工具:52下的OD;
研究对象:某缠论量化软件;
来源:某想论坛;
理由:和谐过程中的一点心得;
软件类型:chzhshch.dll;
操作系统:winxp;
要达到目的:解决20天期限限制。
这个软件有时间限制,试用时间20天。
分析“剩余使用天数: 20”,是怎么来的,是本地计算得出?是网络获取?还是其它?
改一下本地时间,增加10天,重新打开软件:剩余使用天数: 20;没有变化,那么可以排除本地计算得出。
看是不是网络获取,OD加载TdxW.exe,F9运行,到行情界面
下ws2_32.socket函数断点,
随便选一只股票,双击看日线K线图
断在
71A24211 ws2_32.socket 8BFF mov edi,edi
看堆栈
[Asm] 纯文本查看 复制代码 删除断点,ALT+F9,从系统领空回到用户程序空间,一路F8,到
1C9C21BB |. 40 inc eax
1C9C21BC |. 50 push eax
1C9C21BD |. 51 push ecx
1C9C21BE |. 8D4C24 34 lea ecx,dword ptr ss:[esp+0x34]
1C9C21C2 |. E8 49E2FFFF call chzhshch.1C9C0410
1C9C21C7 |. 894424 14 mov dword ptr ss:[esp+0x14],eax
1C9C21CB |. 895C24 10 mov dword ptr ss:[esp+0x10],ebx
1C9C21CF |. 3BC3 cmp eax,ebx
1C9C21D1 |. 0F85 D2010000 jnz chzhshch.1C9C23A9
1C9C21D7 |. 399C24 940000>cmp dword ptr ss:[esp+0x94],ebx
1C9C21DE |. 0F84 C5010000 je chzhshch.1C9C23A9
1C9C21E4 |. 83BC24 980000>cmp dword ptr ss:[esp+0x98],0x10
1C9C21EC |. 8B8424 840000>mov eax,dword ptr ss:[esp+0x84]
到1C9C21EC,看数据窗口
数据窗口中看到:
剩余使用天数: 20
从0FFE9AA8开始把从网络获取的数据抓包出来,把它作为本地数据。
来验证抓包出来的数据的有效性,1C9C21EC下断点,退出程序,断开网线,加载TdxW.exe,F9运行,脱机运行到行情界面。
运行到:
1B7821EC |. 8B8424 840000>mov eax,dword ptr ss:[esp+0x84]
把前面抓包出来的数据复制到dword ptr ss:[esp+0x84]
F9,
缠论程序显示正常,证明抓包的数据有效。
按论坛新规则,不提供成品。 | 
[复制链接]
发表于 2021-7-20 21:13
