附加数据的处理实例

最新推荐文章于 2014-04-28 11:58:44 发布
最新推荐文章于 2014-04-28 11:58:44 发布
阅读量829 收藏
点赞数
分类专栏: 资料 文章标签: 杀毒软件 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingye2008/article/details/1895435
版权

附加数据的处理

【声明】:纯属技术交流
【作者】:qingye
附加数据的处理
软件上次到附件中了。
查壳,NsPack V1.4 -> LiuXingPing [Overlay] *,北斗的壳
脱壳。
OD载入到00434F61
00434F61 >  9C        pushfd
00434F62    60        pushad
00434F63    E8 000000>call Overlay.00434F68
00434F68    5D        pop ebp
00434F69    B8 B18540>mov eax,Overlay.004085B1
00434F6E    2D AA8540>sub eax,Overlay.004085AA
00434F73    2BE8      sub ebp,eax
......(省略N多语句)
00435165    56        push esi
00435166    51        push ecx
00435167    53        push ebx
00435168    52        push edx
00435169    56        push esi
0043516A    FF33      push dword ptr ds:[ebx]
0043516C    FF73 04   push dword ptr ds:[ebx+4]
0043516F    8B43 08   mov eax,dword ptr ds:[ebx+8]
00435172    03C2      add eax,edx
00435174    50        push eax
00435175    FF95 F7FE>call dword ptr ss:[ebp-109]
0043517B    5A        pop edx
0043517C    5B        pop ebx
0043517D    59        pop ecx
0043517E    5E        pop esi
0043517F    83C3 0C   add ebx,0C
00435182  ^ E2 E1     loopd short Overlay.00435165
00435184    61        popad
00435185    9D        popfd
00435186  - E9 A6E6FC>jmp Overlay.00403831
走到这00435186,下一步到OEP了,可以脱壳了,记得修复一下。
源程序657K,脱壳修复后大小只剩下268K,应该有数据被我们脱壳的时候给脱掉了。
要就用[PE处理]Overlay(这软件可能会让你杀毒软件报警)处理一下。
源文件是我们没脱壳的程序,目标文件是我们修复后的程序。
然后点【复制Overlay】。若提示“复制Overlay成功”,应该行了。
试试,能不能运行,OK.
【注】无法上传附件.在 www.huohuz.cn论坛上也有这文章,那有上传的附件。
 
qingye2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二节,北斗的壳如何脱,nspack. ESP定律 FSG壳
weixin_43430906的博客
12-11 331
脱壳流程:1.OD加载 查看代码特征,找到JUM oep; 2.窗口跟随修改硬件断点byte;3.F9运行跳向OEP 4.lordpe dump文件 5. 修改IAI 完成脱壳 6.运行软件不报错 第一步:OD加载 查看入口代码特征,找到JUM OEP 注释好,回到入口 F7/F8 单步 右边ESP 变红 右键窗口跟随 第一个字节右键 下一个硬件访问断点 或者 在下面command...
附加数据处理方法
weixin_43916678的博客
07-15 740
附加数据[overlay]: 附加数据是在附加在文件后面的,不被映射到内存空间中的数据,overlay是不映射到内存的,所以dump下来的时候是没有overlay的,需要我们手动把这一部分的数据粘贴到dump下来的数据后面。 处理附加数据: 原理:由于文件的对齐机制,磁盘上每个段的结束都填充了大量的0.附加数据在文件末尾,所以只要找到磁盘文件中最后一个全零段,接下来就是附加数据。 实验步骤: 首先...
手动脱壳NsPack V1.4 -> LiuXingPing *
qingye
10-15 2233
手动脱壳NsPack V1.4 -> LiuXingPing *用OD载入来到0040D044 >  9C              pushfd0040D045    60              pushad0040D046    E8 00000000     call    0040D04B0040D04B    5D              pop     ebp0040
Overlay附加数据处理
01-06
管理们大家好!在网上看到一款工具觉得很实用,想试着编译修改一下。经过PEid查壳得出:Microsoft Visual C++ 6.0 [Overlay]。查了些资料都提示是附加
java上传实例,附加数据
09-19
java写的上传实例,代码有详细的注释详解,一看就懂,有什么疑问的可以私信我,环境::myeclipse2019,mysql5.5,jdk1.8,tomcat8.5,还有其他考试项目都可以在我主页下载,不会导入的可以私信我
深入理解python try异常处理机制
12-24
深入理解python try异常处理机制 ...语句> #如果引发了'name'异常,获得附加数据 else: <语句> #如果没有异常发生 #try的工作原理是,当开始一个try语句后,python就在当前程序的上下文中作标记,这样
python GUI库图形界面开发之PyQt5控件数据拖曳Drag与Drop详细使用方法与实例
12-20
MIME意为多功能Internet邮件扩展,它设计的最初目的是为了在发送电子邮件时附加多媒体数据,让邮件客户程序能根据其类型进行处理。然而当它被HTTP协议支持之后,它的意义就更为显著了。它使得HTTP传输的不仅是普通的...
胶质瘤分级临床和突变特征数据集.rar
最新发布
11-14
以下是原始数据集文件的附加列列表(及其相应描述): -Project列表示相应的TCGA-LGG或TCGA-GBM项目名称。 -Case_ID列是指相关项目的Case_ID信息。 -Primary_Diagnosis列提供与主要诊断类型相关的信息。 |Variable ...
中国电信计费模型:数据模型
03-31
4.2.4 产品包实例附加属性(Product_Bundle_Instance_Attr)实体 89 4.2.5 商品实例附加属性(Product_Offer_Instance_Attr)实体 90 4.2.6 产品包实例(Product_Bundle_Instance)实体 91 4.2.7 商品实例(Product_Offer_...
实例讲解附加数据免杀技术
01-27
结合实际木马讲解附加数据的免杀技术,这个教程是很多人都想找,却不好找到的。
【免杀不求人】多种方法修改PCSHARE附加数据.rar
08-22
【免杀不求人】多种方法修改PCSHARE附加数据.rar
ASProtect V2.X脱壳+处理附加数据+去自校验!
张宏双的专栏
05-24 3999
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ASProtect V2.X脱壳+处理附加数据+去自校验作者:Hmily博客:Http://Blog.52Hmily.CnQQ群:39940458~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.0
【转】脱壳中的附加数据问题(overlay)
qingye
11-17 1518
发布人:kgdyga1.前言最近,在论坛上看到很多人在弄附加数据overlay的问题,加上上次答应了各位兄弟所以觉得写一些着方面的废话。如果下面的内容对你有帮助那是最好。这篇文章我们将解决以下问题:1.什么是overlay,怎么找到overlay?2.为什么有些壳虽然有overlay但是却不用特别处理?3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针?4.如何修复文件指
(7)附加数据处理
eldn__的专栏
10-03 1221
这里我们简单的说下什么是附加数据附加数据就是一段程序,程序要正常运行就需要有这段程序那么这段程序就叫做附加数据了,当然有些程序没有附加数据也可以正常运行,所以附加数据左右程序的运行是选择性的,并不绝对。     形象得了解下什么是附加数据,就好比,TXT文本文件,如果没有系统的记事本notepad.exe是打不开的一样。那么notepad.exe就是TXT的附加数据了。     在我
Sublime Text 2配置Lua开发环境
热门推荐
qingye
03-27 1万+
{   "cmd": ["/usr/local/bin/lua", "$file"],   "file_regex": "^(...*?):([0-9]*):?([0-9]*)",   "selector": "source.lua"  }   需要填写lua或者luajit的绝对路径,就可以调试了 Sublime Text 2是一个基于Python的跨平台文本编辑器, 比起
lua 支持 md5
qingye
04-28 1万+
需要安装 luarocks  luarocks install md5
[转]什么是加壳和加密
qingye
11-09 1841
加壳的概念:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。现在的CPU都很快,所以这个解压过程你看不出什么东东。软件一下子就打开了,只有你机器配置非常差,才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时,
simulink简单案例附加代码
08-09
以下是一个简单的Simulink案例,其中包含附加代码: 在这个案例中,我们将演示如何使用Simulink来模拟一个简单的车辆运动。 1. 首先,我们需要创建一个新的Simulink模型。在模型中,我们可以添加各种模块来模拟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值