脱 上兴捆绑器 壳

125243102

目标程序：上兴捆绑器
用到的工具：PEID  OD LORDPE ImportREC
用到的脱壳方法：1.单步跟踪 2.ESP定律 3.内存镜像 （还有好几种，这里就不演示了）
第1种方法 单步跟踪
向下的跳转让他实现，向上的跳转就不让他实现
首先用peid查壳 ASPack 2.12 -> Alexey Solodovnikov
OD载入
0048C001 Pr>  60                  pushad          // 程序入口点
0048C002      E8 03000000        call Project1.0048C00A    //F7（近callF7进入，否则程序跑飞）
0048C007    - E9 EB045D45        jmp 45A5C4F7
0048C00C      55                  push ebp
0048C00A      5D                  pop ebp      ; Project1.0048C007 // F7进入后来这里 我们继续F8单步
0048C00B      45                  inc ebp
0048C00C      55                  push ebp
0048C00D      C3                  retn    // 这里返回到0048C00E

0048C008    /EB 04              jmp short Project1.0048C00E //来到这里 跳到0048C00E
0048C00A    |5D                  pop ebp
0048C00B    |45                  inc ebp
0048C00C    |55                  push ebp
0048C00D    |C3                  retn
0048C00E    \E8 01000000        call Project1.0048C014 //这个call也要F7进入，否则程序会跑飞
0048C013      EB 5D              jmp short Project1.0048C072
0048C015      BB EDFFFFFF        mov ebx,-13
0048C014      5D                  pop ebp      ; Project1.0048C013 // 进入到这里，我们继续F8
0048C015      BB EDFFFFFF        mov ebx,-13
0048C01A      03DD                add ebx,ebp
0048C01C      81EB 00C00800      sub ebx,8C000
0048C022      83BD 22040000 00    cmp dword ptr ss:[ebp+422],0
0048C138    /EB 00      jmp short Project1.0048C13A
0048C13A    \3C E9      cmp al,0E9
0048C13C      74 04      je short Project1.0048C142
0048C13E      43          inc ebx
0048C13F      49          dec ecx
0048C140    ^ EB EB      jmp short Project1.0048C12D // 一直单步到这里 这是一个向上的跳转 我们在下一句 F4
0048C142      8B06        mov eax,dword ptr ds:[esi] // 这句F4 继续单步
0048C144      EB 00      jmp short Project1.0048C146

0048C15A      83E9 05            sub ecx,5
0048C15D    ^ EB CE              jmp short Project1.0048C12D //单步到这里 又是一个向上的跳转
0048C15F      5B                  pop ebx //在这里F4 我们继续单步
0048C160      5E                  pop esi
0048C19D      83C6 08            add esi,8
0048C1A0      833E 00            cmp dword ptr ds:[esi],0
0048C1A3    ^ 0F85 1EFFFFFF      jnz Project1.0048C0C7 //向上的跳转
0048C1A9      68 00800000        push 8000 //这里F4
0048C1AE      6A 00              push 0
0048C376      8907                mov dword ptr ds:[edi],eax
0048C378      8385 49050000 04    add dword ptr ss:[ebp+549],4
0048C37F    ^ E9 32FFFFFF        jmp Project1.0048C2B6  //这里是向上的跳转
0048C384      8906                mov dword ptr ds:[esi],eax //这里F4
0048C386      8946 0C            mov dword ptr ds:[esi+C],eax
0048C38F      8B95 22040000      mov edx,dword ptr ss:[ebp+422]
0048C395    ^ E9 EBFEFFFF        jmp Project1.0048C285  // 这也是向上的跳转
0048C39A      B8 7C220700        mov eax,7227C //F4
0048C39F      50                  push eax
0048C3A9      8985 A8030000      mov dword ptr ss:[ebp+3A8],eax
0048C3AF      61                  popad  // 这个是出栈的命令 可能OEP快到了
0048C3B0      75 08              jnz short Project1.0048C3BA
0048C3B2      B8 01000000        mov eax,1
0048C3B7      C2 0C00            retn 0C
0048C3BA      68 7C224700        push Project1.0047227C //看这个 0047227c 入栈
0048C3BF      C3                  retn //通过retn 从0048c3bf 返回到 0047227c 是个很大跨度的跳转 一般情况就跳到OEP

0047227C      55                  push ebp    //来到OEP 脱壳
0047227D      8BEC                mov ebp,esp
0047227F      83C4 F0            add esp,-10
00472282      B8 E41F4700        mov eax,Project1.00471FE4
00472287      E8 1442F9FF        call Project1.004064A0
脱壳 我们先用OD的插件脱 先用方式1 脱 ，再用方式2 脱，再用lordpe 脱 ，然后看可否能运行，不能运行我们用ImportREC修复。
（OD不要关，修复会用到）
7227C  //这个入口地址 我们记下

用lordPE脱 先要修正镜像大小 然后完整转存
方式2 和 lordPE脱的壳 都不能运行，我们修复。
打开ImportREC 找到我们调试的进程（OD没有关） ，然后把OEP地址 7227C 填上，点击自动查找IAT，获取输入表，显示无效的（没有无效的指针），修复转存文件（抓取不能运行的程序），我们再看下脱壳程序可否运行。
查壳 Borland Delphi 6.0 - 7.0

我们用第2种方法 ESP定律
0048C001 Pr>  60                  pushad                            ; // 程序入口点
0048C002      E8 03000000        call Project1.0048C00A            //单步到这里 看寄存器窗口 ESP值突显 变红
0048C007    - E9 EB045D45        jmp 45A5C4F7
0048C00C      55                  push ebp
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD9000
ESP 0012FFA4  //变红 我们在ESP值 右键- 数据窗口跟随
EBP 0012FFF0
ESI 7C937530 ntdll.7C937530
EDI 7C92E900 ntdll.7C92E900
EIP 0048C002 Project1.0048C002
0012FFA4  7C92E900  ntdll.7C92E900 //看数据窗口 在这个数值上右键-断点-硬件访问-word 然后F9运行
0012FFA8  7C937530  ntdll.7C937530
0012FFAC  0012FFF0
删除断点（调试-硬件断点-删除-确定）
0048C3B0    /75 08              jnz short Project1.0048C3BA // 来到这里 继续单步
0048C3B2    |B8 01000000        mov eax,1
0048C3B7    |C2 0C00            retn 0C
0048C3BA    \68 7C224700        push Project1.0047227C //看这里 返回到OEP
0048C3BF      C3                  retn
脱壳就不再演示了
第3种方法 内存镜像法
alt+m 打开内存镜像 找“程序”的.rsrc 设置访问中断（f2） shift+f9 运行
我们再打开内存alt+m 找程序的.code 段 shift+f9 运行 直接到达OEP
内存映射，项目 29
地址=00485000
大小=00007000 (28672.)
宿主=Project1 00400000
区段=.rsrc
包含=resources
类型=Imag 01001002
访问=R
初始访问=RWE
内存映射，项目 22
地址=00401000
大小=00072000 (466944.)
宿主=Project1 00400000
区段=CODE
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
好了

热情特

这是要干嘛？

星晰妮

一、CCBOT基本概况
上海大宗农产品市场（CCBOT）是根据国务院积极发展现代农业的精神，上海市国际金融中心的规划重点打造的交易平台。CCBOT是商务部管理下全国唯一的综合大宗农产品中远期电子交易市场，旨在通过现代化的计算机网络系统，为国内大宗农产品交易提供一个先进、快捷、方便、安全的交易平台。
大宗商品采取标准化合约、保证金制度和其他现代金融的交易方式，充分运用中远期交易的投资功能和发现功能，来进行投资获利、套期保值和规避风险。交易平台通过价格优先、时间优先原则对于众多投资者提交的电子买卖合同进行撮合，进行成交合约。

ccbot.com		ccbot 交易时间		ccbot交易中心		ccbot 费建		ccbot托管银行
ccbot紧急通知

QQ 877452720

二、大宗农产品的投资特点

1、T+0交易，进出自由

投资者可以根据行情走势及时获利了结，不需要等到次日错失良机。

2、双向交易，随意做多做空

投资可以自由选择买涨买跌，只要方向正确就可获利，规避了只能买涨的投资风险。QQ 877452720

3、以小博大，5倍的财富杠杆
提升资金利用率，资产相当于升值5倍，赚取更多利润。
4、简单快捷，即看即会
普洱茶操作非常简单，只需通过网络平台输入买卖指令就行了；各类设置好的技术分析图标，随调随用。
5、资金安全，自由转换
国家商务部批准，CCBOT托管银行是建行、工行、农行账户绑定，资金安全，可以自由转入转出。
2009-9-20 20:46

ccbot.com		ccbot 交易时间		ccbot交易中心		ccbot 费建		ccbot托管银行
ccbot紧急通知

QQ 877452720

6、风险可控，适合中短长线各类投资
风险小，每天设置涨停板和跌停板，可以很好的降低风险；采取隔日无负债制度，有效规避强制平仓的情况发生；双边走势，可以灵活选择中、短长各种投资方式。
7、价格变动规律性强，收益丰厚
商品价格的变动市场规律性强，行情容易把握；收益率高，每月收益大概为10%—30%。
8、品种可选，交易时间灵活
现有品种中普洱茶和罗汉果的交易时间：早上9：30—11：30，下午13：30—15：30；薄荷脑交易时间：晚上19：00—21：00。可以根据个人情况选择交易品种和交易时间  QQ 877452720


三、普洱茶投资与股票投资的区别
1、普洱茶投资属于双向交易，可以根据价格走势选择做多还是做空，价格上涨和下跌都可以赚钱；而股票属于单向交易，获利的手段只能是价格上涨或者送股分红派息。
2、普洱茶投资属于保证金交易，可以充分使用财务杠杠实现以小博大，比如1万的资金可以操作5万的交易；股票只能实现1:1的交易，1万资金只能购买1万的股票。
3、普洱茶投资属于T+0交易，你可以随时进行买卖和平仓，及时进行获利和止损；股票属于T+1交易，今日买入，第二天才能卖出，经常错失获利的时机。
4、普洱茶投资交易更聚焦，只需要专门研究几个品种的走势，更为节省时间和精力；股票投资交易需要从很多股票中进行选择，从行业板块到各只股票，往往在乱花渐醉迷人眼中踏入陷阱

四、普洱茶投资与期货的区别
1、从交易的保证金来看：普洱茶投资只需要支付20%固定的保证金，而期货一般需要QQ 877452720
2、从交易时间上看：现有品种中普洱茶和罗汉果的交易时间：早上9：30—11：30，下午13：30—15：30；薄荷脑交易时间：晚上19：00—21：00。期货交易时间是上午9：00—11：30，下午1：30—3：00四个小时中进行。
3、从定价机制来看，多数期货**并没有定价的话语权，只是被动跟随国际的价格，这样在市场走势和价格判断上就失去了优势。而普洱茶项目是**推出的产品，可以很好的去判断市场的变动，这样更容易进行获利。
我感觉这样的投资很适合我，不需要太多的

ccbot.com		ccbot 交易时间		ccbot交易中心		ccbot 费建		ccbot托管银行
ccbot紧急通知

QQ 877452720
资金，有需要的或者想了解的可通过QQ 877452720联系