直接运行脱壳程序是无法运行的,提示你文件数据错误,因为尾部Overlay没有复制出来,我先以为程序有自校验,原来是新版的Peid查壳时Overlay翻译成覆盖了,一时不适应,浪费了不少时间,对比程序分析好久,这个是不细心的结果,自我批评一下。
运行Winhex打开原程序。
找到Overlay数据,从尾部开始,然后向上看,找到一大堆00 00与31 2E 等明显分界点,这里就是Overlay的起点。
我们看到尾部数据从偏移量987开始。在987处点右键选块开始。
然后滚动条拉到底,到偏移量924990为止,在924990处点右键选块结束。
Crtl+C 复制选定内容。
然后打开脱壳文件,直接滚动条到尾部偏移量2815487处,点右键-编辑-剪贴板数据写入,确定两次。
原理搞清楚就不犹豫,保存文件,问你是否更新程序,是,运行正常。
904k To 3652k
比工具脱壳大,并且用工具脱壳你可以看见易语言的标记区段。
Alt+M打开内存镜像
内存镜像,项目 15
地址=00409000
大小=0029C000 (2736128.)
Owner=LikeOne1 00400000
区段=.ecode //易语言区段。
类型=Imag 01001002
访问=R
初始访问=RWE
这次手动脱壳资源也完全释放了。
不过易语言资源没工具编辑,代码也完全释放了。
我们用资源编辑工具和W32Dasm也可以识别这个程序是易语言。
上一页 1 2 3 4 5 下一页 |
安全中国首页 > 文章中心 > 脱壳技术