趋势为王选股软件拔除时间暗桩的一种方法
工具:52下的OD;研究对象:趋势为王选股;
来源:网络
理由:和谐过程中的一点心得;
软件类型:QSWW.dll;
操作系统:win10x64
要达到目的:解决过期恢复正常功能
这个软件有时间限制,去年脱壳时我是不知道的,脱完壳后一切功能正常,今天拿出来想用一下,没想到不能用了,是悄悄的不能用了。
上面原版界面,加的是VMProtect v3.00 - 3.5.0壳
打开Tdxw.exe,
趋势为王2处一片空白,指标失灵了。我的印象中去年脱完壳后一切正常的,今天的现象说明软件还有时间暗桩。OD加载Tdxw.exe正常运行,内存中找到QSWW.dll,去QSWW.dll的IAT看看有哪些与时间相关的函数,如果能找到GetLocalTime、Time等函数就简单了。
把带点时间日期相关的函数一一下硬件访问断点,找到下面几处:
592D590A- FF25 1C303059 jmp dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>] ; kernel32.GetSystemTimeAsFileTime
592D59DC- FF25 A8303059 jmp dword ptr ds:[<&kernel32.GetDateFormatW>] ; kernel32.GetDateFormatW
592D59E2- FF25 AC303059 jmp dword ptr ds:[<&kernel32.GetTimeFormatW>] ; kernel32.GetTimeFormatW
打开软件日k线界面,上面所下断点都没有反应。看来软件作者不想让人轻松找到这个时间暗桩,如果程序IAT中没有GetLocalTime、Time这些函数,建议别下GetLocalTime函数断点,玩通达信的都知道,这种实时软件,通达信中的程序对GetLocalTime函数调用太频繁了,会把人搞崩溃。要让QSWW.dll在OD中断下来,看看QSWW.dll实时在调用哪些程序。Od中查找所有模块间的调用,全部下断点。
换看K线图,OD没反应,一个断点也没断下来。有点神奇了,不把QSWW.dll断到OD来分析,那就不好下手。ctrl+M,到程序代码段去下内存访问断点,
通达信中继续换看K线图,OD终于有反应了,断在,
59249BE9 /E9 62470000 jmp qsww.5924E350
删除内存访问断点,F7跟踪,看能不能跟踪出它是如何实时读取时间的,能找到实时取时间的地方那么软件里的时间暗桩也就能解了。
592A334C FF15 1C303059 call dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>] ; kernel32.GetSystemTimeAsFileTime
看到调用GetSystemTimeAsFileTime函数,但前面对这个函数下断点的时候,这个函数没有断下来。难道脱壳不完整?还能把软硬断点给屏蔽了?来分析一下这段代码:
从
592A332E /74 18 je short qsww.592A3348
才能跳到
592A334C FF15 1C303059 call dword ptr ds:[<&kernel32.GetSystemTimeAsFileTime>] ; kernel32.GetSystemTimeAsFileTime
没有访问GetSystemTimeAsFileTime函数,可能592A332E /74 18 je short qsww.592A3348条件不成立,那么
592A3343 FF55 F4 call dword ptr ss:
这个call要调用什么?F8
592A3343 FF55 F4 call dword ptr ss: ; KernelBa.GetSystemTimePreciseAsFileTime
调用GetSystemTimePreciseAsFileTime,这个函数从堆栈 ss:=76AA5D60 (KernelBa.GetSystemTimePreciseAsFileTime)来,根本不在QSWW.dll的IAT中,难怪前面找不到。下面一路F8,跟踪到
59262768 8945 E8 mov dword ptr ss:,eax ; //eax=60B8FB02,时间戳{2021年6月3日}
5926276B 8955 EC mov dword ptr ss:,edx
5926276E 6A 00 push 0x0
59262770 68 80969800 push 0x989680
59262775 8B55 F4 mov edx,dword ptr ss:
59262778 52 push edx
59262779 8B45 F0 mov eax,dword ptr ss:
5924FA2B /7C 14 jl short qsww.5924FA41
5924FA2D |7F 0E jg short qsww.5924FA3D
5924FA2F |8B85 2CFFFFFF mov eax,dword ptr ss: ; //dword ptr ss:实时时间戳60B8FB02
5924FA35 |3B85 24FFFFFF cmp eax,dword ptr ss: ; //dword ptr ss:预置时间戳5F74AA8B{2020年09月30日}
5924FA3B |76 04 jbe short qsww.5924FA41
打开程序文件QSWW.dll来验证一下5F74AA8B是不是预置时间戳,程序文件QSWW.dll中查找:
找到一处,改成8B AA 74 6F,保存文件,退出OD,重新打开Tdxw.exe
时间暗桩拔除,程序恢复正常功能。 本帖最后由 happyway1990 于 2021-6-5 15:07 编辑
以前我也沉迷这些指标,甚至有一段时间每天研究到一两点,什么股票池啊,各种指标啊。甚至最终我还把好几种指标叠加。经过反推历史标记发现数种不同指标同时出现某种信号的时候至少有一半几率第二天涨停,即便不涨停也有最起码4~5个点以上的涨幅。所以我甚至用计算器算出,就算每天三个点的涨幅,就算A股200天,经过复利,一年就是将近400倍!以至于我甚至开始幻想挣他个几千上亿的钱了如何如何。
结果上了实战“还没买入”只是复盘的时候。发现头一天还在的标记,第二天居然消失了。后面经过研究才发现,,原来所谓什么狗屁指标这玩意就是出现了某种结果后,它才在你出现该结果前的某个时间点做出标记。所以~指标都是骗人的。
指!!标!!都!!是!!骗!!人!!的!!
奉劝各位想靠指标炒股的,死了这条心吧。
如果不信,哪天撞了南墙再回头细品我说的这些。
还有,那些淘宝也好,什么大牛也罢,但凡是让你花钱买指标的,有一个算一个全是骗子,请不要上当。这些所谓的神指标百度一下一大把。
2021年6月5日14:26第二次更新----
下面来说一下这些看似很牛的指标是怎么工作的。、
假设6月1日收盘后,你用指标去筛选股票,这时候是一定选不出来符合指标提示的股票的(当然也可能会有一些指标能选出来但是这种指标一般都比较水,比较水的意思是:根据历史K线图,即便出现信号,大概率后续走势也很差),然后等6月2号或者6月3号收盘了,这时候你再根据指标,用6月1号的数据去筛选股票,神奇的是居然6月1号出现了甚至不止一个的信号!而且这些股票在6月2号,3号居然确实走势很不错。那么当你再用指标和6月3号的数据筛选(或者说预测)6月4号的股票~大概率还是一个都没有的。
好了,接上面:当你不清楚这个的时候,6月3号你发现6月1号或者2号有信号,于是6月4号开盘就买入了X家股票,等你的无非就是:
1.6月4日股票上涨,所以信号是真的!哇~好牛逼好牛逼!终于吃肉了~神指标啊~劳资要发财了。6月5日......后续未知
2.6月4日股票下跌,同时6月1日的信号消失。
3.6月4日至6月X日,K线跟死了一样,同时6月1日的信号也没了,可你还是坚信他会涨的。然后到了X月Y日,终于受不了,抛了股票。
4.6月4日上涨,6月5日开始持续下跌,最后你割肉离场。神奇的是,6月1号或者2号的信号居然在某一天也突然消失不见了!
所以....看明白套路了吗。你认为你自己买了之后会是第几种结果?
所以....这玩意和你随便在大A闭着眼睛买有啥区别?
所以我甚至怀疑这些指标完全就是那些机构、庄家写出来然后投给市场,还故作高端搞的好像很神秘、很牛逼一样,让不明真相的韭菜以为如获至宝,然后等这些机构、庄家故意走出他们事先根据指标设计好的K线图,让韭菜们以为要发财了,然后心甘情愿争先恐后的接盘,然后机构(庄家)获利走人!
任何时候,能让一个人发财的东西他只会自己藏着掖着闷声发大财,亲爹亲妈他都不会告诉!正如贩卖成功学的人并没有通过他们描述的方法或、道路成功。如果信了那些跟你兜售所谓教你发财致富秘诀的,还是多拜拜神明,自求多福吧。
股市有风险,投资需谨慎!!!挣钱不容易,不要在自己完全不懂的地方赌,最后输的不明不白的。
我也研究过无数指标,最终还是觉得资产负债表、现金流量表、利润表更可靠! 就靠这个发财了,谢谢大佬。 高手牛逼 求分享 厉害了!感谢大佬分享! 感谢楼主分享!!! 楼主厉害,谢谢分享。
牛气冲天,看好你。能分享吗? 发财的节奏呀 拔出暗装有什么用呢 非常好,又能亏钱了