一步步教你1分钟内脱掉通达信的衣服

以通达信3月6日发布的金融终端V7.48为例，使用OEP的方法脱VMP壳，当然这个方法仅限于简单加密的，复杂加密的这个方法不适用

所需要的工具下载地址，请尽量去52和谐官方网站下：
用https替换://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
用https替换://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar

1.把tdxw.exe拖入到OD，让其正常运行；

2. 在OD界面 Ctrl + G，会出现“输入要跟随的表达式”窗口，输入00401000，点OK，会跳转到00401000代码处；

3. CTRL + B，在Hex处拷贝要查找的二进制串：
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57 89 65 E8 33 DB 89 5D FC 6A 02   
确定后会跳转008C86A7处，往上5行也就是008C8698 （这个地方就是程序的入口点，也就是常说的OEP，记住这个地址，后面会用到）

下面这段代码是以前版本的OEP，所以聪明的人已经猜到，通达信程序，它虽然有版本更新，但是这个程序的入口点基本上不会变的，版本不同有些小的变化，但总体还是那些代码
0086FC68 >/$  55            push ebp
0086FC69  |.  8BEC          mov ebp,esp
0086FC6B  |.  6A FF         push -0x1
0086FC6D  |.  68 207A8C00   push tdxw_dum.008C7A20
0086FC72  |.  68 F2FD8600   push tdxw_dum.0086FDF2                   ;  SE 处理程序安装
0086FC77  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
0086FC7D  |.  50            push eax                                 ;  kernel32.BaseThreadInitThunk
0086FC7E  |.  64:8925 00000>mov dword ptr fs:[0],esp
0086FC85  |.  83EC 68       sub esp,0x68
0086FC88  |.  53            push ebx
0086FC89  |.  56            push esi
0086FC8A  |.  57            push edi
0086FC8B  |.  8965 E8       mov [local.6],esp
0086FC8E  |.  33DB          xor ebx,ebx
0086FC90  |.  895D FC       mov [local.1],ebx
0086FC93  |.  6A 02         push 0x2
0086FC95  |.  FF15 A4C38900 call dword ptr ds:[0x89C3A4]

4. 此时不能直接脱，在OD那行功能键点两个连续黑色左箭头，也就是让OD重新载入tdxw.exe，会回到图一的那个界面；CTRL+G，出现 输入要跟随的表达式，在最上面那个框，这里应该有第一次输入的 00401000，用008C8698 替换，点OK

5. 选中008C8698这行，在开头处鼠标右键，找到 断点  然后选择 内存访问，连续两次 F9，程序应该会在008C8698处中断下来；

6. 打开scylla_x86.exe，在最上面下拉单选择 tdxw.exe (就是通达信程序的这个process)，然后在 OEP 处输入刚才的那个地址，点 IAT Autosearch，会出现IAT found 这个窗口，点确定；然后点IAT Autosearch下面的 Get Imports。

7，在scylla_x86 点击 Dump 按钮，会弹出窗口让你保存文件，我们使用默认名tdxw_dump，点确定即可，然后再点击 Fix Dump 按钮，会弹出窗口，找到和选中刚才保存的 tdxw_dump文件，点 打开 后程序会在通达信目录下生成 TdxW_dump_SCY.exe 文件

8. 使用查壳工具检测，已经成功把壳脱掉了。当然这个脱壳的版本会保留vmp残留的垃圾文件，但不会影响程序的运行。如果双击，会提示 “执行文件出错”，需要把TdxW_dump_SCY.exe 改成 tdxw.exe

剩下的，就看各位的本事了。