附加数据的处理
【声明】:纯属技术交流
【作者】:qingye
附加数据的处理
软件上次到附件中了。
查壳,NsPack V1.4 -> LiuXingPing [Overlay] *,北斗的壳
脱壳。
OD载入到00434F61
00434F61 > 9C pushfd
00434F62 60 pushad
00434F63 E8 000000>call Overlay.00434F68
00434F68 5D pop ebp
00434F69 B8 B18540>mov eax,Overlay.004085B1
00434F6E 2D AA8540>sub eax,Overlay.004085AA
00434F73 2BE8 sub ebp,eax
......(省略N多语句)
00435165 56 push esi
00435166 51 push ecx
00435167 53 push ebx
00435168 52 push edx
00435169 56 push esi
0043516A FF33 push dword ptr ds:[ebx]
0043516C FF73 04 push dword ptr ds:[ebx+4]
0043516F 8B43 08 mov eax,dword ptr ds:[ebx+8]
00435172 03C2 add eax,edx
00435174 50 push eax
00435175 FF95 F7FE>call dword ptr ss:[ebp-109]
0043517B 5A pop edx
0043517C 5B pop ebx
0043517D 59 pop ecx
0043517E 5E pop esi
0043517F 83C3 0C add ebx,0C
00435182 ^ E2 E1 loopd short Overlay.00435165
00435184 61 popad
00435185 9D popfd
00435186 - E9 A6E6FC>jmp Overlay.00403831
走到这00435186,下一步到OEP了,可以脱壳了,记得修复一下。
源程序657K,脱壳修复后大小只剩下268K,应该有数据被我们脱壳的时候给脱掉了。
要就用[PE处理]Overlay(这软件可能会让你杀毒软件报警)处理一下。
源文件是我们没脱壳的程序,目标文件是我们修复后的程序。
然后点【复制Overlay】。若提示“复制Overlay成功”,应该行了。
试试,能不能运行,OK.
【作者】:qingye
附加数据的处理
软件上次到附件中了。
查壳,NsPack V1.4 -> LiuXingPing [Overlay] *,北斗的壳
脱壳。
OD载入到00434F61
00434F61 > 9C pushfd
00434F62 60 pushad
00434F63 E8 000000>call Overlay.00434F68
00434F68 5D pop ebp
00434F69 B8 B18540>mov eax,Overlay.004085B1
00434F6E 2D AA8540>sub eax,Overlay.004085AA
00434F73 2BE8 sub ebp,eax
......(省略N多语句)
00435165 56 push esi
00435166 51 push ecx
00435167 53 push ebx
00435168 52 push edx
00435169 56 push esi
0043516A FF33 push dword ptr ds:[ebx]
0043516C FF73 04 push dword ptr ds:[ebx+4]
0043516F 8B43 08 mov eax,dword ptr ds:[ebx+8]
00435172 03C2 add eax,edx
00435174 50 push eax
00435175 FF95 F7FE>call dword ptr ss:[ebp-109]
0043517B 5A pop edx
0043517C 5B pop ebx
0043517D 59 pop ecx
0043517E 5E pop esi
0043517F 83C3 0C add ebx,0C
00435182 ^ E2 E1 loopd short Overlay.00435165
00435184 61 popad
00435185 9D popfd
00435186 - E9 A6E6FC>jmp Overlay.00403831
走到这00435186,下一步到OEP了,可以脱壳了,记得修复一下。
源程序657K,脱壳修复后大小只剩下268K,应该有数据被我们脱壳的时候给脱掉了。
要就用[PE处理]Overlay(这软件可能会让你杀毒软件报警)处理一下。
源文件是我们没脱壳的程序,目标文件是我们修复后的程序。
然后点【复制Overlay】。若提示“复制Overlay成功”,应该行了。
试试,能不能运行,OK.
【注】无法上传附件.在
www.huohuz.cn论坛上也有这文章,那有上传的附件。