通达信用户完全加密公式和谐工具

通达信用户完全加密公式和谐器，该dll可以和谐通达信完全加密指标，普通加密更不在话下。

该和谐器已经被52pojie论坛的大神ljhverygood 和谐 ，并给出了简单的教程

附件:

 通达信用户完全加密公式破解器.zip (1.66 MB)

 理由：刚好手里有这个软件，这两天泡52pojie论坛又见到上面的文章，所以干脆贴出来跟大家娱乐娱乐。
难度系数:由易到较难
鸣谢：特别是感谢本坛@cndml提供了一个脚本，该脚本将出现在篇(二)，根据我的调试更改了脚本的一点小瑕疵。
工具：OD;ExeinfoPE_V0044prev3;Import REConstructor v1.7e

先查壳，ThemIDA & WinLicense 2.0 - 2.1，准备脱了她。OD，拖入TE_Formula.dll,F9跑起，跑起来后有两种结果1、程序初始化；2、程序直接执行。
 
停在这里，没有跑飞，那就是第一种情况。接下来，就在程序空间找找api，看图
 

恭喜，良心软件，看到这样的图，可以确定api没有加密。你就把iat找出来。在上图中随便选一个api,我就选第一个
地址=1000111D 反汇编=call 7C80A055 目标文件=kernel32.LoadResource双击返回调试窗口，看图

重新加加载，F9，断在

取消硬件断点，alt+M

F9，看信息窗口

Ecx我选中的api，ds:[1007E274]存放位置，iat所在地址1007E274，取消所有断点，重新加在程序，F9在数据窗口查看地址1007E274，

看到好多api，iat位置找到，本程序iat:起始：1007E000；结束：1007E428；大小：428
接下来找OEP，方法：
alt+m在10001000段下内存写入断点，然后shift+f9,停在
102AD848    F3:A4           rep movs byte ptr es:[edi],byte ptr ds:[esi]
这行代码上，取消内存写入断点后，命令行输入bp GetProcessHeap+c，然后f9，
程序停在7C80AC6D    C3              retn
取消这行代码上的断点，再然后alt+m在10001000段下f2断点，然后f9，
程序停在1006BA06    837C24 08 01    cmp dword ptr ss:[esp+0x8],0x1
OEP地址:1006BA06然后dump

接下来

跑一下脱壳出来的文件TE_Formula_dump_.dll

运行，没有出现异常

脱完之后是个什么东西，我也不知道
TE_Formula.dll就脱完了，脱她就如同嚼蜡。这文章写出来就像口水文章，了无新意。
软件作者的精力不是放在这个软件上，真正下了工夫的在她注入的另外一个程序上，其中对iat进行了加密，增加了校验，需要定位。
文章写得累，由于无新意，所以边写边打瞌睡。