0           mov eax,dword ptr ss:[ebp-0x10]

5924FA2B   /7C 14             jl short qsww.5924FA41
5924FA2D   |7F 0E             jg short qsww.5924FA3D
5924FA2F   |8B85 2CFFFFFF     mov eax,dword ptr ss:[ebp-0xD4]                         ; //dword ptr ss:[ebp-0xD4]实时时间戳60B8FB02
5924FA35   |3B85 24FFFFFF     cmp eax,dword ptr ss:[ebp-0xDC]                         ; //dword ptr ss:[ebp-0xDC]预置时间戳5F74AA8B{2020年09月30日}
5924FA3B   |76 04             jbe short qsww.5924FA41
打开程序文件QSWW.dll来验证一下5F74AA8B是不是预置时间戳,程序文件QSWW.dll中查找:

085801ghu5hd1zig5in5in.png
找到一处,改成8B AA 74 6F,保存文件,退出OD,重新打开Tdxw.exe
085847x664h0x2h1104li1.png
时间暗桩拔除,程序恢复正常功能。

评分

参与人数 33HB +32 THX +12 收起 理由
东北流氓兔 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
太阳神 + 2 + 1
一路走来不容易 + 1
虚心学习 + 1
消逝的过去 + 2
459121520 + 1
行行行行行行 + 1
极速菜 + 1
weiran324 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
爱汇编爱汇编 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
冷亦飞 + 1
l278785481 + 1
凌夏随缘 + 1
zyyujq + 1
liugu0hai + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
Wayne + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
MoeRay + 1
szukodf + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
军工强国 + 2 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
玛卡巴卡 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
yuan2020 + 1 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
我是好人 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
shemyabing + 1 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
PDWORD + 1
king51999 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
muker + 1
菜猿后飞 + 1 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
ialove + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
brswbx201610 + 1
淡灬看夏丶恋雨 + 1
河图 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
JbV140 发表于 2022-2-10 00:54 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
oIUCxRZ85960 发表于 2022-2-10 01:48 | 显示全部楼层

支持一波~~
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
UpjaxeJ67380 发表于 2022-2-10 03:30 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
mfleB 发表于 2022-2-10 06:50 | 显示全部楼层

感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
king51999 发表于 2022-2-10 07:01 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
NVFpaWQXA 发表于 2022-2-10 07:01 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hVGxCk 发表于 2022-2-10 07:01 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
king51999 发表于 2022-2-10 07:53 | 显示全部楼层

感谢分享,学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
bsrBw 发表于 2022-2-10 07:53 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表